[Opendock] Single Sign-On (SSO) com SAML 2.0

  • Atualizado

O que é SSO?

SSO é uma tecnologia de autenticação e controle de acesso que permite aos usuários acessarem vários aplicativos usando um único conjunto de credenciais. Utilizar o SSO com o Opendock oferece uma experiência melhor para seus colaboradores e ajuda a garantir mais segurança e conformidade regulatória.

Nota técnica: O Opendock utiliza o protocolo SAML 2.0 para SSO. Outros protocolos não são suportados no momento, porém, se você tiver alguma necessidade específica, por favor, nos informe.

 

Como funciona

Depois que sua organização estiver com o SSO configurado corretamente, seus usuários poderão se autenticar (fazer login) no Opendock diretamente pelo seu Provedor de Identidade (IdP), como Azure ActiveDirectory ou Okta, e acessar o Opendock Nova sem precisar se preocupar com um nome de usuário e senha separados para gerenciar.

Nota técnica: Esse processo é conhecido como fluxo de SSO iniciado pelo IdP. Fluxos iniciados pelo Provedor de Serviço (SP) não são suportados atualmente.

Por padrão, os usuários precisam ser criados manualmente no Opendock antes de conseguirem fazer login via SSO. Os papéis dos usuários no Opendock são gerenciados apenas dentro do Opendock. No entanto, se você quiser gerenciar a criação/atualização de usuários pelo seu IdP, pode usar nosso sistema opcional de Provisionamento (veja a seção abaixo para mais detalhes sobre o uso).

 

Configurando o SSO no Opendock

 

Configuração inicial

  1. Acesse a página Minha Organização e selecione a guia CONFIG SSO.
  2. Gere a URL de Metadados do seu IdP, cole no campo URL de Metadados do IdP no Opendock e clique em SALVAR. Observe que seu IdP precisa fornecer essa URL de metadados, caso contrário, não será possível usar o SSO do Opendock.
  3. Você pode deixar a opção SSO Ativado marcada como não por enquanto. Assim, você poderá testar o SSO antes de ativá-lo oficialmente. Também é recomendado deixar a opção Proibir login por senha como não por enquanto (mais detalhes sobre essas opções abaixo).
  4. Configure seu IdP:
    • Alguns detalhes da configuração do seu IdP para funcionar com o Opendock serão específicos do seu negócio e do seu IdP, e estão fora do escopo deste documento. Fornecemos as informações abaixo para informar sobre nossos requisitos de SSO e ajudar na configuração o máximo possível:
    • Use as informações da seção Metadados do Provedor de Serviço Opendock para configurar seu IdP. Se seu IdP permitir, utilize a URL de Metadados fornecida. Caso contrário, também disponibilizamos os valores de Entity ID e Assertion Consumer Location, que você pode copiar facilmente clicando no ícone de cópia à direita.
    • Deve haver uma claim chamada email que contenha o endereço de e-mail do usuário exatamente como está no Opendock.
    • Os Certificados SAML devem ser assinados com SHA-256 tanto para resposta quanto para assertion.

Agora você pode testar com um usuário real autenticando via seu IdP no Opendock. Se funcionar para o usuário de teste, siga para as próximas seções.

 

Configurações de SSO

  • SSO Ativado
    Assim que conseguir fazer um login de teste via SSO, você pode querer ativar o SSO oficialmente para sua organização. Para isso, basta marcar a opção SSO Ativado como sim e clicar em SALVAR. Agora, quando usuários forem criados, eles não receberão mais um e-mail do Opendock pedindo para definir uma senha, pois a autenticação será feita via SSO.

    Observação: O Provisionamento SSO NÃO funcionará até que você ative o SSO Ativado como sim.

