O logon único permite que as organizações usem a autenticação já definida de seu domínio e não exijam que os usuários criem um nome de usuário/senha exclusivo para o ServiceAide Cloud Service Management.

Este artigo explica como configurar a autenticação com base em SAML entre o ServiceAide Cloud Service Management e seu IdP (Identity Provider - Provedor de Identidade). Esse recurso foi testado com o Microsoft Active Directory Federation Service (ADFS 3.0) e o Novell Access Manager. No entanto, você também pode configurar a autenticação com base em SAML em outros IdPs, como o OpenAM e o PingFederate.

Você precisa de privilégios de administrador no ServiceAide Cloud Service Management para executar as tarefas listadas nesse artigo.

Visão geral

Para ativar o logon único entre o ServiceAide Cloud Service Management e o IdP, estabeleça uma federação entre esses dois sistemas. As configurações são necessárias no ServiceAide Cloud Service Management e no servidor do IdP para estabelecer a federação.

Para ativar e configurar o logon único, execute as seguintes tarefas:

Validar os pré-requisitos
Exportar certificados do provedor de identidade
Configurar o Logon Único do SAML no ServiceAide Cloud Service Management
Adicionar o ServiceAide Cloud Service Management como um provedor de serviços confiável no provedor de identidade
Configurar o provedor de identidade para enviar o identificador de usuário como uma ID de nome

Pré-requisitos

Antes de iniciar as configurações, certifique-se de que as seguintes condições foram atendidas:

O servidor do provedor de identidade está configurado e em execução.
O certificado de assinatura de token está disponível.
HTTPS/SSL está ativado no servidor de IIS.
O ServiceAide Cloud Service Management está instalado em um servidor com HTTPS/SSL ativado.

Observação: não modifique nenhum parâmetro no servidor de aplicativos nem no servidor de banco de dados. Entre em contato com o suporte da ServiceAide para obter ajuda com essas mudanças.

Exportar o certificado do provedor de identidade

Servidores de federação usam pares de chave pública/privada para adicionar a assinatura digital a todos os tokens de segurança que eles produzem. Essas chaves validam a autenticidade do token de segurança criptografado.

O ServiceAide Cloud Service Management usa os certificados de assinatura para proteger comunicações e estabelecer confiança.

Exporte a parte de chave pública do certificado de assinatura a partir do IdP. Salve o certificado de assinatura em um sistema local acessível para o ServiceAide Cloud Service Management. Use os metadados XML do certificado ao configurar o logon único no ServiceAide Cloud Service Management.

Observação: armazene o certificado de assinatura em um arquivo codificado a Base64 no ADFS 3.0 e em um arquivo PEM no Novell Access Manager.

Siga estas etapas no Microsoft ADFS 3.0:

Efetue logon no servidor do IdP e vá para Ferramentas administrativas, Gerenciamento do ADFS 3.0, Serviços, Certificados.
Selecione o certificado de assinatura em Assinatura de token e clique em Copiar para arquivo.
O assistente de exportação é iniciado.
Clique em Avançar, selecione Não exportar chave privada e clique em Avançar.
Exportar e salve o arquivo no formato X.509 codificado n base 64 (.CER).

Se a exportação for bem-sucedida, o certificado é salvo no local especificado. É possível abrir o certificado em qualquer editor de texto, como o bloco de notas.

Siga estas etapas no Novell Access Manager:

Efetue logon no Console de administração do Novell iManager e navegue para Gerenciador de acesso, Certificados.
Abra o certificado de assinatura, clique em Exportar certificado público e selecione Arquivo PEM.
Salve o arquivo no formato PEM no local desejado.

Se a exportação for bem-sucedida, o certificado é salvo no local especificado. É possível abrir o certificado em qualquer editor de texto, como o bloco de notas.

Configurar o Logon Único do SAML no ServiceAide Cloud Service Management

É possível adicionar várias configurações de logon único SAML ao ServiceAide Cloud Service Management. Isso permite que um único sistema ServiceAide Cloud Service Management suporte diferentes organizações que podem ter uma configuração de SSO/SAML diferente. Para ativar o logon único, configure o ServiceAide Cloud Service Management para confiar nas asserções enviadas pelo IdP.

