Ir para o conteúdo

Guia de Configuração SAML do Google

Finalidade do Documento

Descrever as etapas de configuração necessárias para configurar o Vinyl para usar o Google como um provedor de segurança externo SAML para lidar com a autenticação do usuário.

Introdução

SAML usa a terminologia de IdP (Provedor de Identidade) e SP (Provedor de Serviços) para descrever os dois sistemas participantes em uma configuração SAML. Nesse caso, o Google Workspace é o IdP e a instância do Vinyl é o SP.

A configuração da autenticação externa requer configuração no IdP e no SP. Em ambos os casos, são necessários direitos administrativos.

Importante

Os valores de exemplo fornecidos neste guia são representativos, mas fictícios, e não devem ser usados em configurações do mundo real.

Passos em Vinyl

Crie um Provedor de Segurança

  1. Faça login no Vinyl como administrador
  2. Navegue até IDE > Provedores de segurança
  3. Na seção Autenticação de usuário, + Autenticação de usuário um novo provedor de segurança

  4. Preencha os seguintes valores:

    • Nome: nome breve e descritivo do provedor de segurança. O ideal é evitar espaços. Essa string, em sua forma exata, passa a fazer parte da URL do ACS.
    • Tipo: Autenticação Externa > SAML
    • Prioridade: aceite a sugestão padrão ou atualize conforme sua preferência
    • Ativado: Verifique
    • Redirecionar no Desafio: Verificar
    • Mostrar no formulário de login: Verifique
    • Provisionamento de usuários: Verifique
    • Reivindicações da Loja: Verifique. Essa configuração é importante na configuração inicial e na solução de problemas, mas pode ser removida posteriormente, se desejado.

  5. Clique em Salvar

Etapas no Google Workspace

Nota

Observe que você deve ser um superadministrador do seu Google Workspace para executar essas etapas.

Configure Seu Aplicativo SAML Personalizado

  1. Faça login no Google Admin Console
  2. Na página inicial do Admin Console, acesse Aplicativos > Aplicativos da Web e para dispositivos móveis
  3. Clique em Adicionar aplicativo > Adicionar aplicativo SAML personalizado

  4. Na página Detalhes do aplicativo:

    1. Insira o Nome do aplicativo do aplicativo personalizado. Por exemplo: Instância de Vinyl. Normalmente você especificaria Dev, QA ou Prod, ou a finalidade da instância, se diferente, como parte do nome do aplicativo. Esse valor é usado apenas como um rótulo no Google Workspace e não é usado em nenhum outro lugar.
    2. (Opcional) Faça upload de um ícone de aplicativo. Se você não fizer upload de um ícone, um ícone será criado usando as duas primeiras letras do nome do aplicativo.

    googlesamlapp.png

    Exemplo de configuração de aplicativo SAML personalizado

  5. Clique em Continuar

  6. Na página de detalhes do provedor de identidade do Google, observe as informações de configuração exigidas pelo provedor de serviços. Estes valores são específicos da conta do Google Workspace e não genéricos:

    • URL SSO: Por exemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • ID da entidade: Por exemplo: https://accounts.google.com/o/saml2?idpid=C01D02E032
    • Certificado

  7. Clique em Continuar. Você pode voltar a esses valores posteriormente clicando em Fazer download de metadados.

  8. Na janela Detalhes do provedor de serviços, insira um URL do ACS e um ID da entidade para seu aplicativo personalizado. Observe que as partes do caminho dos URLs a seguir diferenciam maiúsculas de minúsculas (ou seja, a parte que segue o FQDN).

  9. URL ACS: O URL da raiz da instância do Vinyl, com o seguinte anexado: /signin-<name of service provider>

    • Por exemplo: https://example.zudy.com/Vinyl/signin-GoogleSAML
    • Observação: a URL do ACS deve começar com https://

  10. ID da entidade: A raiz da instância do Vinyl. Isso deve terminar com uma barra. - Por exemplo: https://example.zudy.com/Vinyl/

  11. Marque a caixa Resposta assinada
  12. O formato padrão ID do nome pode ser deixado como padrão ( email principal).

  13. Informações adicionais sobre mapeamento de ID de nome podem ser encontradas aqui: catálogo de aplicativos SAML. Se necessário, você também pode criar atributos personalizados no Admin Console ou por meio de APIs do Google Admin SDK e mapeie para eles. Atributos personalizados precisam ser criados antes da configuração do seu aplicativo SAML e geralmente não são necessários para o Vinyl. Exemplo de configuração:

    customsaml.png

    Configuração personalizada do app SAML no Google Workspace

  14. Clique em Continuar

  15. Na página Mapeamento de Atributos, observe que mapeamentos adicionais podem ser criados se necessário e clique em Concluir. Se forem necessários mapeamentos adicionais, eles poderão ser configurados posteriormente. Ao configurar mapeamentos, os valores de App Attribute devem corresponder aos valores de Identifier especificados no Vinyl em Tipos de reivindicação.
  16. Clique em Concluir
  17. Na página Aplicativo (em Aplicativos Web e móveis), clique na seta para baixo na seção Acesso do usuário

