Single Sign On (SSO) Configurado

O Dotcom-Monitor suporta login SSO (Single Sign On) usando SAML 2.0. O SAML fornece a transferência de dados de autenticação entre o Provedor de Identidade dos clientes e o serviço Dotcom-Monitor. Todas as informações de login do usuário são armazenadas no lado do Provedor de Identidade e não pelo Dotcom-Monitor, o que garante um alto nível de segurança e uma melhor experiência do usuário.

Depois de configurar os grupos de permissões em seu sistema, o Dotcom-Monitor mapeia esses grupos para nossas funções de usuário e concede acesso ao sistema Dotcom-Monitor de acordo.

Mais adiante neste artigo, fornecemos as etapas necessárias para habilitar o SSO com o Active Directory FS (ADFS) e o AZURE Active Directory (Azure AD) como Provedores de Identidade. Além disso, guias passo a passo para a integração OKTA SAML são fornecidos.

Geralmente, não é aconselhável configurar um usuário do Dotcom-Monitor em vários grupos com níveis de permissão variados dentro do Active Directory. No entanto, se um usuário pertencer a dois ou mais níveis de permissão no Dotcom-Monitor, o nível de permissão mais baixo terá precedência sobre os níveis com permissões mais altas. Por exemplo, se um usuário tiver recebido simultaneamente as funções de Visualizador (Somente leitura) e Usuário avançado na plataforma Dotcom-Monitor, serão as permissões da função Visualizador que serão aplicadas durante o logon do SSO.

SSO com Diretório Ativo FS
1. Instale o ADFS 2.0 (a ajuda pode ser encontrada em http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Baixe
metadados.xml
.

3. No console ADFS 2.0 Management, adicione um certificado SSL para assinar respostas/solicitações do Dotcom-Monitor:
- Inicie o console de gerenciamento ADFS 2.0 e abra o Assistente de Configuração do Servidor.
- Clique em Criar novo FS e selecione FS autônomo.
- Selecione Certificado SSL (se não houver certificados, você poderá criar um certificado autoassinado usando certificados > do Servidor INETMGR > Criar certificado autoassinado).
4. No console de gerenciamento ADFS 2.0, adicione o IDR ao ADFS Relying Party Trusts:
- Clique em Confiar em Fundos partidários e selecione Adicionar Confiança do Partido .
- Na janela assistente, clique em Iniciar e selecione Importar dados sobre a parte que depende de um arquivo.
- Escolha metadados.xml.
- Escolha qualquer nome significativo(dotcom-monitor.com).
- Clique em Next e siga as instruções.
- Na etapa de Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem essa parte que depende
- Na etapa final, clique para desmarcar a caixa de seleção Abrir a caixa de diálogo Editar regras de declaração para esta relação de confiança de terceira parte confiável quando o assistente for fechado .
- Feche o feiticeiro.
5. Defina o SHA-1 como um algoritmo de hash seguro:
- Depois de criar confiança do partido de confiança na lista e selecionar Properties.
- Vá para a guia Advanced e altere o algoritmo de hashing para SHA-1.
6. Adicione a regra de reivindicação para enviar atributos LDAP como reivindicações:
- Clique com o botão direito do mouse na parte que depende, selecione Editar regras de reclamação.
- Clique em Adicionar regra e certifique-se de que o modelo de regra ‘Solicitar’ envia atributos LDAP à medida que as reivindicações selecionadas.
- Dê o nome da regra da reivindicação.
- Selecione a loja Atributo para ser Active Directory.
- Adicione dois mapeamentos de atributos: para o usuário-principal-nome configurado UPN, para Token-Groups – Nomes não qualificados definir função.
7. Adicione a regra personalizada:
- Clique com o botão direito do mouse na parte que depende, selecione Editar regras de reclamação.
- Clique em Adicionar regra e defina o modelo de regra ‘Reivindicação’ para Enviar reivindicações usando regra personalizada.
- Dê o nome da regra da reivindicação.
- Insira o seguinte script:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Substitua “http://www.example.com/adfs/services/trust” pela entidadeid (IdP) do Provedor de Identidade (IdP) (“http://idpsite.com/adfs/services/trust“).
8. Abra a URL no navegador a partir da máquina IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Salve o conteúdo XML como um arquivo e envie-o para o suporte do Dotcom-Monitor usando o sistema de tickets.

Quando o SSO está habilitado, você pode adicionar usuários do site Dotcom-Monitor criando novos usuários no AD ou adicionando usuários existentes a um dos seguintes grupos: “Dotcom-Monitor_Administrators”, “Dotcom-Monitor_Users”, “Dotcom-Monitor_Power_Users”, “Dotcom-Monitor_Accounting_Users”, “Dotcom-Monitor_ReadOnly_Users”, “Dotcom-Monitor_Operators“. Cada um desses grupos deve ter o escopo “global” ouuniversal” e o “segurança“.
SSO com Diretório Ativo AZURE
1. Faça login no portal Azure como administrador global ou coadministrador.

