Thanks for your feedback!
EDIT
SAML 2.0
É possível estabelecer conexão via SAML com um provedor de identidade para que usuários possam logar nos produtos Sensedia utilizando as credenciais desse provedor. É necessário que o provedor escolhido suporte o padrão SAML 2.0.
|
Não é possível gerar Client Credentials utilizando logins federados. |
Configurando uma conexão via SAML 2.0
A configuração de uma conexão com um provedor de identidade envolve os seguintes elementos:
-
Name: nome do seu provedor SAML.
-
Enable IdP sign out flow: Habilitar desconexão do IdP. Se quiser que, ao deslogar, o usuário também seja deslogado do provedor de identidade SAML, selecione esta opção e configure seu IdP com as informações apresentadas nos dois campos que serão exibidos:
-
Logout URL (URL de desconexão da integração) e
-
Signing certificate.
-
-
Callback URL: a URL para a qual seu provedor de identidade deve retornar o usuário após a autenticação;
-
SP Entity ID: é como o seu provedor vai identificar a sua entidade. Configure seu provedor de identidade com esta URN.
-
Metadata URL: endereço para acesso aos metadados. Verifique a documentação do seu provedor de identidade para localizar a URL de metadados e a informe neste campo.
-
Role: selecione o papel a ser aplicado com este acesso.
| Se houver papéis configurados do lado do seu provedor de identidade, eles prevalecerão sobre este. |
Os campos são explicados no vídeo abaixo:
Desativando ou editando uma conexão via SAML 2.0
Após ativa, a conexão com o provedor de identidade pode ser atualizada a qualquer momento. Para isso, clique em qualquer campo que deseja editar, faça as devidas modificações e clique em UPDATE.
Para desativar uma conexão, clique no botão DISCONNECT.
|
Ao clicar no botão DISCONNECT, todos os usuários daquele login federado terão seus acessos desativados. Para restabelecer a conexão, siga novamente os passos acima (Configurando uma conexão via SAML 2.0). Clicar em DISCONNECT não altera as suas configurações com o seu provedor de identidade. |
Login e controle de usuários
Ao contrário do que acontecia com o login pela Plataforma Sensedia, agora o login com usuário e senha continua sendo possível mesmo após a configuração do SAML 2.0.
Um usuário poderá logar nos produtos Sensedia tanto via SAML como separadamente.
Configurando uma aplicação do API Manager em seu provedor de identidade
Para habilitar uma conexão SAML 2.0, é preciso que uma aplicação do API Manager esteja cadastrada no seu provedor de identidade.
Veja abaixo alguns exemplos de configuração usando:
| Consulte a documentação oficial do seu provedor para obter mais ajuda com as configurações necessárias. |
Exemplo de configuração usando Okta
A conexão via SAML 2.0 pode ser feita com o provedor de acesso da sua escolha. Existem diversos provedores, um deles é o Okta. Para configurá-lo, siga os passos listados a seguir.
-
Se já não possuir, crie uma conta no Okta.
Acesse pelo link https://developer.okta.com/signup/ -
Crie um app do tipo SAML 2.0.
Para isso, clique em e no botão Create App Integration, como mostra a figura abaixo.
Em seguida, na tela modal que se abrirá, selecione a opção SAML 2.0 e clique em Next
-
Configure o app, especificando um nome para o login federado, ícone ou logo (opcional) e opções de visibilidade.
Em seguida, clique em Next. -
Na tela seguinte, preencha os campos:
-
Single sign on URL: URL de callback, que tem como base o endereço do seu API Manager:
<MANAGER-URL>/api-manager/api/v3/saml/callback; -
Audience URI (SP Entity ID): o valor informado neste campo será utilizado no API Manager como "application ID";
-
Default RelayState: campo de preenchimento não obrigatório;
-
Name ID format: selecione EmailAddress.
Mais abaixo, em Attribute Statements, preencha:
-
Name:
emailFormat:BasicValue:user.email -
Name:
nameFormat:BasicValue:user.firstName
Em seguida, clique em NEXT para finalizar o cadastro.
-
-
Na tela que aparece* ao clicar em NEXT, exporte o metadata clicando em
Identity Provider metadata is available if this application supports dynamic configuration, identificado na imagem a seguir.