  18. O acesso pode ser configurado para Grupos, Unidades Organizacionais ou para Todos os Usuários da conta. Para simplificar, recomendamos ativar o acesso para todos. Se apenas um número limitado de usuários tiver acesso, consulte a documentação do Google Workspace para criar e configurar grupos e unidades organizacionais e para atribuir acesso a aplicativos nesse nível.

    Nota

    Quando o acesso é configurado pela primeira vez, o Google Workspace informa que pode levar até 24 horas para que essa alteração seja propagada para todos os usuários. Ao testar, se for recebido um erro indicando que o usuário não tem acesso ao aplicativo ou que ele não está habilitado para ele, certifique-se de que tenha passado tempo suficiente após a configuração antes de testar novamente.

  19. Isso conclui as etapas do Google Workspace. Para obter informações adicionais, consulte: https://support.google.com/a/answer/6087519

Passos em Vinyl

Configurar Propriedades e Tipos de Declaração do Provedor de Segurança

  1. Retorne à página de configuração do Provedor de Serviços criada nas etapas 1 a 5 da configuração do Vinyl descrita anteriormente
  2. Na seção Propriedades, + Propriedade e Salvar as seguintes propriedades com os seguintes valores especificados:
    • Público: a raiz da instância do Vinyl. Por exemplo: https://example.zudy.com/Vinyl/
      • Observação: corresponderá ao ID da entidade configurado no Google Workspace
    • Destinatário: corresponderá ao URL do ACS configurado no Google Workspace e consiste no URL da raiz da instância do Vinyl, com o seguinte anexo: /signin-<name of service provider>
      • Por exemplo: https://example.zudy.com/Vinyl/signin-GoogleSAML
    • RequestRedirectEndpoint: este é o URL SSO do Google Workspace, consulte a etapa 6 das etapas de configuração do Google. Por exemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • SigningCertificate: Esta é a sequência de texto longa da etapa 6. Ao copiar o certificado, certifique-se de excluir BEGIN e END e remova quaisquer quebras de linha ou espaços iniciais/finais.

      • Exemplo de conteúdo de certificado que deve ser copiado:

        MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX

Configurar Tipos de Declaração do Provedor de Segurança (opcional)

  1. Retorne à página de configuração do Provedor de Serviços ou minimize o painel Propriedades
  2. Na seção Reivindicações, + Reivindicação e Salvar o seguinte tipo de reivindicação. Isto é opcional, mas garantirá que o atributo Endereço de Email do usuário do Vinyl será preenchido quando o usuário entrar no Vinyl usando o provedor de autenticação externo.

  3. Clique em + Reivindicação e use os seguintes valores:

    • Identificador: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
    • Uso: Endereço de email
    • Nome: rótulo descritivo. Por exemplo: Endereço de Email

  4. Clique em Salvar

Teste

Neste ponto, a configuração está pronta para teste. Recomenda-se que todos os testes sejam realizados em novas janelas anônimas ou privadas do navegador, ou em um navegador alternativo.

Etapas de Teste

  1. No Google Workspace, em Aplicativos para Web e dispositivos móveis, clique em TEST SAML LOGIN e analise o resultado.

  2. Navegue até a página de login da instância do Vinyl e:

    1. Confirme se o novo método de autenticação é exibido adequadamente
    2. Tente fazer login com o novo método de autenticação e revise o resultado. Isso deve ser feito com um login separado daquele usado para administrar o Vinyl.

  3. Se forem relatados erros, revise toda a configuração e confirme se os elementos necessários para correspondência estão corretos – diferenciando maiúsculas de minúsculas e com correspondência à direita /, etc.

  4. Se for recebido um erro de uma página do Google informando que o aplicativo não está habilitado para o usuário, confirme se as etapas 17 e 18 foram concluídas e se passou algum tempo permitindo que o acesso se propagasse por todo o Google Workspace.
  5. Se todas as configurações estiverem presentes e parecerem corretas, mas a autenticação externa ainda não estiver funcionando, entre em contato com Suporte de Vinyl.