Siga estas etapas:

Vá para GERENCIAR, ADMINISTRAÇÃO, Ferramentas, Configuração do slice, Logon único.
Para adicionar uma configuração SSO, clique no ícone + e execute as seguintes ações:
1. Digite o nome de domínio, o URL de logon do IdP e, opcionalmente, o URL de redirecionamento para logoff.
2. Copie todo o texto do seu certificado de assinatura e cole-o na caixa de texto Certificado do provedor de identidade.
3. Digite o domínio de email no campo de texto Indicadores de domínio de email. O domínio de email ajuda a decidir o URL do ticket para a comunicação de saída e o URL de logoff do usuário conectado. É possível adicionar vários domínios de email separados por ponto e vírgula.
  Observação: ao definir várias configurações de SSO, você pode ter apenas um identificador de domínio de email como vazio.
Salve a configuração do SSO.
Para editar um SSO, clique no ícone de lápis.
Para ativar ou desativar um SSO, clique em Ativar ou em Desativar, de acordo com sua escolha.

Após o logon único ser configurado no ServiceAide Cloud Service Management, os metadados tornam-se disponíveis online. O URL para o arquivo de metadados varia para diferentes instâncias do aplicativo. Considere o exemplo a seguir:

Produção dos EUA: https://sm1.saas.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/
Teste dos EUA: https://sm1s.saas.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/

Você pode baixar os metadados desse local e salvá-los como um arquivo XML. Use as informações deste arquivo XML e adicione o ServiceAide Cloud Service Management como um parceiro confiável no seu IdP.

Observação: entre em contato com a equipe de suporte da ServiceAide para obter o URL de metadados aplicável à sua instância de aplicativo.

Adicione o ServiceAide Cloud Service Management como provedor de serviços confiável no IdP

Adicione os metadados gerados no ServiceAide Cloud Service Management ao IdP para ativar a comunicação de SAML entre eles. Para obter informações sobre como gerar os metadados, consulte Configurar o logon único de SAML no ServiceAide Cloud Service Management.

Siga estas etapas no Microsoft ADFS 3.0:

Efetue logon no servidor IdP e vá para Ferramentas administrativas, Gerenciamento do ADFS 3.0, Objetos de confiança de terceira parte confiável e clique em Adicionar objeto de confiança de terceira parte confiável.
Siga as instruções no assistente Adicionar objeto de confiança de terceira parte confiável para adicionar os metadados.
Certifique-se de que as seguintes condições foram atendidas:
1. A opção Permitir que todos os usuários acessem essa terceira parte confiável está selecionada.
2. Uma entrada para o ServiceAide Cloud Service Management é exibida na guia Terminais.
3. O valor de SHA (Secure Hash Algorithm – Algoritmo de Hash Seguro) na guia Avançado é definido como SHA-1.
4. Na página Concluir, selecione Abrir a caixa de diálogo Editar regras de declaração para este objeto de confiança de terceira parte confiável quando o assistente fechar. A caixa de diálogo Editar regras de declaração ajuda a definir os atributos de identificação de um usuário.
5. Adicione atributos de identificação de usuário na caixa de diálogo Editar regras de declaração. Para obter mais informações sobre as regras de declaração, consulte Configurar o provedor de identidade para enviar o identificador do usuário como uma ID de nome.

O ServiceAide Cloud Service Management é adicionado como um provedor de serviços confiável em seu IdP.

Siga estas etapas no Novell Access Manager:

Efetue logon no Console de administração do Novell iManager e navegue para Gerenciador de acesso, Servidores de identidade e Servidores.
Na guia Servidores, selecione um agrupamento de servidores e clique em Editar.
Clique em SAML 2.0, Novo, Provedor de serviço.
Adicione um nome para o provedor de serviços do ServiceAide Cloud Service Management. No campo Origem, você pode adicionar o URL de metadados ou colar o texto do arquivo de metadados.
Clique em Concluir.
Navegue para Gerenciador de acesso, Servidores de identidade e clique em Atualizar tudo.

