Configurações de SSO
Se a opção Configurações de SSO estiver habilitada, os usuários podem fazer login automaticamente no ADSelfService Plus simplesmente fazendo login em sua máquina Windows ou através de um provedor de identidade terceirizado.
O ADSelfService Plus suporta single sign-on (SSO) com dois tipos de autenticação:
- Autenticação NTLM
- Autenticação SAML
Nota: O SSO para ADSelfService Plus não é suportado para logins de aplicativos móveis ou navegadores móveis.
1. Autenticação NTLM
Neste método de autenticação, os usuários fazem login no console web do ADSelfService Plus usando as credenciais que utilizaram para fazer login na máquina. Para habilitar a autenticação NTLM, siga os passos abaixo.
Importante: A URL de acesso do ADSelfService Plus deve estar associada aos sites da intranet local para login automático.
Pré-requisitos:
- Navegue até Admin > Customize > Logon Settings > Single sign-On.
- Marque a caixa Enable SSO para habilitar o SSO no ADSelfService Plus.
- Implantação Jespa
- Baixe o arquivo Jespa JAR mais recente.
- Descompacte o arquivo baixado e cole o arquivo Jespa JAR (nome do arquivo jespa-2.0.0.jar) na pasta /lib; onde é o local onde o ADSelfService Plus está instalado.
- Reinicie o ADSelfService Plus para que as alterações tenham efeito.
- Certifique-se de que uma conta de computador foi configurada no portal de administração do ADSelfService Plus para o SSO NTLM.
Nota:
- Clientes que estão na build 6210 ou inferior podem continuar usando o recurso sem precisar realizar o primeiro pré-requisito.
- O pacote padrão possui uma limitação do Jespa (terceiro) que suporta usuários ilimitados por 60 dias e apenas 25 usuários após. Se desejar continuar usando Jespa para autenticação NTLM para usuários ilimitados além de 60 dias, será necessário adquiri-lo da IOPLEX.
Por favor, entre em contato com support@adselfserviceplus.com se precisar de ajuda para configurar a autenticação NTLM para seus usuários.
Passos de configuração:
- Navegue até Admin > Customize > Logon Settings > Single sign-On.
- Clique na caixa de seleção Enable SSO para habilitar o SSO no ADSelfService Plus.
- Selecione NTLM Authentication.
- Para usar o serviço de autenticação NTLM, uma conta de computador não associada a um computador físico em sua rede deve ser criada no AD com uma senha específica que atenda à política de senhas do AD. Isso é necessário, pois somente uma conta de computador pode validar as credenciais NTLM (nome do domínio, nome de usuário e hash unidirecional da senha obtida durante o login na máquina) de um usuário.
- Clique em Configure Now para fornecer os detalhes da conta de computador. A autenticação NTLM é baseada em domínio, portanto, esse tipo de autenticação pode ser habilitado para um conjunto selecionado de domínios de sua escolha.
- Se você já possui essa conta de computador, digite o Computer Name e sua Password nos campos fornecidos. Você também pode criar uma nova conta de computador fornecendo os detalhes necessários e marcando a caixa Create this computer account in the domain. Habilite ou desabilite as contas de computador clicando no botão enable/disable.
- Clique em Save.
- Se você instalou o ADSelfService Plus em uma máquina que não pertence ao domínio escolhido, clique no botão Advanced e especifique o DNS Server e o DNS Site do domínio.
A. Encontrando o endereço IP dos servidores DNS
- Em uma máquina que pertença ao domínio selecionado, abra o prompt de comando, digite “ipconfig /all” e pressione enter.
- Insira o endereço IP exibido sob DNS Servers no campo respectivo no ADSelfService Plus.
B. Encontrando o site DNS
- Navegue até Active Directory Sites and Services.
- Insira o DNS Site que contém o controlador de domínio do domínio selecionado no campo respectivo no ADSelfService Plus.
