¶ 1. Visão geral.
Dentro do T6 Enterprise, além do login convencional com usuário e senha, oferecemos uma abordagem flexível e segura para a autenticação dos usuários através de múltiplos provedores de autenticação. Nossa plataforma suporta uma variedade de opções para atender às necessidades específicas dos usuários, incluindo Active Directory, Azure Active Directory, Azure Active Federation Services, Auth0, Identify Server e TryAuth. Com essas integrações, simplificamos o gerenciamento de identidades e proporcionamos uma experiência de login unificada e conveniente para os usuários. Seja qual for a escolha, garantimos a implementação eficiente para proteger os dados e facilitar o acesso dos usuários.
¶ 1.1. Pré-requisitos.
Temos como pré-requisitos do sistema para poder proceder com a adição e configuração dos provedores de autenticação, estar logado no T6 como usuário administrador, ou, ter a feature Gerenciar Provedores de Autenticação habilitada.
¶ 1.2. Provedores disponíveis.
- Auth0: Plataforma de autenticação e autorização baseada em nuvem que facilita a implementação de login seguro em aplicativos;
- Try Auth: Plataforma de autenticação e autorização que oferece suporte a várias formas de autenticação, incluindo redes sociais, autenticação multifator, e SSO (Single Sign-on).
- Active Directory (AD): Serviço de diretório da Microsoft que oferece autenticação centralizada e autorização para usuários e computadores em uma rede Windows;
- Azure Active Directory (AAD): Solução de gerenciamento de identidades e acessos baseada em nuvem da Microsoft;
- Active Directory Federation Services (ADFS): Permite a criação de uma federação de autenticação entre diferentes organizações ou domínios. Ele suporta protocolos como SAML(Security Assertion Markup Language) e OAuth 2.0, permitindo que usuários autentiquem-se em aplicativos fora do domínio corporativo;
A configuração das URLs do ADFS vão variar a depender de como o provedor está configurado, se estiver como default, ou não. Se o ADFS não estiver configurado como default, deve ser enviado o código do identificador, caso contrário, ao retornar, ele não conseguirá identificar qual o identificador será utilizado.
¶ 2. Configuração.
Iremos adicionar os provedores para que possam ser utilizados para efetuar o login.
-
Iremos no menu principal da plataforma e selecionaremos no menu Configurações a opção Autenticador;
-
Será aberto um panel na lateral com a listagem dos provedores já cadastrados, ou a listagem vazia para adição de novos provedores, para a adição iremos clicar em
; -
Serão exibidos os campos para preenchimento da informações.
-
Em Tipo, clique em
para expandir e exibir as opções disponíveis:- Formulário: Para autenticação utilizando o usuário e senha da plataforma T6;
- OpenID Connect: Protocolo de autenticação (OIDC) que permite autenticar usuários através de um login e senha. Ele fornece as informações de perfil do usuário;
- SAML: Protocolo ou padrão de federação de autenticação baseado em XML (Extensible Markup Language) que permite que um provedor de identidades (IdP) autentique os usuários;
- AD: Serviço de diretório da Microsoft que gerencia usuários, grupos, e recursos de rede em ambientes Windows.
-
Em SubTipo, clique em
para expandir e exibir as opções:- Auth0;
- Azure Active Directory (AAD);
- TryAuth.
SubTipo estará disponível, caso selecione o tipo OpenID Connect, caso contrário ficará desabilitado.
Quando selecionarmos o tipo OpenID Connect juntamente com o subtipo Azure AD, os campos URL de autorização e URL de logout terão seus campos preenchidos de forma automática, pois já teremos conhecimento destas informações.
-
Temos também os campos para preenchimento de Título, Nome e Descrição, que serão exibidos em todas as adições de provedores e devem ser preenchidos pelo usuário;
- Título: É o texto que será exibido na tela de login junto ao ícone do tipo do provedor selecionado;
- Nome: É apenas um identificador para a listagem de provedores adicionados
- Descrição: Campo para descrever de forma breve o provedor em questão, tem o intuito de flexibilizar a organização da listagem dos provedores configurados.
