SAML 2.0

É possível estabelecer conexão via SAML com um provedor de identidade para que usuários possam logar nos produtos Sensedia utilizando as credenciais desse provedor. É necessário que o provedor escolhido suporte o padrão SAML 2.0.

Configurando uma conexão via SAML 2.0

A configuração de uma conexão com um provedor de identidade envolve os seguintes elementos:

  • Name: nome do seu provedor SAML.

  • Enable IdP sign out flow: Habilitar desconexão do IdP. Se quiser que, ao deslogar, o usuário também seja deslogado do provedor de identidade SAML, selecione esta opção e configure seu IdP com as informações apresentadas nos dois campos que serão exibidos:

    • Logout URL (URL de desconexão da integração) e

    • Signing certificate.

  • Callback URL: a URL para a qual seu provedor de identidade deve retornar o usuário após a autenticação;

  • SP Entity ID: é como o seu provedor vai identificar a sua entidade. Configure seu provedor de identidade com esta URN.

  • Metadata URL: endereço para acesso aos metadados. Verifique a documentação do seu provedor de identidade para localizar a URL de metadados e a informe neste campo.

  • Policy: selecione a política de acesso a ser aplicada com este acesso.

Na existência de políticas configuradas do lado do seu provedor de identidade, elas prevalecerão sobre esta.

Os campos são explicados no vídeo abaixo:

Desativando ou editando uma conexão via SAML 2.0

Após ativa, a conexão com o provedor de identidade pode ser atualizada a qualquer momento. Para isso, clique em qualquer campo que deseja editar, faça as devidas modificações e clique em UPDATE.

Para desativar uma conexão, clique no botão DISCONNECT.

Ao clicar no botão DISCONNECT, todos os usuários daquela integração terão seus acessos desativados. Para restabelecer a conexão, siga novamente os passos acima (Configurando uma conexão via SAML 2.0).

Clicar em DISCONNECT não altera as suas configurações com o seu provedor de identidade.

Login e controle de usuários

Ao contrário do que acontecia com o login pela Plataforma Sensedia, agora o login com usuário e senha continua sendo possível mesmo após a configuração do SAML 2.0.

Um usuário poderá logar nos produtos Sensedia tanto via SAML como separadamente.

Configurando uma aplicação do API Manager em seu provedor de identidade

Para habilitar uma conexão SAML 2.0, é preciso que uma aplicação do API Manager esteja cadastrada no seu provedor de identidade.

Consulte a documentação oficial do seu provedor para obter mais ajuda com as configurações necessárias.

Veja abaixo um exemplo de configuração.

Exemplo de configuração usando Okta

A conexão via SAML 2.0 pode ser feita com o provedor de acesso da sua escolha. Existem diversos provedores, um deles é o Okta. Para configurá-lo, siga os passos listados a seguir.

  1. Se já não possuir, crie uma conta no Okta.
    Acesse pelo link https://developer.okta.com/signup/

  2. Crie um app do tipo SAML 2.0.
    Para isso, clique em Applications  Applications e no botão Create App Integration, como mostra a figura abaixo.
    okta step1a

    Em seguida, na tela modal que se abrirá, selecione a opção SAML 2.0 e clique em Next

    localização da opção SAML 2.0

  3. Configure o app, especificando um nome para a sua integração, ícone ou logo (opcional) e opções de visibilidade.
    Em seguida, clique em Next.

  4. Na tela seguinte, preencha os campos:

    • Single sign on URL: URL de callback, que tem como base o endereço do seu API Manager: <MANAGER-URL>/api-manager/api/v3/saml/callback;

    • Audience URI (SP Entity ID): o valor informado neste campo será utilizado no API Manager como "application ID";

    • Default RelayState: campo de preenchimento não obrigatório;

    • Name ID format: selecione EmailAddress.

      Mais abaixo, em Attribute Statements (imagem abaixo), preencha:

    • Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ;

    • Name format: selecione basic ;

    • Value: preencha com: user.e-mail ;
      okta step4
      Em seguida, clique em NEXT para finalizar o cadastro.

  5. Na tela que aparece* ao clicar em NEXT, exporte o metadata clicando em Identity Provider metadata is available if this application supports dynamic configuration, identificado na imagem a seguir.
    (*Caso a tela não apareça, entre novamente em Applications  Applications e clique no nome da aplicação que você acabou de criar. Na tela seguinte, clique na aba Sign On. Você deverá ver a tela abaixo)
    okta step5
    A tela que abrir vai mostrar o conteúdo, que pode ser salvo como metadata.xml.
    Anote a URL. Ela será usada para configurar o API Manager.

  6. Vincule o usuário do Okta ao app criado.
    Para isso, clique na aba Assignments e, em seguida, clique em Assign  Assign to People, como ilustra a imagem abaixo.
    okta step6

    Na tela que abrir, clique em Assign, ao lado do seu nome e e-mail, como ilustra a imagem abaixo.

    okta step6b

    Na tela seguinte, clique no botão Save and Go Back.

É necessário que o usuário esteja vinculado ao app criado para que ele consiga fazer o login.

Após ter configurado o Okta, entre no seu API Manager.

Volte ao início desta página para mais detalhes sobre a configuração de uma integração no API Manager. Em resumo, em Access Control  Integrations, preencha os campos:

  • Name: nome que você cadastrou no passo 3;

  • SP Entity ID: nome informado como Audience URI no passo 4;

  • Metadata URL: coloque a URL que você obteve no passo 5;

    Clique em CONNECT

Thanks for your feedback!
EDIT
How useful was this article to you?