C. Adicionando sites à zona da intranet local
Existem duas maneiras de aplicar a configuração necessária:
Método 1: Usando uma política de grupo (suportado no Google Chrome e Internet Explorer)
- Crie um novo Group Policy Object e navegue até User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Sites to Zones Assignment list. Selecione Enable.
- Clique em Show para exibir as atribuições de zona. Insira a URL de acesso em Value name e relacione-a aos sites confiáveis inserindo "1" em Value, depois clique em OK.
- Navegue até User Configurations > Administrative Templates > All Settings > Logon options. Selecione Enable.
- Na lista Opções de logon, clique em Logon automático somente na zona Intranet, depois em OK.
Método 2: Configuração manual
1.Google Chrome:
- Navegue até Configurações > Menu avançado > Módulo Sistema > Abrir configurações de proxy.
- Clique na aba Segurança e selecione o ícone Intranet local.
- Clique no botão Sites, insira a URL de acesso do ADSelfService Plus no campo requerido e clique em Adicionar.
2.Internet Explorer:
- Navegue até Ferramentas > Opções da Internet > Segurança.
- Clique na aba Segurança e selecione o ícone Intranet local.
- Clique no botão Sites, insira a URL de acesso do ADSelfService Plus no campo requerido e clique em Adicionar.
3.Mozilla Firefox:
- Digite "about:config" na barra de endereços e pressione a tecla Enter para exibir a lista de preferências. Se uma mensagem de aviso aparecer, clique em Eu aceito o risco para continuar.
- Navegue até a preferência network.automatic-ntlm-auth.trusted-urls.
- Dê um duplo clique na preferência e insira a URL de acesso do ADSelfService Plus (ex.: selfservice-5994:8888).
- Clique em OK.
2. Autenticação SAML
Neste método de autenticação, os usuários fazem login no console web do ADSelfService Plus usando as credenciais de um provedor de identidade baseado em SAML.
Após habilitar a opção SSO baseada em SAML, toda vez que um usuário tentar acessar o console web do ADSelfService Plus, o IdP receberá a solicitação de autenticação. O IdP autentica o usuário e, após autenticação bem-sucedida, o usuário será automaticamente conectado ao portal do ADSelfService Plus. Se o usuário já estiver logado no provedor de identidade, ao tentar acessar o ADSelfService Plus, o acesso será concedido automaticamente.
Pré-requisitos:
- Faça login no console web do ADSelfService Plus como administrador. Navegue até Admin > Customize > Logon settings > Single sign-On. Clique na caixa de seleção Enable SSO e no botão SAML Authentication. Copie o ACS URL/Recipient URL e o Relay State URL.
- O provedor de identidade baseado em SAML que você pretende usar deve ter o ADSelfService Plus como uma das suas aplicações SAML suportadas. Se não for suportado por padrão, você pode adicionar o ADSelfService Plus como uma nova aplicação nos provedores de identidade suportados nativamente (Okta, OneLogin, AD FS) ou como um provedor de identidade personalizado (ex.: Entra ID). Encontre os passos para adicionar uma nova aplicação aqui: Okta, OneLogin, AD FS, Line Works, Entra ID e 1Kosmos. Para outros provedores de identidade, entre em contato com a equipe de suporte do provedor para obter assistência adicional.
-
Faça login no seu provedor de identidade com credenciais de administrador e navegue até o ADSelfService Plus na lista de aplicações fornecidas. Baixe o Metadata em formato XML ou obtenha os dados necessários copiando o URL do emissor/ID da entidade, URL de login do IdP, URL de logout do IdP, e o certificado X509. Você precisará dessas informações ao configurar o ADSelfService Plus para logon SSO.
Configuração do Provedor de Serviço (ADSelfService Plus)
- Navegue até Admin > Personalizar > Configurações de logon > Single sign-On.
- Marque a caixa de seleção Habilitar SSO para ativar o SSO no ADSelfService Plus.
- Clique no botão Autenticação SAML para habilitar a configuração SAML no seu domínio.
