Single Sign On (SSO) Configurado

O Dotcom-Monitor suporta login SSO usando o SAML 2.0.

Aqui estão as etapas necessárias para habilitar o SSO com o Active Directory FS (ADFS) e o AZURE Active Directory (Azure AD) como provedores de identidade. Além disso, são fornecidos os guias passo a passo para a integração OKTA SAML.

SSO com Diretório Ativo FS
1. Instale o ADFS 2.0 (a ajuda pode ser encontrada em http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Baixe
metadados.xml
.

3. No console ADFS 2.0 Management, adicione um certificado SSL para assinar respostas/solicitações do Dotcom-Monitor:
- Inicie o console de gerenciamento ADFS 2.0 e abra o Assistente de Configuração do Servidor.
- Clique em Criar novo FS e selecione FS autônomo.
- Selecione o certificado SSL (se não houver certificados, você pode criar cert auto-assinado usando certificados inetMGR > Server Criar > cert auto-assinado).
4. No console de gerenciamento ADFS 2.0, adicione o IDR ao ADFS Relying Party Trusts:
- Clique em Confiar em Fundos partidários e selecione Adicionar Confiança do Partido .
- Na janela assistente, clique em Iniciar e selecione Importar dados sobre a parte que depende de um arquivo.
- Escolha metadados.xml.
- Escolha qualquer nome significativo(dotcom-monitor.com).
- Clique em Next e siga as instruções.
- Na etapa de Regras de Autorização de Emissão, selecione Permitir que todos os usuários acessem essa parte que depende
- No acabamento, clique em desmarcar o diálogo Abrir as Regras de Reivindicação de Edição para essa confiança de parte que depende quando o assistente fechar a caixa de seleção.
- Feche o feiticeiro.
5. Defina o SHA-1 como um algoritmo de hash seguro:
- Depois de criar confiança do partido de confiança na lista e selecionar Properties.
- Vá para a guia Advanced e altere o algoritmo de hashing para SHA-1.
6. Adicione a regra de reivindicação para enviar atributos LDAP como reivindicações:
- Clique com o botão direito do mouse na parte que depende, selecione Editar regras de reclamação.
- Clique em Adicionar regra e certifique-se de que o modelo de regra ‘Solicitar’ envia atributos LDAP à medida que as reivindicações selecionadas.
- Dê o nome da regra da reivindicação.
- Selecione a loja Atributo para ser Active Directory.
- Adicione dois mapeamentos de atributos: para o usuário-principal-nome configurado UPN, para Token-Groups – Nomes não qualificados definir função.
7. Adicione a regra personalizada:
- Clique com o botão direito do mouse na parte que depende, selecione Editar regras de reclamação.
- Clique em Adicionar regra e defina o modelo de regra ‘Reivindicação’ para Enviar reivindicações usando regra personalizada.
- Dê o nome da regra da reivindicação.
- Insira o seguinte script:
c: [Type] = > emissão (Tipo = “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Emissor = c.Emissor, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] = “urn:oasis:names:tc:SAML:2.0:nameid-format:transient”, Propriedades[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier”] = “http://www.example.com/adfs/services/trust”, Propriedades[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier”] = “https://userauth.dotcom-monitor.com/”)
- Substitua “http://www.example.com/adfs/services/trust” pela entidadeid (IdP) do Provedor de Identidade (IdP) (“http://idpsite.com/adfs/services/trust“).
8. Abra URL no navegador da máquina IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Salve o conteúdo XML como um arquivo e envie-o para o suporte do Dotcom-Monitor usando o sistema de bilhetes.

Quando o SSO estiver habilitado, você pode adicionar usuários do site Dotcom-Monitor criando novos usuários em AD ou adicionando usuários existentes a um dos seguintes grupos: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Cada um desses grupos deve ter o escopo “global” ouuniversal” e o “segurança“.
SSO com Diretório Ativo AZURE
1. Faça login no portal Azure como administrador global ou coadministrador.

