Configuração de SAML 2.0 usando SSO de vários provedores

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • É possível criar ou atualizar uma configuração de SSO do SAML 2.0 no recurso SSO de vários provedores.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Novo na versão Jakarta, você deve validar sua configuração usando a funcionalidade Teste de conexão antes de ativar sua configuração de IdP. É possível usar a funcionalidade Atualizar para salvar os dados de configuração, mas a configuração não será ativa sem um teste de conexão bem-sucedido.

    Procedimento

    1. Navegar até Tudo > SSO Multiprovedor > Provedores de Identidade.
    2. Especifique uma das seguintes opções.
      • Para atualizar uma configuração, clique em um registro de configuração de SSO.
      • Para criar uma nova configuração, clique em Novo > SAML.
    3. Para uma nova configuração, insira as informações do IdP usando um dos seguintes métodos:
      OpçãoDescrição
      Uso de um URL descritor de metadados Clique na caixa de seleção URL e insira o URL do IdP que estiver usando.
      Uso do arquivo do descritor de metadados XML Clique na caixa de seleção XML e cole os dados XML gerados a partir do IdP usado.
      Inserção manual de metadados Feche a janela pop-up e insira manualmente os dados nos campos de propriedade.
      Todos os campos obrigatórios devem ser preenchidos no formulário Provedor de identidade. Formulário IdP
      Tabela 1. Campos de Single Sign-on de vários provedores
      Propriedade Necessários Descrição
      Nome Sim Insira o nome do IdP. Este IdP é a ID do sistema de redirecionamento automático.
      Ativo Sim Ativo deve ser definido como verdadeiro para o IdP a ser usado para autenticação.
      Nota:
      A opção para definir esta propriedade é exibida somente após um teste de conexão bem-sucedido.
      Padrão Não A configuração Redirecionar IdP automaticamente, anteriormente conhecida como IdP primário, redireciona os usuários automaticamente para que acessem o URL da instância base. Esta propriedade define esta configuração de IdP como padrão.
      Redirecionar IdP automaticamente Não Define esta configuração de IdP como Redirecionar IdP automaticamente.
      Nota:
      Se uma nova configuração Redirecionar IdP automaticamente for ativada, o cookie glide_sso_id será atualizado com o novo IdP de redirecionamento automático. A propriedade do sistema glide.authenticate.sso.update.idp.cookie, habilitada automaticamente, controla este recurso.
      URL do provedor de identidade Sim Insira o URL do seu IdP. Cada URL de IdP deve ser exclusivo.
      AuthnRequest do provedor de identidade Sim Insira o URL para a vinculação HTTP-Redirect obtida do elemento SingleSignOnService.
      SingleLogoutRequest do provedor de identidade Não Insira o URL obtido do elemento SingleLogoutService.
      ServiceNow Página inicial Sim Insira o URL, incluindo a página de login, da instância para a qual o IdP é autenticado. Por exemplo: https://yourinstance.service-now.com/navpage.do
      ID da entidade/emissor Sim Insira o URL base, excluindo a página de login da instância para a qual o IdP faz a autenticação. Por exemplo: https://yourinstance.service-now.com/
      URI do público Sim Insira o URL base, excluindo a página de login da instância para a qual o IdP faz a autenticação. Por exemplo: https://yourinstance.service-now.com/
      Política NameID Sim Insira o valor do elemento NameIDFormat usado pela integração.
      Redirecionamento de logout externo Não Insira o URL para onde a integração redireciona os usuários após o logout.
      Redirecionamento de requisito com falha Não Insira o URL para redirecionamento de solicitações de autenticação com falha. Por padrão, este é o endpoint do URL de uma página de erro ou página de logout configurada no IdP. É possível preencher este valor no campo glide.authenticate.failed_requirement_redirect.
    4. Opcional: Guia Criptografia e assinatura
      Nota:
      Recomendamos o uso dos seus próprios certificados para criptografia e assinatura.
      Criptografia e assinatura
      Tabela 2. Campos de Criptografia e assinatura
      Propriedade Descrição
      Alias das chaves de assinatura Insira o Alias de assinatura da entrada da chave armazenada no armazenamento de chaves SAML 2.0 SP.
      Senha da chave de assinatura Insira a Senha de assinatura da entrada de chave armazenada no armazenamento de chaves SAML 2.0 SP.
      Alias da chave de criptografia Insira o Alias de criptografia da entrada da chave armazenada no armazenamento de chaves SAML 2.0 SP.
      Senha da chave de criptografia Insira a senha de criptografia da entrada de chave armazenada no armazenamento de chaves SAML 2.0 SP.
