SAML 2.0

É possível estabelecer conexão via SAML com um provedor de identidade para que usuários possam logar nos produtos Sensedia utilizando as credenciais desse provedor. É necessário que o provedor escolhido suporte o padrão SAML 2.0.

Não é possível gerar Client Credentials utilizando logins federados.

Configurando uma conexão via SAML 2.0

A configuração de uma conexão com um provedor de identidade envolve os seguintes elementos:

  • Name: nome do seu provedor SAML.

  • Enable IdP sign out flow: Habilitar desconexão do IdP. Se quiser que, ao deslogar, o usuário também seja deslogado do provedor de identidade SAML, selecione esta opção e configure seu IdP com as informações apresentadas nos dois campos que serão exibidos:

    • Logout URL (URL de desconexão da integração) e

    • Signing certificate.

  • Callback URL: a URL para a qual seu provedor de identidade deve retornar o usuário após a autenticação;

  • SP Entity ID: é como o seu provedor vai identificar a sua entidade. Configure seu provedor de identidade com esta URN.

  • Metadata URL: endereço para acesso aos metadados. Verifique a documentação do seu provedor de identidade para localizar a URL de metadados e a informe neste campo.

  • Role: selecione o papel a ser aplicado com este acesso.

Se houver papéis configurados do lado do seu provedor de identidade, eles prevalecerão sobre este.

Os campos são explicados no vídeo abaixo:

Desativando ou editando uma conexão via SAML 2.0

Após ativa, a conexão com o provedor de identidade pode ser atualizada a qualquer momento. Para isso, clique em qualquer campo que deseja editar, faça as devidas modificações e clique em UPDATE.

Para desativar uma conexão, clique no botão DISCONNECT.

Ao clicar no botão DISCONNECT, todos os usuários daquele login federado terão seus acessos desativados. Para restabelecer a conexão, siga novamente os passos acima (Configurando uma conexão via SAML 2.0).

Clicar em DISCONNECT não altera as suas configurações com o seu provedor de identidade.

Login e controle de usuários

Ao contrário do que acontecia com o login pela Plataforma Sensedia, agora o login com usuário e senha continua sendo possível mesmo após a configuração do SAML 2.0.

Um usuário poderá logar nos produtos Sensedia tanto via SAML como separadamente.

Configurando uma aplicação do API Manager em seu provedor de identidade

Para habilitar uma conexão SAML 2.0, é preciso que uma aplicação do API Manager esteja cadastrada no seu provedor de identidade.

Veja abaixo alguns exemplos de configuração usando:

Consulte a documentação oficial do seu provedor para obter mais ajuda com as configurações necessárias.


Exemplo de configuração usando Okta

A conexão via SAML 2.0 pode ser feita com o provedor de acesso da sua escolha. Existem diversos provedores, um deles é o Okta. Para configurá-lo, siga os passos listados a seguir.

  1. Se já não possuir, crie uma conta no Okta.
    Acesse pelo link https://developer.okta.com/signup/

  2. Crie um app do tipo SAML 2.0.
    Para isso, clique em Applications  Applications e no botão Create App Integration, como mostra a figura abaixo.
    okta step1a

    Em seguida, na tela modal que se abrirá, selecione a opção SAML 2.0 e clique em Next

    localização da opção SAML 2.0

  3. Configure o app, especificando um nome para o login federado, ícone ou logo (opcional) e opções de visibilidade.
    Em seguida, clique em Next.

  4. Na tela seguinte, preencha os campos:

    • Single sign on URL: URL de callback, que tem como base o endereço do seu API Manager: <MANAGER-URL>/api-manager/api/v3/saml/callback;

    • Audience URI (SP Entity ID): o valor informado neste campo será utilizado no API Manager como "application ID";

    • Default RelayState: campo de preenchimento não obrigatório;

    • Name ID format: selecione EmailAddress.

      okta step4

      Mais abaixo, em Attribute Statements, preencha:

    • Name: email Format: Basic Value: user.email

    • Name: name Format: Basic Value: user.firstName

      okta step4a

      Em seguida, clique em NEXT para finalizar o cadastro.

  5. Na tela que aparece* ao clicar em NEXT, exporte o metadata clicando em Identity Provider metadata is available if this application supports dynamic configuration, identificado na imagem a seguir.
    (*Caso a tela não apareça, entre novamente em Applications  Applications e clique no nome da aplicação que você acabou de criar. Na tela seguinte, clique na aba Sign On. Você deverá ver a tela abaixo)
    okta step5
    A tela que abrir vai mostrar o conteúdo, que pode ser salvo como metadata.xml.
    Anote a URL. Ela será usada para configurar o API Manager.

