Configurando a autenticação no AD FS com SAML 2.0

Nesta seção, apresentaremos um passo a passo para configurar todas as partes envolvidas na autenticação usando o AD FS e o protocolo SAML 2.0. Vamos considerar como base um serviço de identidade instalado em um servidor Windows Server 2012 R2, que oferece suporte nativo ao AD FS e ao protocolo de autenticação SAML 2.0.

A configuração envolve as seguintes etapas:

1. Obtenha os metadados do provedor de identidade: Os metadados são encontrados em um arquivo chamado "FederationMetadata.xml". Esse arquivo contém as informações necessárias para que o SoftExpert Suite interprete as mensagens trocadas durante o processo de autenticação, como certificados digitais e endereços de acesso. O provedor de identidade fornecerá uma URL para download do arquivo de metadados. Por exemplo: URL para download do arquivo de metadados do provedor de identidade:

https://[SERVERADFS]/FederationMetadata/2007-06/FederationMetadata.xml

Exemplo considerando o endereço do servidor AD FS como "trevor.contoso.local":

https://trevor.contoso.local/FederationMetadata/2007-06/FederationMetadata.xml

2. Importe o arquivo FederationMetadata.xml para o SoftExpert Suite: Acesse o componente Configuração > Configuração > Autenticação (CM008) > Serviços de autenticação > SAML 2.0. Se essa seção estiver desabilitada, selecione o modo de autenticação SAML 2.0 nas Opções de autenticação. Importe o arquivo FederationMetadata.xml para que o SoftExpert Suite tenha acesso às informações necessárias do provedor de identidade.

cuidado

⚠️ Atenção:

• O arquivo FederationMetadata.xml contém certificados digitais com datas de expiração. Após a expiração dos certificados, pode ser necessário realizar uma nova configuração. Consulte a seção Reconfigurando a autenticação no AD FS com SAML 2.0 para obter mais detalhes sobre esse processo.

3. Após configurar o SoftExpert Suite, é necessário gerar o certificado e exportar o arquivo SESUITE_metadata.xml. Esse arquivo contém as informações essenciais para que o servidor de identidade (AD FS) possa interpretar as mensagens enviadas pelo SoftExpert Suite durante o processo de autenticação, como o certificado gerado e as URLs de acesso do sistema.
4. Para importar o arquivo SESUITE_metadata.xml no AD FS, siga os passos abaixo utilizando o AD FS Management:

• No painel "Ações", localizado no lado direito da tela, clique na opção "Adicionar confiança de parte confiável…"

• O assistente de configuração será aberto. Clique em "Iniciar" para prosseguir com a operação.
• Na etapa Selecionar fonte de dados, selecione a opção "Importar dados sobre a terceira parte confiável de um arquivo" e no campo abaixo, selecione o arquivo SESUITE_metadata.xml. Feito isso, clique em Avançar:

• Na etapa Especificar nome para exibição, informe um nome para identificar a configuração. Feito isso, clique em Avançar:

• Na etapa Configurar a autenticação multifator agora?, selecione a opção "Não definir configurações de autenticação multifator para este objeto de confiança de terceira parte confiável neste momento.". Feito isso, clique em Avançar:

• Na etapa Escolher regras de autorização de emissão, selecione a opção "Permitir que todos os usuários acessem esta terceira parte confiável". Feito isso, clique em Avançar:

• Confira as informações mostradas na aba Pontos de extremidade da etapa Pronto para adicionar confiança, verificando se a URL mostrada corresponde à URL de acesso ao SoftExpert Suite correta. Feito isso, clique em Avançar:

• Na etapa Concluir, marque a opção "Abrir a caixa de diálogo Editar Regras de Declaração desta terceira parte confiável ao fechar o assistente" e em seguida, clique em Fechar:

5. Em seguida, deve-se configurar as "Regras de declaração". Se a opção de editar as regras de declaração não foi marcada anteriormente, é possível acessar as regras de declaração acessando o menu "Confiança de terceira parte confiável Editar regras de declaração do AD FS Management:

