Configurar o Single Sign-on (SSO) da Spotnana no seu fornecedor de identidade

ÍNDICE

• Configurar o Single Sign-on (SSO) da Spotnana no seu fornecedor de identidade
  • Introdução
  • Pré-requisitos
    • SAML
    • OpenID Connect
    • Padrão Google
  • Passos de configuração na Ferramenta de Reservas Online da Spotnana
    • SAML
    • OpenID Connect
    • Padrão Google
  • Testes 
    • Resolução de problemas
  • Notas importantes
    • SAML
    • OpenID Connect

Introdução

Neste guia, explicamos como configurar a Spotnana para ligar ao seu fornecedor de identidade (IdP) e permitir o Single Sign-on (SSO). Depois de tudo pronto, os utilizadores deixam de precisar de um utilizador e palavra-passe específicos da Spotnana e passam a aceder através do SSO. Para ativar o SSO na Spotnana, só precisa de seguir alguns passos (apenas uma vez). Estes passos estão divididos em 3 partes:

• Tarefas prévias - Informação específica que deve recolher previamente junto do seu IdP. Há secções separadas para SAML, OpenID Connect e Padrão Google.

• Passos de configuração na Ferramenta de Reservas Online (OBT) da Spotnana - Instruções detalhadas para configurar a ligação da Spotnana ao seu IdP. Existem secções separadas para SAML, OpenID Connect e Padrão Google.

• Testes - Passos para testar a ligação entre a Spotnana e o seu IdP e garantir que tudo está a funcionar corretamente.

Pré-requisitos

SAML

Os seus metadados podem ser fornecidos como texto (a partir de um ficheiro XML) ou como um URL que indica onde está alojado o ficheiro de metadados. Tenha estes dados prontos antes de começar. 

• Se estiver a usar um XML de metadados, vai precisar de nos fornecer o XML de metadados SAML e o atributo de email SAML durante a configuração no OBT (no ecrã Introduza os dados da sua empresa ). O atributo de email deve corresponder ao endereço de email do utilizador.

• Se estiver a usar um URL do documento de metadados, vai precisar de nos fornecer o Endpoint URL onde está alojado o documento de metadados e o atributo de email SAML durante a configuração no OBT (no ecrã Introduza os dados da sua empresa ). Este atributo de email deve corresponder ao endereço de email do utilizador.

OpenID Connect

Deve fornecer à Spotnana as seguintes informações.

• Client ID – Identificador público da sua conta no fornecedor de identidade.

• Client Secret – Chave privada, exclusiva da sua conta, que só o fornecedor de identidade conhece e é usada para autenticar os utilizadores.

• Método de pedido de atributos (GET ou POST) – O método HTTP utilizado para obter os dados do utilizador.

• Issuer URL – O URL utilizado para receber pedidos de autenticação.

• Atributo de email OpenID Connect – O atributo usado para identificar cada utilizador. Deve corresponder ao endereço de email do utilizador.

Padrão Google

Não existem pré-requisitos para esta opção de configuração.

Passos de configuração na Ferramenta de Reservas Online da Spotnana

SAML

Para começar a configurar a ligação SSO, entre no OBT, selecione Empresa no menu Programa , expanda o menu Configuração (à esquerda) e escolha Integração. Depois, selecione o separador SSO e clique em Ligar ao lado da opção SAML . 

1. O ecrã Configurar SAML no seu IdP vai aparecer. Este ecrã apresenta-lhe dois valores: ACS/Reply URL e Entity ID, que deve usar para configurar o seu IdP de forma a aceitar pedidos e enviar respostas para nós. Utilize o botão de cópia para copiar cada valor para a área de transferência e depois cole-os nos campos correspondentes do seu IdP. Assim que guardar estes valores no seu IdP, clique em Seguinte. O ecrã Selecionar origem dos metadados SAML vai aparecer.  

