Single Sign-On com Azure AD
Single Sign-On com Azure AD
Os administradores podem usar o Single Sign-On (SSO) para acessar suas contas escolhendo um provedor de identidade (IdP) SAML 2.0. O SSO elimina a necessidade de lembrar senhas adicionais, simplificando a experiência de login.
Para configurar o Single Sign-On (SSO) com Azure AD, o administrador precisa:
- Criar um aplicativo no console do Azure AD
- Configurar SSO
- Configurar a conta de backup em nuvem para Single Sign-On (SSO)
- Configurar funções
- Configurar Provisionamento no Microsoft Azure AD
- Atribuir usuários ao aplicativo
Criar um aplicativo no console do Azure AD
Se o aplicativo IDrive360 foi baixado anteriormente em seu diretório Azure para SSO, você deve excluir o aplicativo existente e criar um novo aplicativo.
Para usar o Azure AD como provedor de identidade para SSO, você precisa criar um aplicativo no console do Azure AD.
Para criar o aplicativo,
- Faça login no console do Azure AD usando suas credenciais de conta do Azure AD e clique em 'Aplicativos Empresariais'.
- Selecione a aba 'Visão Geral' no menu LHS e clique em 'Novo aplicativo'.
- Clique em 'Criar seu próprio aplicativo'.
- Insira o nome do aplicativo em 'Qual é o nome do seu aplicativo?'.
- Selecione 'Integrar qualquer outro aplicativo que você não encontre na galeria (Não-galeria)' e clique em 'Criar'.
- Agora, seu aplicativo IDrive 360 foi adicionado ao Microsoft Azure Active Directory.
Configurar SSO
Para configurar SSO,
- Volte para 'Microsoft Entra ID' > 'Aplicativo Empresarial'.
- Pesquise o aplicativo adicionado recentemente e clique nele.
- Navegue para 'Gerenciar' > 'Single Sign-On'.
- Escolha 'SAML' como o método preferido de single sign-on.
- Na tela 'Configurar Single Sign-On com SAML' que aparece,
- Clique em 'Editar' na 'Configuração Básica do SAML' e insira as URLs conforme indicado abaixo:
- Identificador (ID da Entidade): https://webapp.idrive360.com/api/sso/metadata
- URL de Resposta (URL do Assertion Consumer Service): https://webapp.idrive360.com/api/sso/process
- URL de Logout: https://webapp.idrive360.com/api/v1/logout
- Na seção 'Certificado SAML', clique em 'Baixar' e salve o certificado x509 (Base64).
- Copie a 'URL de Login' e a 'URL do Microsoft Entra Identifier' e configure-as com sua conta de backup em nuvem.
- Clique em 'Editar' na 'Configuração Básica do SAML' e insira as URLs conforme indicado abaixo:
Configurar a conta de backup em nuvem para Single Sign-On (SSO)
O administrador precisa fornecer as URLs SAML 2.0 recebidas e o Certificado do Azure AD no formulário de configuração do Single Sign-On no Console de Gerenciamento.
Para configurar SSO,
- Faça login na conta de backup em nuvem e clique em 'Ir para o Console de Gerenciamento'.
- Navegue para 'Configurações' > 'Single Sign-On (SSO)'.
- Insira a 'URL do Emissor do IDP', a 'URL de Login do Single Sign-On' e faça upload do 'Certificado X.509 (Base64)' recebido do seu aplicativo recém-criado no console do Azure AD.
- URL do Emissor - Microsoft Entra Identifier
- Endpoint SSO - URL de Login
- Clique em 'Configurar Single Sign-On'.
Configurar funções
As funções de aplicativo são definidas no centro de administração do Microsoft Entra durante o processo de registro do aplicativo. Quando um usuário faz login no aplicativo, o Microsoft Entra ID emite uma declaração de funções para cada função atribuída, habilitando a autorização baseada em declarações.
Nota: As funções padrão criadas pelo Azure devem ser excluídas. Para remover funções não suportadas, primeiro atribua um valor, desabilite a função e depois exclua-a.
Para criar uma função de aplicativo,
- Navegue para Home.
- Vá para 'Microsoft Entra ID' > 'Gerenciar' > 'Registros de aplicativos'.
- Pesquise seu aplicativo adicionado recentemente na aba 'Todos os aplicativos' e clique em 'Funções de aplicativo'.
- Clique em 'Criar função de aplicativo' e preencha as seguintes informações:
- Nome de exibição: Account Owner
- Tipos de membro permitidos: Users/Groups
- Valor: 1
- Descrição: MSP Admin
- Clique em 'Aplicar' para salvar suas alterações.
Repita as etapas acima para criar funções para Company Administrator, Backup Administrator, Restore User, Backup User, Backup and Restore User.
| Funções de Usuário | Valores |
|---|---|
| Account Owner | 1 |
| Company Administrator | 2 |
| Backup Administrator | 7 |
| User (Add Devices and Manage) | 3 |
| Restore User | 4 |
| Backup User | 5 |
| Backup and Restore User | 6 |
Nota: Os valores de função devem corresponder exatamente às funções correspondentes definidas no código do aplicativo.
Configurar Provisionamento no Microsoft Azure AD
Para habilitar o provisionamento, siga os passos abaixo,
- Vá para 'Provisionamento' no painel de navegação esquerdo.
- Navegue para 'Gerenciar > Provisionamento'.
- Selecione o 'Modo de Provisionamento' como Automático.
- Forneça as seguintes informações:
URL do Locatário: https://webapp.idrive360.com/api/scim/v2/?aadOptscim062020
Token Secreto: Token gerado no aplicativo IDrive360. - Clique em 'Testar Conexão' para garantir a conexão entre o Azure AD e o aplicativo IDrive 360.
- Na seção 'Configurações',
- No campo 'E-mail de Notificação',
- Insira o endereço de e-mail da pessoa que deve receber notificações de erro de provisionamento.
- Marque a caixa de seleção para 'Enviar uma notificação por e-mail quando ocorrer uma falha'.
- Insira o valor para 'Limite de exclusão acidental' de acordo com a política da sua empresa.
- Selecione 'Sincronizar apenas usuários e grupos atribuídos' para o campo 'Escopo'.
- Na seção 'Mapeamentos',
- Selecione 'Provisionar Grupos do Azure Active Directory', alterne a caixa de seleção habilitada para Não e clique em 'Salvar'.
- Selecione 'Provisionar Usuários do Azure Active Directory'.
Nota: O IDrive 360 não suporta grupos atualmente.
- Mantenha os campos sem alterações.
- Clique em 'Mostrar opções avançadas'.
- Em 'Atributos Suportados', selecione 'Editar lista de atributos para customappsso'.
- Na lista de atributos, adicione um atributo chamado 'roles', selecione o tipo como string e marque a caixa para obrigatório.
- Clique em 'Salvar'.
- Clique em 'Sim' no popup de confirmação.
- Volte para a seção 'Mapeamento de Atributos'.
- Clique em 'Adicionar novo mapeamento'.
- Selecione 'Expressão' como o tipo de mapeamento.
- Especifique o valor da expressão como,
'AppRoleAssignmentsComplex([appRoleAssignments])'. - Selecione 'Roles' como o atributo de destino.
- Selecione 'Não' para 'Corresponder objeto usando o atributo'.
- Escolha quando aplicar este mapeamento e selecione 'Sempre'.
- Clique em 'Ok'.
- Você pode encontrar o mapeamento de atributos adicionado recentemente em 'Mapeamentos de atributos'.
Após configurar as definições de provisionamento, você pode atribuir qualquer usuário que deseja provisionar no IDrive 360.
Atribuir usuários ao seu aplicativo
Para habilitar SSO para contas de usuários, o administrador precisa atribuir usuários ao aplicativo criado no console do Azure AD.
Para atribuir usuários ao aplicativo Azure AD,
- No aplicativo recém-criado no console de administração do Azure AD, navegue para 'Usuários e grupos' e clique em 'Adicionar usuário'.
- Selecione os usuários que deseja atribuir ao aplicativo.
- Escolha uma função no menu suspenso e clique em 'Selecionar'.
Nota: Os administradores podem atribuir qualquer função aos usuários selecionados.
- Clique em 'Atribuir' para concluir o processo.
Nota: No Azure, o ciclo de provisionamento automático ocorre a cada 40 minutos.