2. No portal, no painel de navegação à esquerda, selecione Diretório Ativo do Azure.

3. Para gerenciar (criar) usuários para o futuro login SSO usando o Azure AD, sob a seção Gerenciar no painel de navegação Azure Active Directory, selecione Usuários > Todos os usuários:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Crie um novo aplicativo corporativo:
- No painel de navegação do Azure Active Directory, selecione aplicativos Enterprise.
- Clique em Novo Aplicativo, e depois aplicativo não-galeria.
- Na página Adicionar sua própria página de aplicativo, defina o nome para o novo aplicativo (“userauth.dotcom-monitor.com“) e clique em Adicionar.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Edite metadados de aplicativos para adicionar grupos de monitores de pontocom:
- No painel de navegação do Azure Active Directory, selecione registros de aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Clique no aplicativo “userauth.dotcom-monitor.com“, em seguida, na seção Gerenciar, selecione Manifesto.
- No editor de manifesto baseado na Web, adicione as seguintes funções no nó appRoles e Salve:
```
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },
```
5. Editar as configurações do SSO:
- No painel de navegação do Azure Active Directory, selecione aplicativos Enterprise,clique em Todos os aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Clique no aplicativo “userauth.dotcom-monitor.com“.
- Na seção Gerenciar, selecione “Entrar em sinal único”.
- Selecione SAML para configurar o login único. Na configuração de se inscrever único com SAML – visualizar a página configurar as opções básicas de SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Selecione o ícone Editar (um lápis) no canto superior direito da seção Atributos e Reivindicações do Usuário e adicione os novos atributos:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Selecione o ícone Editar (um lápis) no canto superior direito da seção Certificado de Assinatura SAML.
- Na seção Certificado de Assinatura SAML clique em Baixar metadados XML e salvá-lo no disco. Este arquivo deve ser enviado para dotcom-monitor.com suporte.
- Verifique Fazer novo certificado ativo (somente após baixar metadados ) e confirmar a ação.
- Verifique as configurações avançadas de assinatura de certificados e defina o SHA-1 como o algoritmo de assinatura.
- Clique em Salvar.
6.Atribuir funções:
- No painel de navegação do Azure Active Directory, selecione aplicativos Enterprise,clique em Todos os aplicativos.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Clique no aplicativo “userauth.dotcom-monitor.com” e selecione Usuários e grupos.
- Clique em Adicionar usuário,selecione usuário, selecione função (uma das funções dotcom-monitor), clique em Atribuir. Faça isso por todos os usuários necessários.
7. Envie metadados.xml para o suporte ao monitor de ponto. Clique aqui,faça login em sua conta e envie um bilhete.
SSO com OKTA

Verifique os seguintes materiais para configurar a integração OKTA com o Dotcom-Monitor e habilite o SSO:

OKTA – Guia PDF de Integração do Monitor dotcom

Integração OKTA SAML com Vídeo Passo a Passo do Monitor Dotcom-Monitor

Vídeo de login SAML

Veja também os seguintes guias alternativos:

Okta para Dotcom-Monitor Guia Alternativo

Okta para Dotcom-Monitor VÍDEO DE Configuração SAML

Configuração de SSO para Departamentos

Se você tiver um Departamento criado para a conta Dotcom-Monitor, você pode configurar os usuários do SSO fazendo login nele.

Para habilitar o SSO para Departamentos, adicione o nome do departamento como um sufixo ao nome do grupo ou função reservada para fins do Dotcom-Monitor em AD. Use um hífen duplo como separador:

<Nome do > grupo – Nome do < Departamento>

Por exemplo, para permitir que um usuário faça login no departamento “AlphaDep” como usuário de energia, você precisa adicionar o seguinte sufixo ao Grupo de Anúncios do Dotcom-Monitor_Power_Users:

«Dotcom-Monitor_Power_Users--AlphaDep»

Para alterar um nome do Grupo ADFS, clique com o botão direito do mouse no grupo e selecione Renomear. Uma vez renomeado, altere o nome pré-Windows 2000 também na caixa pop-up ou no Properties > General > Group Name (pré Windows 2000).

Você também pode adicionar vários nomes de departamentos um por um usando o mesmo formato. por exemplo:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Para permitir que os usuários entrem na conta raiz, especifique um Grupo AD relevante sem um sufixo de departamento, como foi descrito acima:

«Dotcom-Monitor_ReadOnly_Users»

Se um usuário estiver incluído em vários grupos de anúncios “Dotcom-Monitor_” com SSO configurado para Departamentos, o login em todos os Departamentos correspondentes será ativado (se os Departamentos existirem na conta Dotcom-Monitor).

Single Sign On (SSO) Configurado

SSO com Diretório Ativo FS

SSO com Diretório Ativo AZURE

SSO com OKTA

Configuração de SSO para Departamentos

SOLUÇÕES

Características

companhia