      Estipulação da criptografia Marque a caixa de seleção para criptografar a estipulação na resposta do SAML. Os metadados gerados para o IDP incorporam o certificado x509, que o IDP usa para criptografar a estipulação na resposta do SAML gerada por ele.
      Algoritmo de assinatura para assinar Insira o URL que aponta para o consumidor de AuthnRequest do provedor de identidade SAML 2.0 para a autenticação de assinaturas eletrônicas.
      Assinar AuthnRequest Marque a caixa de seleção para habilitar o serviço de logon único IdP para receber um AuthnRequest assinado.
      Assinar LogoutRequest Marque a caixa de seleção para habilitar o serviço de logon único IdP para receber um LogoutRequest assinado.
      Assinar resposta de logout Marque a caixa de seleção para habilitar o serviço de logon único do IdP para receber uma resposta de logout assinada.
    5. Opcional: Guia Provisionamento de usuário
      Guia Provisionamento de usuário
      Tabela 3. Campos de Provisionamento de usuário
      Propriedade Descrição
      Usuário de autoprovisionamento Habilitar o provisionamento automático de usuários cria os usuários quando o usuário não existir na tabela Usuário da instância com base nas informações fornecidas pelo IdP.
      Atualizar registro do usuário a cada logon Atualiza as informações do usuário na tabela Usuário da instância com as informações no IdP sempre que o usuário faz login usando SAML.
    6. Opcional: Guia Avançado
      Guia Avançado
      Tabela 4. Campos de Avançado
      Propriedade Descrição
      Campo de Usuário Insira o campo na tabela Usuário que contém o valor requerido pelo IdP para identificar o usuário. Esta é uma ID exclusiva como parte da resposta. Por exemplo, nome de usuário, ID de funcionário e assim por diante. Na tabela Usuário do sistema, esta ID exclusiva corresponde aos detalhes do usuário.
      Atributo NameID Deixe este campo em branco, a menos que você configure uma nova política NameID. Se você configurar uma nova política, o sistema exigirá a tabela Usuário ser usada para identificar o usuário que faz o login. O sistema corresponde o token NameID ao nome no campo da tabela Usuário aqui.
      Criar AuthnContextClass Marque a caixa de seleção para especificar uma classe de contexto específica, como Transporte protegido por senha. Se a caixa de seleção estiver desmarcada, o IdP selecionará a classe de contexto mais apropriada.
      Método AuthnContextClassRef Insira o URN do mecanismo de login a ser usado pelo IdP para a autenticação de usuários.
      Forçar AuthnRequest Marque a caixa de seleção para forçar a ocorrência de AuthnRequests.
      A AuthnRequest é passiva? Marque a caixa de seleção se a AuthnRequest for passiva.
      Script de Single Sign-on Selecione o script de Single Sign-on O padrão é MultiSSOV2_SAML2_custom.
      Assinar resposta de logout Insira os detalhes da resposta de logout neste campo.
      Distorção do relógio Insira o número de segundos entre os dois atributos que compõem o nonce SAMLResponse. O padrão é 60. Um SAMLResponse válido deve estar entre os valores de data e hora notBefore e notOnOrAfter. Consulte a amostra de resposta SAML 2 com os elementos SubjectConfirmation e SubjectConfirmationData e a amostra de resposta SAML 2 com AudienceRestrictions e Audience Elements para obter uma amostra de mensagem SAMLResponse.
      A ligação de protocolo para o SingleLogoutRequest do IDP Insira um dos valores compatíveis listados no atributo de vinculação do elemento SingleLogoutService.
      URL de metadados dos quais as propriedades do IDP são importadas As propriedades do IdP são importadas deste URL. Se definido, ele habilitará a importação automática do certificado SAML do IdP se o certificado anterior tiver expirado.
      Nota:
      Se você atualizar da atualização 1 do SAML2 para SSO de vários provedores ou se configurar sua conexão SSO manualmente, o URL de metadados do IdP não será preenchido automaticamente.
      Solicitação Uma ID exclusiva como parte da solicitação. A ID pode ser o nome do usuário, a ID do funcionário e assim por diante.
      Nota:
      A vinculação de redirecionamento e publicação é compatível com a solicitação. A opção de definir este campo é exibida somente após um teste de conexão bem-sucedido. Para obter mais informações, consulte Teste de conexões IdP.
      Resposta Uma ID exclusiva como parte da resposta. A ID pode ser o nome do usuário, a ID do funcionário e assim por diante.
      Nota:
      A vinculação de redirecionamento e publicação é compatível com a resposta. A opção de definir este campo é exibida somente após um teste de conexão bem-sucedido. Para obter mais informações, consulte Teste de conexões IdP.