2. No portal, no painel de navegação à esquerda, selecione Diretório Ativo do Azure.

3. Para gerenciar (criar) usuários para o futuro login SSO usando o Azure AD, sob a seção Gerenciar no painel de navegação Azure Active Directory, selecione Usuários > Todos os usuários:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Crie um novo aplicativo corporativo:
- No painel de navegação do Azure Active Directory, selecione aplicativos Enterprise.
- Clique em Novo Aplicativo, e depois aplicativo não-galeria.
- Na página Adicionar seu próprio aplicativo, defina o nome do novo aplicativo (“userauth.dotcom-monitor.com“) e clique em Adicionar.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Edite metadados de aplicativos para adicionar grupos de monitores de pontocom:
- No painel de navegação do Azure Active Directory, selecione registros de aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Clique no aplicativo “userauth.dotcom-monitor.com“, em seguida, na seção Gerenciar, selecione Manifesto.
- No editor de manifesto baseado na Web, adicione as seguintes funções no nó appRoles e Salve:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. Editar as configurações do SSO:
- No painel de navegação do Active Directory do Azure , selecione Aplicativos corporativos e clique em Todos os Aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Clique no aplicativo “userauth.dotcom-monitor.com“.
- Na seção Gerenciar, selecione “Entrar em sinal único”.
- Selecione SAML para configurar o login único. Na configuração de se inscrever único com SAML – visualizar a página configurar as opções básicas de SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Selecione o ícone Editar (um lápis) no canto superior direito da seção Atributos e Reivindicações do Usuário e adicione os novos atributos:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Selecione o ícone Editar (um lápis) no canto superior direito da seção Certificado de Assinatura SAML.
- Na seção Certificado de Assinatura SAML clique em Baixar metadados XML e salvá-lo no disco. Este arquivo deve ser enviado para dotcom-monitor.com suporte.
- Verifique Fazer novo certificado ativo (somente após baixar metadados ) e confirmar a ação.
- Verifique as configurações avançadas de assinatura de certificados e defina o SHA-1 como o algoritmo de assinatura.
- Clique em Salvar.
6. Atribua papéis:
- No painel de navegação do Active Directory do Azure , selecione Aplicativos corporativos e clique em Todos os Aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Clique no aplicativo “userauth.dotcom-monitor.com” e selecione Usuários e grupos.
- Clique em Adicionar usuário, selecione usuário, selecione a função (uma das funções de monitor de pontocom) e clique em Atribuir. Faça isso por todos os usuários necessários.
7. Envie metadados.xml para suporte dotcom-monitor. Clique aqui, faça login na sua conta e envie um ticket.
SSO com OKTA

Verifique os seguintes materiais para configurar a integração OKTA com o Dotcom-Monitor e habilite o SSO:

OKTA – Guia PDF de Integração do Monitor dotcom

Integração OKTA SAML com Vídeo Passo a Passo do Monitor Dotcom-Monitor

Vídeo de login SAML

Veja também os seguintes guias alternativos:

Okta para Dotcom-Monitor Guia Alternativo

Okta para Dotcom-Monitor VÍDEO DE Configuração SAML

Configuração de SSO para Departamentos

Se você tiver um Departamento criado para a conta Dotcom-Monitor, poderá configurar os usuários de SSO para fazer logon nela.

Para habilitar o SSO para Departamentos, adicione o nome do departamento como um sufixo ao nome do grupo ou função reservada para fins do Dotcom-Monitor em AD. Use um hífen duplo como separador:

<AD Group Name>--<Department Name>

Para configurar o SSO com o Dotcom-Monitor, use os seguintes nomes para configurar funções de SSO em seu serviço de diretório:

Nome do Grupo do AD (Função SSO)	Função de usuário no Dotcom-Monitor
Dotcom-Monitor_Administrators	admin
Pontocom-Monitor_Users	utilizador
Dotcom-Monitor_Accounting_Users	Contabilidade
Pontocom-Monitor_ReadOnly_Users	Visualizador
Pontocom-Monitor_Power_Users	Usuário de energia
Dotcom-Monitor_Operators	Operator

Por exemplo, para permitir que um usuário faça logon no departamento “AlphaDep” com permissões da função Usuário avançado , adicione o seguinte sufixo ao Grupo Dotcom-Monitor_Power_Users AD:

«Dotcom-Monitor_Power_Users--AlphaDep»

Para alterar um nome do Grupo ADFS, clique com o botão direito do mouse no grupo e selecione Renomear. Uma vez renomeado, altere o nome pré-Windows 2000 também na caixa pop-up ou no Properties > General > Group Name (pré Windows 2000).

Você também pode adicionar nomes de vários departamentos, um a um, usando o mesmo formato. por exemplo:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Para permitir que os usuários façam logon na conta raiz, especifique um Grupo do AD relevante sem um sufixo de departamento, conforme descrito acima:

«Dotcom-Monitor_ReadOnly_Users»

Se um usuário estiver incluído em vários grupos de anúncios “Dotcom-Monitor_” com SSO configurado para Departamentos, o login em todos os Departamentos correspondentes será ativado (se os Departamentos existirem na conta Dotcom-Monitor).

Consulte também: Entrando com SSO

SSO com Diretório Ativo FS

SSO com Diretório Ativo AZURE

SSO com OKTA

Configuração de SSO para Departamentos