  • Proibir login por senha
    Quando tiver certeza de que tudo está funcionando corretamente, você pode querer restringir o sistema para que os usuários da sua organização não possam mais fazer login por senha, sendo obrigatório o uso do SSO. Se desejar esse comportamento, ative a opção Proibir login por senha como sim e clique em SALVAR. Agora todos os usuários (exceto aqueles com o papel de Owner) terão o acesso negado se tentarem fazer login por e-mail/senha, e também não poderão redefinir a senha. Eles deverão acessar apenas via SSO.

    • Integrações de API: Como o acesso à API exige o uso de e-mail/senha para login, você deve garantir que o(s) usuário(s) utilizados em qualquer integração de API tenham o papel de Owner quando essa configuração estiver ativada, caso contrário suas integrações deixarão de funcionar.

 

Dicas para Azure Active Directory

Aqui está um resumo de alto nível de como começar a usar o SSO do Opendock para quem utiliza o Azure AD:

  1. Crie um Aplicativo Empresarial para o Opendock para configurar o SSO
  2. Adicione as informações básicas de configuração SAML para o Identificador (Entity ID) e Reply URL (Assertion Consumer Service URL)
  3. Adicione uma claim chamada email com o valor user.email
  4. Defina a opção SAML Signing Certificate > Signing Option como Sign SAML response and assertion
  5. Adicione Usuários (ou Grupos) ao aplicativo
  6. Copie a URL de Metadados de Federação do App para o Opendock.

 

Configurando o Provisionamento

 

O SSO do Opendock tem suporte a provisionamento, que é um sistema que permite criar e atualizar usuários na sua organização do Opendock via seu IdP (Provedor de Identidade). Assim, ao invés de criar usuários manualmente no Opendock e atualizar seus papéis, você pode usar o provisionamento para que isso seja feito automaticamente quando os usuários tentarem acessar o Opendock via SSO. Isso facilita o gerenciamento de identidade dos usuários, centralizando tudo no seu IdP.

O sistema de provisionamento funciona configurando alguns atributos (claims) extras no seu IdP com as informações necessárias para o Opendock criar (ou atualizar) um usuário automaticamente (just in time). Você pode "optar por usar" o provisionamento definindo a claim "provision" com o valor "yes". Com isso, o Opendock exigirá que você também defina as seguintes claims:

Claim: Descrição:
provision Defina como o texto literal "yes" para ativar o modo de provisionamento.
firstName Defina como o primeiro nome do usuário.
lastName Defina como o sobrenome do usuário.
role

Defina como o valor do papel desejado do Opendock para esse usuário. Os valores válidos são:

owner
admin
operator
attendant
spectator
warehouseAccessList

Defina como uma lista separada por vírgulas dos IDs dos armazéns (UUIDs) aos quais você deseja restringir o acesso desse usuário. Veja a observação abaixo sobre como obter os IDs dos armazéns.

Se não quiser restringir o usuário a armazéns específicos, defina essa claim como o texto "all" e ele terá acesso a todos os seus armazéns.

 

Observação: Você deve ativar a configuração SSO Ativado como sim (veja a seção acima) para que o sistema de Provisionamento SSO funcione corretamente.

Observação: Fornecemos uma lista de todos os seus armazéns e seus IDs no final da guia Config SSO para que você possa copiar e colar facilmente esses dados na claim warehouseAccessList, se desejar.

 

Com tudo isso configurado corretamente, qualquer novo usuário no seu IdP poderá acessar sua organização do Opendock via SSO sem que você precise fazer nada no Opendock. Na primeira vez que o usuário tentar acessar via SSO, o Opendock criará a conta dele automaticamente na sua organização e ele será autenticado sem perceber nenhuma diferença. No futuro, quando esse usuário acessar novamente via SSO, qualquer alteração nos campos acima será sincronizada automaticamente com a conta dele no Opendock. 

Observação: Esse sistema de provisionamento não realiza exclusão de usuários, você ainda precisará remover usuários manualmente da sua organização pela interface do Opendock (ou via API).

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

Comentários

0 comentário

Por favor, entre para comentar.