• Para adicionar uma nova regra, na aba Regras de transformação de emissão da tela que será aberta, clique na opção Adicionar regra:

• Na etapa Escolha o tipo de regra, selecione a opção "Enviar atributos LDAP como declarações" e clique em Avançar:

• Na etapa Configurar regra de declaração, configure os campos como mostrado na imagem a seguir. Feito isso, clique em Concluir:

info

Em alguns provedores de identidade pode ser necessário especificar o identificador da credencial na configuração do SAML. Para isso, acesse o menu "Configuração > Configuração > Autenticação (CM008) > Serviços de autenticação > SAML 2.0", edite o registro de configuração, e no campo "Credential ID", informe o valor "Name ID".

• Feito isso, a regra criada será apresentada na listagem da aba Regras de transformação de emissão. Clique em OK para finalizar a edição das regras de declaração.

6. A última etapa da configuração da autenticação integrada via SAML 2.0, antes de testar a autenticação, é a configuração dos navegadores:

Google Chrome

Para incluir o Google Chrome na lista de navegadores com proteção de autenticação no servidor de autenticação ADFS, siga as seguintes etapas:

• Abra o PowerShell como administrador.
• Execute o seguinte comando para desabilitar momentaneamente a proteção de autenticação:

Set-ADFSProperties – ExtendedProtectionTokenCheck None

• Em seguida, execute o seguinte comando para listar os navegadores que suportam a proteção na autenticação:

Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

• Os navegadores suportados serão exibidos. Selecione todos os navegadores listados e adicione o navegador "Mozilla/5.0" à lista. Por exemplo:

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")

• Após executar esses comandos, o Google Chrome estará incluído na lista de navegadores com proteção de autenticação no servidor de autenticação ADFS. Certifique-se de reiniciar o serviço ADFS para que as alterações tenham efeito.

Para verificar se o navegador foi incluído corretamente na lista de navegadores com proteção de autenticação no servidor ADFS, siga estas etapas:

• Reinicie o serviço do ADFS para que as alterações tenham efeito.
• Após reiniciar o serviço, abra o PowerShell como administrador.
• Execute o seguinte comando para listar os navegadores com suporte à proteção na autenticação:

Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

• Verifique se o navegador "Mozilla/5.0" está presente na lista exibida. Se estiver presente, significa que o navegador foi incluído corretamente na lista.

Certifique-se de que todos os passos anteriores tenham sido executados corretamente e que tenha reiniciado o serviço do ADFS para que as alterações sejam aplicadas. Se o navegador "Mozilla/5.0" estiver presente na lista, isso indica que ele foi incluído corretamente e está configurado com a proteção de autenticação no servidor ADFS.

Internet Explorer

Para configurar o Internet Explorer para autenticação integrada com SAML e incluir a URL de acesso do SoftExpert Suite nos sites confiáveis, siga estas etapas:

1. Abra o Internet Explorer.
2. Clique no menu "Ferramentas" e selecione "Opções da Internet".
3. Na janela "Opções da Internet", clique na aba "Segurança".
4. Na aba "Segurança", selecione a zona "Sites confiáveis".
5. Clique no botão "Sites".
6. Na janela "Sites confiáveis", desmarque a opção "Exigir verificação do servidor (https:) para todos os sites desta zona" (caso esteja marcada).
7. Na caixa de texto "Adicionar este site à zona", digite a URL de acesso do SE Suite, por exemplo:

"https://www.example.com" (substitua "www.example.com" pela URL correta)

8. Clique no botão "Adicionar" e em seguida em "Fechar".

Agora, o Internet Explorer está configurado para autenticação integrada com SAML e a URL de acesso do SoftExpert Suite está adicionada à lista de sites confiáveis. Certifique-se de que as configurações foram aplicadas corretamente e reinicie o navegador, se necessário.