  6. Vincule o usuário do Okta ao app criado.
    Para isso, clique na aba Assignments e, em seguida, clique em Assign  Assign to People, como ilustra a imagem abaixo.
    okta step6

    Na tela que abrir, clique em Assign, ao lado do seu nome e e-mail, como ilustra a imagem abaixo.

    okta step6b

    Na tela seguinte, clique no botão Save and Go Back.

É necessário que o usuário esteja vinculado ao app criado para que ele consiga fazer o login.

Após ter configurado o Okta, entre no seu API Manager.

Volte ao início desta página para mais detalhes sobre a configuração de uma integração no API Manager. Em resumo, em Access Control  Integrations, preencha os campos:

  • Name: nome que você cadastrou no passo 3;

  • SP Entity ID: nome informado como Audience URI no passo 4;

  • Metadata URL: coloque a URL que você obteve no passo 5;

    Clique em CONNECT

Exemplo de configuração usando Azure AD

Para configurar o Azure AD como provedor de identidade, siga estes passos:

1. Crie um Client

  • Acesse a sua conta no Microsoft Azure e clique em Microsoft Entra ID.
    azure step1 entra id

  • Clique em Aplicativos Empresariais.
    azure step2 apps

  • Se você já tiver um aplicativo criado para o API Manager, vá para o passo 2 - Configure o SAML.
    Caso contrário, clique em + Novo aplicativo. azure step3 create app

  • Clique em Criar seu próprio aplicativo.
    azure step4 create own app

  • Informe:

    • O nome que você quer dar ao seu aplicativo e

    • A finalidade de uso do seu aplicativo: selecione "Integrar qualquer outro aplicativo que você não encontre na galeria".
      azure step5 create own app

  • Clique em Criar.

  • Você verá as propriedades do seu aplicativo, incluindo seu ID e o ID do objeto.
    azure step6 app properties

2. Configure o SAML

  • Após a criação do aplicativo, ainda na tela de Visão geral, clique em Configurar logon único.
    azure step7 configure sso

  • Clique em SAML.
    azure step8 configure saml

  • Se estiver configurando pela primeira vez, a tela Configurar o Logon Único com SAML aparecerá como a imagem abaixo.
    Clique em Editar na sessão "Configuração Básica de SAML".
    azure step9 edit saml

  • Preencha os campos:

    • Identificador (ID da Entidade): Informar o SP Entity ID.

    • URL de Resposta (URL do Serviço do Consumidor de Declaração): Informar o Callback URL.
      azure saml identificator url

      • O Identificador e URL de resposta podem ser obtidos em:

        • Access Control Settings > Federated Login
          ac federated login

        • Clique em SAML2 e no botão [CONFIGURE FEDERATED LOGIN] (o botão ficará habilitado quando você clicar em SAML2)
          ac saml2
          ac saml2 identifier url

  • Clique em SAVE para salvar as configurações.
    azure step10 save saml

  • Clique em Editar na seção "Atributos e Declarações". azure step11 edit attributes

  • Ao lado de user.givenname e user.surname, clique nos …​ e em Excluir para removê-los e, em seguida, clique em OK para confirmar.
    azure step12 remove attributes

  • Após remover user.givenname e user.surname, deverão ficar apenas os campos email, name e Identificador Exclusivo do Usuário.

  • O Namespace dos campos que serão mantidos, virá preenchido. Limpe esse campo.
    Por exemplo, o Namespace do campo email vem assim:
    azure example email namespace
    e deverá ficar assim:
    azure example email namespace clean
    Apague o conteúdo do campo Namespace para os três: email, name e Identificador Exclusivo do Usuário.

3. Anote a Metadata URL

  • Na seção "Certificados SAML", copie o conteúdo do campo URL de metadados de federação de aplicativos.
    azure step13 metadata url

  • Configure seu Sensedia Platform, seguindo os passos abaixo. Se necessário, volte ao início desta página para mais detalhes sobre a configuração de uma integração no API Manager.

    • Entre em Access Control Settings > Federated Login
      ac federated login

    • Clique em SAML2 e no botão [CONFIGURE FEDERATED LOGIN] (o botão ficará habilitado quando você clicar em SAML2)
      ac saml2

      • Name: informe o mesmo nome dado ao criar um client;

      • Metadata URL: coloque a URL que acabamos de copiar de "Certificados SAML";

      • Role: papel padrão que será atribuído aos usuários quando logarem através da integração.
        azure step14 metadata role

    • Clique em CREATE

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]