2. Indique a origem do documento de metadados SAML. Escolha entre Metadata XML ou Endpoint URL do documento de metadados. 

   1. Se escolheu Metadata XML:

      • Será pedido que forneça os dados XML do seu IdP. Copie e cole o XML na caixa de diálogo.

        • Nota: Certifique-se de que inclui o seguinte no seu XML:

          <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="yourIdPSAMLredirectURL"/>

          Se não conseguir editar o XML diretamente, garanta que o seu IdP está configurado para Exigir URL de redirecionamento do IdP.

      • Quando for solicitado, introduza o seu atributo de email SAML e clique em Ligar. 

   2. Se escolheu Endpoint URL do documento de metadados:

      • Introduza o URL onde está alojado o documento de metadados no campo Endpoint URL .

      • Introduza o seu atributo de email SAML no campo respetivo.

3. Clique em Ligar quando terminar.

OpenID Connect

Para começar a configurar a ligação SSO, entre no OBT, selecione Empresa no menu Programa , expanda o menu Configuração (à esquerda) e escolha Integração. Depois, selecione o separador SSO e clique em Ligar ao lado da opção OpenID Connect . 

1. Preencha os seguintes campos:

   • Método de pedido de atributos (GET ou POST).

   • Client ID

   • Client Secret

   • Issuer URL

   • Atributo de email OpenID Connect 

2. Clique em Ligar quando terminar.

Padrão Google

Para começar a configurar a ligação SSO, entre no OBT, selecione Empresa no menu Programa , expanda o menu Configuração (à esquerda) e escolha Integração. Depois, selecione o separador SSO e clique em Ligar ao lado da opção Padrão Google .

Testes 

Depois de configurar a ligação entre a Spotnana e o seu IdP, deve testar se o SSO está a funcionar corretamente, tanto para si como para os restantes utilizadores. Ser-lhe-á pedido para: 

1. Terminar sessão na Spotnana.

2. Aceder à página de início de sessão.

3. Escolher a opção de login via SSO. Será redirecionado para a página de login do seu IdP.

4. Introduza o seu utilizador e palavra-passe do IdP. Depois, será redirecionado novamente para a Spotnana e autenticado automaticamente.

Nota: Se o redirecionamento SSO não funcionar para algum utilizador, continua a ser possível iniciar sessão com as credenciais (utilizador e palavra-passe) da Spotnana.

Se alterar alguma configuração da ligação SSO na Spotnana, este processo de teste será reiniciado. 

Resolução de problemas

Se todos os utilizadores da sua empresa tiverem problemas durante os testes, experimente o seguinte:

• Confirme se todos os dados da ligação estão corretos e foram inseridos corretamente na Spotnana.

• Verifique se o sistema do seu fornecedor de identidade (IdP) está bem configurado e acessível.

Se apenas alguns utilizadores tiverem problemas, é provável que esses utilizadores ainda não existam na Spotnana, no seu IdP, ou em ambos.

Notas importantes

SAML

• Identificadores: Não suportamos identificadores usados para redirecionar utilizadores para o IdP em aplicações multi-inquilino.

• Terminar sessão automaticamente: O utilizador é automaticamente desconectado da Spotnana quando termina sessão no IdP.

• Início de sessão SAML iniciado pelo IdP: Apenas aceitamos afirmações SAML iniciadas pelo SP (prática recomendada no setor).

• Assinatura e encriptação SAML: Não suportamos a assinatura de pedidos SAML nem a obrigatoriedade de afirmações SAML encriptadas.

OpenID Connect

• Identificadores: Não suportamos identificadores usados para redirecionar utilizadores para o IdP em aplicações multi-inquilino.

• Obter endpoints OpenID Connect: Apenas suportamos Preenchimento automático através do issuer URL e não permitimos Preenchimento manual dos endpoints. Preenchemos automaticamente os seguintes: endpoint de autorização, endpoint de token, endpoint de userinfo e jwks_uri.