(*Caso a tela não apareça, entre novamente em e clique no nome da aplicação que você acabou de criar. Na tela seguinte, clique na aba Sign On. Você deverá ver a tela abaixo)
A tela que abrir vai mostrar o conteúdo, que pode ser salvo como metadata.xml.
Anote a URL. Ela será usada para configurar o API Manager. -
Vincule o usuário do Okta ao app criado.
Para isso, clique na aba Assignments e, em seguida, clique em , como ilustra a imagem abaixo.
Na tela que abrir, clique em Assign, ao lado do seu nome e e-mail, como ilustra a imagem abaixo.
Na tela seguinte, clique no botão Save and Go Back.
| É necessário que o usuário esteja vinculado ao app criado para que ele consiga fazer o login. |
Após ter configurado o Okta, entre no seu API Manager.
Volte ao início desta página para mais detalhes sobre a configuração de uma integração no API Manager.
Em resumo, em , preencha os campos:
-
Name: nome que você cadastrou no passo 3;
-
SP Entity ID: nome informado como Audience URI no passo 4;
-
Metadata URL: coloque a URL que você obteve no passo 5;
Clique em CONNECT
Exemplo de configuração usando Azure AD
Para configurar o Azure AD como provedor de identidade, siga estes passos:
-
Anote a Metadata URL para configurar a sua plataforma Sensedia.
1. Crie um Client
-
Acesse a sua conta no Microsoft Azure e clique em Microsoft Entra ID.
-
Clique em Aplicativos Empresariais.
-
Se você já tiver um aplicativo criado para o API Manager, vá para o passo 2 - Configure o SAML.
Caso contrário, clique em + Novo aplicativo.
-
Clique em Criar seu próprio aplicativo.
-
Informe:
-
O nome que você quer dar ao seu aplicativo e
-
A finalidade de uso do seu aplicativo: selecione "Integrar qualquer outro aplicativo que você não encontre na galeria".
-
-
Clique em Criar.
-
Você verá as propriedades do seu aplicativo, incluindo seu ID e o ID do objeto.
2. Configure o SAML
-
Após a criação do aplicativo, ainda na tela de Visão geral, clique em Configurar logon único.
-
Clique em SAML.
-
Se estiver configurando pela primeira vez, a tela Configurar o Logon Único com SAML aparecerá como a imagem abaixo.
Clique em Editar na sessão "Configuração Básica de SAML".
-
Preencha os campos:
-
Identificador (ID da Entidade): Informar o SP Entity ID.
-
URL de Resposta (URL do Serviço do Consumidor de Declaração): Informar o Callback URL.
-
O Identificador e URL de resposta podem ser obtidos em:
-
Access Control Settings > Federated Login
-
Clique em SAML2 e no botão [CONFIGURE FEDERATED LOGIN] (o botão ficará habilitado quando você clicar em SAML2)
-
-
-
-
Clique em SAVE para salvar as configurações.
-
Clique em Editar na seção "Atributos e Declarações".
-
Ao lado de user.givenname e user.surname, clique nos … e em Excluir para removê-los e, em seguida, clique em OK para confirmar.
-
Após remover user.givenname e user.surname, deverão ficar apenas os campos email, name e Identificador Exclusivo do Usuário.
-
O Namespace dos campos que serão mantidos, virá preenchido. Limpe esse campo.
Por exemplo, o Namespace do campo email vem assim:
e deverá ficar assim:
Apague o conteúdo do campo Namespace para os três: email, name e Identificador Exclusivo do Usuário.
3. Anote a Metadata URL
-
Na seção "Certificados SAML", copie o conteúdo do campo URL de metadados de federação de aplicativos.
-
Configure seu Sensedia Platform, seguindo os passos abaixo. Se necessário, volte ao início desta página para mais detalhes sobre a configuração de uma integração no API Manager.
-
Entre em Access Control Settings > Federated Login
-
Clique em SAML2 e no botão [CONFIGURE FEDERATED LOGIN] (o botão ficará habilitado quando você clicar em SAML2)
-
Name: informe o mesmo nome dado ao criar um client;
-
Metadata URL: coloque a URL que acabamos de copiar de "Certificados SAML";
-
Role: papel padrão que será atribuído aos usuários quando logarem através da integração.
-
-
Clique em CREATE
-
Share your suggestions with us!
Click here and then [+ Submit idea]