Pular para o conteúdo principal
Versão: 2.2.3

Configurando a autenticação no AD FS com SAML 2.0

Nesta seção, apresentaremos um passo a passo para configurar todas as partes envolvidas na autenticação usando o AD FS e o protocolo SAML 2.0. Vamos considerar como base um serviço de identidade instalado em um servidor Windows Server 2012 R2, que oferece suporte nativo ao AD FS e ao protocolo de autenticação SAML 2.0.

A configuração envolve as seguintes etapas:

  1. Obtenha os metadados do provedor de identidade: Os metadados são encontrados em um arquivo chamado "FederationMetadata.xml". Esse arquivo contém as informações necessárias para que o SoftExpert Suite interprete as mensagens trocadas durante o processo de autenticação, como certificados digitais e endereços de acesso. O provedor de identidade fornecerá uma URL para download do arquivo de metadados. Por exemplo: URL para download do arquivo de metadados do provedor de identidade:
https://[SERVERADFS]/FederationMetadata/2007-06/FederationMetadata.xml

Exemplo considerando o endereço do servidor AD FS como "trevor.contoso.local":

https://trevor.contoso.local/FederationMetadata/2007-06/FederationMetadata.xml

Contoso

  1. Importe o arquivo FederationMetadata.xml para o SoftExpert Suite: Acesse o componente Configuração > Configuração > Autenticação (CM008) > Serviços de autenticação > SAML 2.0. Se essa seção estiver desabilitada, selecione o modo de autenticação SAML 2.0 nas Opções de autenticação. Importe o arquivo FederationMetadata.xml para que o SoftExpert Suite tenha acesso às informações necessárias do provedor de identidade.
cuidado

⚠️ Atenção:

  • O arquivo FederationMetadata.xml contém certificados digitais com datas de expiração. Após a expiração dos certificados, pode ser necessário realizar uma nova configuração. Consulte a seção Reconfigurando a autenticação no AD FS com SAML 2.0 para obter mais detalhes sobre esse processo.
  1. Após configurar o SoftExpert Suite, é necessário gerar o certificado e exportar o arquivo SESUITE_metadata.xml. Esse arquivo contém as informações essenciais para que o servidor de identidade (AD FS) possa interpretar as mensagens enviadas pelo SoftExpert Suite durante o processo de autenticação, como o certificado gerado e as URLs de acesso do sistema.
  2. Para importar o arquivo SESUITE_metadata.xml no AD FS, siga os passos abaixo utilizando o AD FS Management:
  • No painel "Ações", localizado no lado direito da tela, clique na opção "Adicionar confiança de parte confiável…"

ADFS

  • O assistente de configuração será aberto. Clique em "Iniciar" para prosseguir com a operação.
  • Na etapa Selecionar fonte de dados, selecione a opção "Importar dados sobre a terceira parte confiável de um arquivo" e no campo abaixo, selecione o arquivo SESUITE_metadata.xml. Feito isso, clique em Avançar:

ADFS

  • Na etapa Especificar nome para exibição, informe um nome para identificar a configuração. Feito isso, clique em Avançar:

ADFS

  • Na etapa Configurar a autenticação multifator agora?, selecione a opção "Não definir configurações de autenticação multifator para este objeto de confiança de terceira parte confiável neste momento.". Feito isso, clique em Avançar:

ADFS

  • Na etapa Escolher regras de autorização de emissão, selecione a opção "Permitir que todos os usuários acessem esta terceira parte confiável". Feito isso, clique em Avançar:

ADFS

  • Confira as informações mostradas na aba Pontos de extremidade da etapa Pronto para adicionar confiança, verificando se a URL mostrada corresponde à URL de acesso ao SoftExpert Suite correta. Feito isso, clique em Avançar:

ADFS

  • Na etapa Concluir, marque a opção "Abrir a caixa de diálogo Editar Regras de Declaração desta terceira parte confiável ao fechar o assistente" e em seguida, clique em Fechar:

ADFS

  1. Em seguida, deve-se configurar as "Regras de declaração". Se a opção de editar as regras de declaração não foi marcada anteriormente, é possível acessar as regras de declaração acessando o menu "Confiança de terceira parte confiável Editar regras de declaração do AD FS Management:

ADFS

  • Para adicionar uma nova regra, na aba Regras de transformação de emissão da tela que será aberta, clique na opção Adicionar regra:

ADFS

  • Na etapa Escolha o tipo de regra, selecione a opção "Enviar atributos LDAP como declarações" e clique em Avançar:

ADFS

  • Na etapa Configurar regra de declaração, configure os campos como mostrado na imagem a seguir. Feito isso, clique em Concluir:

ADFS

info

Em alguns provedores de identidade pode ser necessário especificar o identificador da credencial na configuração do SAML. Para isso, acesse o menu "Configuração > Configuração > Autenticação (CM008) > Serviços de autenticação > SAML 2.0", edite o registro de configuração, e no campo "Credential ID", informe o valor "Name ID".

  • Feito isso, a regra criada será apresentada na listagem da aba Regras de transformação de emissão. Clique em OK para finalizar a edição das regras de declaração.
  1. A última etapa da configuração da autenticação integrada via SAML 2.0, antes de testar a autenticação, é a configuração dos navegadores:

Google Chrome

Para incluir o Google Chrome na lista de navegadores com proteção de autenticação no servidor de autenticação ADFS, siga as seguintes etapas:

  • Abra o PowerShell como administrador.
  • Execute o seguinte comando para desabilitar momentaneamente a proteção de autenticação:
Set-ADFSProperties – ExtendedProtectionTokenCheck None
  • Em seguida, execute o seguinte comando para listar os navegadores que suportam a proteção na autenticação:
Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
  • Os navegadores suportados serão exibidos. Selecione todos os navegadores listados e adicione o navegador "Mozilla/5.0" à lista. Por exemplo:
Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")
  • Após executar esses comandos, o Google Chrome estará incluído na lista de navegadores com proteção de autenticação no servidor de autenticação ADFS. Certifique-se de reiniciar o serviço ADFS para que as alterações tenham efeito.

ADFS

Para verificar se o navegador foi incluído corretamente na lista de navegadores com proteção de autenticação no servidor ADFS, siga estas etapas:

  • Reinicie o serviço do ADFS para que as alterações tenham efeito.
  • Após reiniciar o serviço, abra o PowerShell como administrador.
  • Execute o seguinte comando para listar os navegadores com suporte à proteção na autenticação:
Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
  • Verifique se o navegador "Mozilla/5.0" está presente na lista exibida. Se estiver presente, significa que o navegador foi incluído corretamente na lista.

ADFS

Certifique-se de que todos os passos anteriores tenham sido executados corretamente e que tenha reiniciado o serviço do ADFS para que as alterações sejam aplicadas. Se o navegador "Mozilla/5.0" estiver presente na lista, isso indica que ele foi incluído corretamente e está configurado com a proteção de autenticação no servidor ADFS.