-
Temos a opção Padrão com um botão switch
, que ao ser habilitado define o provedor que a autenticação será realizada de forma automática como sendo um SSO, exceto opção Formulário. -
A depender do tipo selecionado, serão exibidos outros campos para preenchimento:
- Selecionando o tipo OpenID Connect:
- TenantID: É um identificador único para o diretório da sua organização no provedor de identidade;
- Domínio: É geralmente o domínio registrado da sua organização no provedor de identidade;
- ClientID: É um identificador público único para o aplicativo que você registrou no provedor de identidade;
- Client secret: É uma chave privada que o aplicativo usa para autenticar-se junto ao provedor de identidade;
- URL de autorização: A URL de autorização é o endpoint do provedor de identidade usado para autenticação. Inclui o TenantID (é preenchido automaticamente ao selecionarmos o SubTipo Azure Active Directory(AAD) ou Auth0);
- URL de Logout: A URL de logout é usada para redirecionar o usuário para deslogar-se do provedor de identidade.
- Selecionando o tipo SAML:
- Certificado: É usado para verificar a assinatura das respostas SAML enviadas pelo provedor de identidade. Ele garante que as respostas SAML não foram alteradas e são provenientes do provedor de identidade confiável (O nome do certificado a ser utilizado deve ser exatamente igual ao cadastro do certificado realizado no T6 Enterprise);
- URL de login: É o endpoint onde as solicitações de autenticação SAML são enviadas. É o endereço do provedor de identidade onde os usuários serão redirecionados para fazer login;
- URL de logout: É o endpoint onde as solicitações de logout SAML são enviadas. Ela permite que os usuários se desloguem do provedor de identidade.
- Selecionando o tipo AD (Active directory):
- Servidor: O endereço do servidor onde o AD está hospedado. Pode ser um nome de domínio completo ou um endereço IP;
- Usuário: O nome de usuário de uma conta que tem permissões para consultar o AD. Esta conta será usada para conectar-se ao AD e realizar operações de autenticação e consulta.
- Senha: A senha associada à conta de usuário mencionada acima.
- Grupo: O nome do grupo no AD que contém o usuário que você deseja autenticar ou autorizar.
Para efetivar o login através do AD, é necessário que o provedor seja configurado como padrão.
Ao selecionar o tipo AD (Active Directory), é necessário preencher o Parâmetro de Aplicação: Grupo do ActiveDirectory Sysphera, localizado na categoria Integração. O parâmetro deve ser preenchido exatamente com o mesmo nome configurado no campo Grupo do provedor de autenticação. Lembre-se que o valor é case sensitive, ou seja, diferencia letras maiúsculas de minúsculas.
- Selecionando o tipo Formulário, nenhum campo de preenchimento adicional será exibido.
Os campos exibidos ao selecionar o tipo de provedor devem ser preenchidos conforme a configuração exigida pelo provedor de autenticação.
- Para finalizar a adição de um provedor, após preencher os dados solicitados, clique em
.
¶ 2.1. Exibição, edição e exclusão.
Após a adição de um ou mais provedores de autenticação, em nosso panel teremos uma listagem dos provedores cadastrados, exibindo o nome, tipo e descrição.
Ao lado das informações teremos:
: Botões para ordenação da exibição dos provedores na tela de login (somente serão exibidos caso tenhamos 2 ou mais provedores cadastrados);
: Botão que permite a edição dos dados inseridos;
: Botão para fazer a exclusão de um provedor previamente cadastrado.
¶ 3. Utilização
Após cadastrar os provedores desejados, na tela de login do ambiente, serão exibidos abaixo do campo de inserção de usuário e senha os provedores configurados:
Ao clicarmos em um dos provedores exibidos, seremos redirecionados para a tela de login do provedor em questão.
O provedor do AD (Active Directory) não é exibido na tela de login uma vez que ao selecioná-lo como provedor padrão, ao acessar a URL do T6, o login será efetivado de forma automática.