O ServiceAide Cloud Service Management é adicionado como um provedor de serviços confiável em seu IdP.

Configurar o provedor de identidade para enviar o identificador de usuário como uma ID de nome

Depois de configurar o IdP e o ServiceAide Cloud Service Management para confiar nas asserções, configure a instrução de atributo da asserção do SAML. Essa instrução de atributo é usada para identificar um usuário. Você pode usar um identificador exclusivo para identificar cada usuário, como Nome do princípio ou ID do email.

Observação: ao usar o utilitário ADSync, use o identificador de nome que é mapeado para o nome de usuário no ServiceAide Cloud Service Management.

Siga estas etapas no Microsoft ADFS 3.0:

Acesse a caixa de diálogo Editar regras de declaração conforme instruções em Adicionar o ServiceAide Cloud Service Management como provedor de serviços confiável no IdP.
Clique em Regras de transformação de emissão, Adicionar regras. Selecione o modelo de regra Enviar atributos LDAP como declaração e clique em Avançar.
Configure a regra de declaração:
1. Especifique um nome para a regra. Por exemplo, enviar princípio como ID de nome.
2. Selecione o local para armazenar esta regra. Por exemplo, Active Directory.
3. Mapear os atributos LDAP para tipo de declaração de saída. Por exemplo, o atributo LDAP – Nome de princípio de usuário e tipo de declaração de saída – ID de nome.
4. Clique em Concluir e confirme se a nova regra é exibida na guia Regras de transformação de emissão.
5. Clique em Aplicar e clique em OK.

O logon único é configurado para o ServiceAide Cloud Service Management com o ADFS 3.0 como o IdP.

Siga estas etapas no Novell Access Manager:

Efetue logon no Console de administração do Novell iManager e navegue para Gerenciador de acesso, Servidores de identidade, Configurações compartilhadas.
Clique em Novo para criar um conjunto de atributos. Digite um nome para o conjunto de atributos, selecione um modelo e clique em Avançar.
Você será solicitado a definir os atributos.
Clique em Novo. Na caixa de diálogo Adicionar mapeamento de atributo, especifique o Atributo de local e, se necessário, o Atributo remoto. Se você estiver usando o atributo remoto, também especifique o espaço de nomes remoto e o formato remoto.
Clique em Concluir e, em seguida, em OK.
Clique em Configurações, Atributos.
Na lista suspensa Conjunto de atributos, selecione o conjunto de atributos definido anteriormente.
Selecione o atributo que você definiu anteriormente na área Disponível e mova-o para a área Enviar com autenticação. Clique em Aplicar.
Clique em Configuração, Resposta de autenticação.
Na lista suspensa Vínculo, selecione Postar.
Ative o botão de opção Não especificado. Selecione o atributo definido anteriormente na lista suspensa ao lado de Não especificado.
Clique em Aplicar.
Navegue para Gerenciador de acesso, Servidores de identidade e clique em Atualizar tudo.

O logon único é configurado para o ServiceAide Cloud Service Management com o Novell Access Manager como o IdP.

Solução de problemas

Não é possível integrar o logon SSO

Sintoma

Quando um logon SSO é iniciado, um erro de servidor é exibido.

Causa

O ServiceAide Cloud Service Management envia um XML de solicitação SAML codificada para o IDP para processar o logon SSO. O XML codificado contém um atributo entityID, que não é um atributo de solicitação SAML padrão, causando, assim, o erro.

Solução

Verifique se o arquivo de log do IDP para o seguinte tipo de padrão de erro:
Para remover o erro, siga estas etapas:
1. Vá para GERENCIAR, ADMINISTRAÇÃO, Ferramentas, Configuração do slice.
2. Altere o valor do parâmetro INCLUDE_ENTITYID_IN_OUTGOING_SAML_REQUEST para False para ignorar a inclusão do atributo entityID nas solicitações SAML de saída.
  Observação: por padrão, o valor do parâmetro foi definido como Verdadeiro.

Browser not supported