- Selecione o provedor de identidade de sua escolha no menu suspenso Selecionar IdP. Se você selecionou SAML personalizado no menu, deve digitar o nome do IdP e fazer upload do logo do IdP nos campos respectivos.
- Existem dois modos de configuração SAML: Carregar arquivo de metadata e Configuração manual.
- Selecione Carregar arquivo de metadata se você baixou o arquivo de metadata do IdP do provedor de identidade.
- Clique em Procurar para carregar o arquivo de metadata do IdP.
- Selecione Configuração manual para configurar manualmente as URLs e certificados.
- Insira a URL do emissor/ID da entidade obtida do provedor de identidade no campo respectivo (Consulte o passo 3 dos Pré-requisitos).
- No campo URL de login do IdP, insira a URL de login obtida do provedor de identidade (Consulte o passo 3 dos Pré-requisitos).
- No espaço fornecido para o Certificado X.509, insira a chave do certificado público obtida do provedor de identidade (Consulte o passo 3 dos Pré-requisitos).
Importante: Por padrão, o ADSelfService Plus utiliza a mesma configuração de autenticação SAML para SSO durante o login e autenticação multifator (MFA) durante o autoatendimento de senha. Isso significa que as configurações SAML que você completar para as configurações de logon SSO serão automaticamente usadas para MFA, caso esta esteja habilitada.
- Se desejar usar um IdP SAML personalizado, selecione SAML personalizado no menu suspenso Selecionar IdP e insira um nome no campo Nome do IdP. Você também pode anexar o logo do IdP no campo Logo do IdP.
- Clique em Configurações avançadas para configurar a requisição e resposta SAML que serão processadas.
- Selecione se a Requisição SAML enviada ao IdP será assinada ou não assinada no menu suspenso Requisição SAML.
- Selecione a Classe de Contexto de Autenticação enviada na requisição SAML no menu suspenso Classe de Contexto de Autenticação.
- Selecione a Resposta SAML e a Assinatura da Asserção nos menus suspensos respectivos para determinar se as mensagens recebidas do IdP são assinadas ou não.
- Selecione o Algoritmo de Assinatura que o IdP usa para assinar a resposta/asserção SAML no menu suspenso Algoritmo de Assinatura.
- Selecione Criptografado ou Não criptografado no menu suspenso de Criptografia da Asserção.
Nota: Verifique com seu IdP se a asserção criptografada é suportada.
- Se a asserção SAML estiver criptografada, selecione Self-Signed ou CA-Signed nas opções do menu suspenso Encryption Certificate fornecidas.
- Se o certificado de criptografia for CA-Signed, faça o upload da CA Public Key e da CA Private Key conforme fornecido pela autoridade certificadora (CA).
- Se o certificado de criptografia for Self-Signed, você pode baixar o certificado autoassinado clicando em Download Self Signed Certificate. Você precisará dele para configurar a autenticação SAML no IdP.
Nota: Você pode escolher qual certificado de criptografia deseja usar com base nos requisitos da sua organização. No entanto, escolher um certificado de criptografia CA-signed é uma prática recomendada.
- Selecione Enable ou Disable no menu suspenso Single Logout. Quando a opção Single Logout estiver configurada e um usuário sair do ADSelfService Plus, ele será automaticamente desconectado do IdP e vice-versa.
- Clique em Save.
- Um resumo das configurações do IdP e do provedor de serviço é exibido abaixo.
- Para regenerar os certificados de assinatura SAML e de criptografia self-signed, clique em Regenerate correspondente aos campos Signing Certificate e Encryption Certificate. Os certificados expiram por padrão após um período de um ano.
Nota: Consulte a
complete list de códigos de erro de autenticação SAML e suas descrições.
Não encontrou o que procura?
-
Visite nossa comunidade
Publique suas perguntas no fórum.
-
Solicite recursos adicionais
Envie-nos suas necessidades.
-
Precisa de assistência para implementação?
Experimente o OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Tópico Anterior