A plataforma Digibee suporta integração com diversos provedores de identidade, tendo visto que o Azure Active Directory é um dos mais populares, criamos este artigo na forma de um tutorial de apoio para a criação e configuração do aplicativo na Azure Active Directory:
1 - Acesse o Azure Active Directory:
2 - Crie um “Enterprise Applications”
3 - “New Application”:
4 - Busque pelo plugin “Azure AD SAML Toolkit”, este aplicativo será criado com o recurso de autenticação pelo protocolo SAML, o qual iremos configurar nos próximos passos.
5 - Nomeie o aplicativo:
6 - Acesse “Single sign-on” e selecione o método SAML.
7 - Nessa tela faremos as configurações do aplicativo:
A primeira informação que você precisa enviar a Digibee é o “Federation Metadata XML” destacado acima, este arquivo XML contém as informações privadas deste aplicativo o qual serão configurados no seu realm, possibilitando a autenticação integrada. Entretanto, esse botão de “Download” vem desabilitado por padrão, isso acontece porque, um pouco mais acima, no “Basic SAML Configuration” você tem informações “obrigatórias” a preencher. Você só receberá estas informações (Identifier, Reply URL e Sign on URL) da Digibee após o envio do Federation Metadata XML.
Isso nos força a preencher estes 3 campos com uma URL qualquer apenas para liberar o botão de download do Federation Metadata XML mais abaixo, que é o arquivo que precisamos nesse momento.
Essas informações já são suficientes para atender os campos obrigatórios e liberar o botão de Download do “Federation Metadata XML”.
Como dito anteriormente, você precisará informar este XML ao Suporte da Digibee, para que seja feita uma configuração no seu realm e então a Digibee irá lhe retornar com as seguintes informações:
Identifier (também chamado de Issuer),
Reply URL (também chamado de Callback URL),
Logon URL,
Metadata URL
Com isso, podemos voltar aos campos obrigatórios e trocar as URL’s que informamos anteriormente pelas “oficiais” que você recebeu do Suporte Digibee após enviar o Federation Metadata XML.
Com relação a metadata URL, será necessário fazer o Upload conforme indicado abaixo:
Dessa forma você precisará utilizar o conteúdo XML do Metadata URL disponibilizado pela Digibee e salvá-lo em um arquivo com extensão .xml, para então poder fazer o Upload.
8 - Para integrar os grupos da Plataforma Digibee com grupos criados no Active Directory, é necessário configurar a seção “Attributes & Claims”:
É preciso adicionar o “Group claim”, isso significa que no processo de autenticação o Active Directory enviará para a Digibee os grupos aos quais o usuário pertence, dessa forma será possível ocorrer a associação dos grupos entre Azure e Digibee, caso você tenha feito o de/para dos grupos na plataforma, a integração de grupos é opcional.
A opção escolhida do “Group Claim” pode afetar a integração dos grupos com a plataforma, caso seja escolhida a opção “All groups”, todos os Group ID deste usuário, inclusive de outros aplicativos serão enviados para a Digibee para que ocorra a associação, todavia, caso o usuário esteja inserido em uma grande quantidade de grupos, o Active Directory irá comprimir essa lista dos “Group ID” e enviará à Digibee via SAML em um link, isso impedirá que ocorra a associação automática dos grupos, nesse caso a alternativa é utilizar a opção “Groups Assigned to the application”:
9 - Por fim, vale lembrar que os usuários que irão logar devem estar criados no aplicativo:
10 - Agora já é possível testar a integração.
Resolução de problemas:
Caso você tenha erros relacionadas a inserção de informações equivocadas o Active Directory costuma retornar o erro na própria tela:
Nestes casos você pode fazer um double-check se as URL’s fornecidas pela Digibee foram inseridas corretamente, lembrando que na Azure elas sempre devem ser inseridas com HTTPS. Garanta também, que foi feito o Upload do arquivo xml dos metadados, conforme explicado no passo 7.
Caso tenha ocorrido sucesso na autenticação porém sem a associação automática dos grupos, é possível verificar o SAML Response que foi enviado a Digibee:
O SAML Response estará sempre codificado em Base64 e pode ser decodificado em ferramentas públicas da internet.
A lista dos Group ID’s enviados para Digibee costuma estar dentro desta tag: