ADFS - Logon Único

Este documento fornece diretrizes sobre como configurar o Workvivo para autenticação via Single Sign On (SSO) usando o Microsoft Active Directory Federation Services (ADFS) como a solução de provedor de identidade (IdP) em uma configuração SSO SAML2. As informações contidas neste documento servem apenas como orientação. Pode haver diferenças significativas em qualquer configuração do ADFS que exijam uma abordagem diferente.

Estas diretrizes foram escritas com base na configuração de um ambiente ADFS 3.0 em execução no Windows Server 2012 R2. As etapas podem ser diferentes em outras versões do ADFS ou do Windows Server.

O primeiro passo para configurar o Workvivo no ADFS é adicioná-lo como parte confiável.

Na ferramenta Gerenciamento do ADFS, navegue até "Relacionamentos de confiança → Confiança de partesconfiáveis ", no painel de navegação esquerdo.

Em seguida, clique em "Adicionar Relying Party Trust…" no painel Ações no lado direito da janela. Isso iniciará o "Assistente para Adicionar Confiança deTerceira Parte".

Clique no botão "Iniciar" para começar. Na tela "Selecionar fonte de dados" , certifique-se de que a opção "Importar dados sobre a parte confiável publicados on-line ou em uma rede local" esteja selecionada e insira a seguinte URL no campo "Endereço de metadados federados (nome do host ou URL)":

https://[nome da empresa].workvivo.[com][.us][.me]/saml/metadata

Observe que o formato do endereço acima pode ser diferente se a sua organização tiver configurado um nome de domínio personalizado para o Workvivo. Se você não souber o nome de domínio do Workvivo, entre em contato com nossa equipe de suporte por meio de "Enviar uma solicitação" para receber assistência.

Pressione o botão "Avançar" para continuar.

Na próxima tela, sinta-se à vontade para personalizar o Nome de Exibição e adicionar quaisquer notas relevantes, se desejar.
Caso contrário, clique em "Avançar" para prosseguir.

Para a etapa "Configurar autenticação multifator agora?" , deixe o padrão "Não quero configurar as definições de autenticação multifator para esta parteconfiável neste momento" e pressione "Avançar".

Na configuração "Escolher regras de autorização de emissão" , deixe o padrão "Permitir que todos os usuários acessem esta parteconfiável " e clique em "Avançar".

Na tela "Pronto para adicionar confiança" , sinta-se à vontade para revisar as configurações. Quando estiver pronto para continuar, clique em "Avançar".

Na tela final "Concluir" , você verá uma opção para "Abrir a caixa de diálogo Editar regras de reivindicação para esta parteconfiável quando o assistente for fechado". Certifique-se de que esta opção esteja marcada e pressione o botão "Fechar" .

Abordaremos o processo de configuração de regras de reivindicação na próxima seção.

Nesta seção, abordaremos a configuração de regras de reivindicação do ADFS, que definem quais atributos do Active Directory são enviados pelo ADFS ao Workvivo em uma resposta SAML2. Isso é importante, pois o usamos para identificar o usuário no banco de dados do Workvivo.

No final da seção anterior, depois de clicar no botão "Fechar" , uma janela "Editar regras de reivindicação" deverá ser aberta.

Clique no botão "Adicionar regra" para iniciar o "Assistente para adicionar regra de reivindicação de transformação". Na primeira tela, deixe a opção padrão "Enviar atributos LDAP como declarações" selecionada e clique em "Avançar".

Na tela “Configurar regra de reivindicação” , dê um nome à regra (por exemplo "E-mail LDAP"). Selecione "Active Directory" no menu suspenso "Armazenamento de atributos" .

Criaremos um mapeamento único: na coluna da esquerda ("Atributo LDAP"), selecione "Endereços de E-mail" e, na coluna da direita ("Tipo de Declaração de Saída"), selecione "Endereço de E-mail". Clique em "Concluir" para criar a regra.

Em seguida, criaremos uma segunda regra. Clique em "Adicionar regra" novamente.

Desta vez, selecione "Transformar uma reivindicação recebida" em "Modelo de regra de reivindicação".

Dê um nome à regra (por exemplo "Transformação de e-mail") e selecione as seguintes opções:

Neste ponto, você concluiu a configuração do ADFS e está pronto para coletar informações do ADFS para enviar ao Workvivo para configuração final.

Para configurar seu IdP ADFS no Workvivo, precisamos coletar as seguintes informações para a instalação do ADFS:

Para as três primeiras opções, elas geralmente são as mesmas na maioria das instalações do ADFS. Você pode verificar os endpoints dos Metadados e do Login Único na ferramenta de Gerenciamento do ADFS no seu servidor.

No painel de navegação no lado esquerdo, selecione "ADFS → Serviço → Endpoints".

Você encontrará o Single Sign On Endpoint na seção "Token Issuance" - ele terá um tipo de "SAML 2.0/WS-Federation" e normalmente é "/adfs/ls/".

O ponto de extremidade de metadados pode ser encontrado na seção "Metadados" , tem o tipo "Metadados de Federação" e normalmente tem um valor "/FederationMetadata/2007-06/FederationMetadata.xml".

O ponto de extremidade de logout único nem sempre aparece nesta tela, mas normalmente é "/adfs/ls/?wa=wsignout1.0".

Ao capturar esses endpoints para configuração, certifique-se de adicionar o nome de domínio totalmente qualificado como parte do endpoint. A seguir, exemplos de como esses pontos de extremidade podem ser:

O elemento final necessário para configurar o SSO é um certificado X.509 codificado em Base64 para sua configuração do ADFS.

No seu servidor ADFS, abra a ferramenta de gerenciamento do ADFS. No painel de navegação esquerdo, acesse "ADFS → Serviço → Certificados".

No corpo principal, você deverá ver vários certificados. Encontre o certificado sob o título "Assinatura de token" e clique com o botão direito do mouse, selecionando "Exibir certificado" no menu suspenso.

Selecione a aba "Detalhes" na janela que se abre e clique no botão "Copiar para arquivo" .

Isso abrirá o "Assistente para Exportação de Certificados". Na primeira tela, clique em "Avançar" para começar.

No Formato de arquivo de exportação, certifique-se de que "Base-64 codificado X.509 (.CER)" esteja selecionado e pressione "Avançar".

Observação: algumas versões do ADFS podem perguntar se você deseja exportar uma chave privada. Se isso aparecer, selecione "Não, não exportar a chave privada".

Na tela "Arquivo para Exportar" , selecione um local para o arquivo de certificado e dê um nome a ele (por exemplo workvivo-adfs.cer).

Na tela "Concluindo o Assistente de Exportação de Certificados", clique em "Concluir" para fechar o assistente. Uma caixa de diálogo será exibida confirmando que a exportação foi bem-sucedida.

Encontre o arquivo de certificado que você acabou de exportar. Abra o arquivo em um editor de texto — você deverá ver bastante texto codificado em Base64 cercado pelas linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----. O conteúdo deste arquivo é o certificado que precisamos, portanto, anote essas informações, juntamente com os endpoints mencionados.

Depois de reunir essas informações, conclua a configuração no Workvivo.

3. Configuração final no Workvivo