Pular para o conteúdo principal

Como configurar o SSO entre Azure AD e GAT Core

Danilo Franco Penteado
Atualizado

 

Introdução

Pré-requisitos

Observações

Criar um aplicativo no Azure AD

Configurar o GAT Core

 

Introdução

O SSO (Single Sign-On) é um termo utilizado na área de segurança da informação para descrever um método de autenticação que permite que um usuário acesse vários sistemas ou aplicativos usando apenas um conjunto de credenciais de login.

Em termos de segurança, o SSO pode melhorar a proteção de dados, como as credenciais de login são verificadas em um servidor centralizado, é possível aplicar políticas de segurança consistentes em todos os sistemas conectados ao SSO. Isso significa que, se um usuário tiver seu acesso revogado ou suas credenciais comprometidas, a revogação será aplicada em todos os sistemas vinculados ao SSO, reduzindo assim o risco de acesso não autorizado.

Em resumo, o SSO simplifica o processo de autenticação para os usuários, ao mesmo tempo, em que aprimora a segurança dos sistemas e aplicativos.

 

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Azure AD. Caso você não tenha uma assinatura, obtenha uma conta gratuita

Observações

  1. Supondo que a URL de acesso ao GAT seja https://cliente.gat.digital/login, sua Identificação de Cliente GAT que será utilizada no decorrer deste documento, será `cliente_gat_digital` (apenas o host é utilizado, os pontos são substituídos por underline e a barra é substituída por underline)
  2. Supondo que a URL de acesso ao GAT seja https://gat.cliente.com.br/login, sua Identificação de Cliente GAT que será utilizada no decorrer deste documento, será `gat_cliente_com_br` (apenas o host é utilizado, os pontos são substituídos por underline e a barra é substituída por underline)
  3. Para obter os endpoints SAML do GAT, acesse a URL https://kcgat.gat.digital/realms/IDENTIFICACAO_CLIENTE_GAT/broker/saml/endpoint/descriptor
    1. Substitua IDENTIFICACAO_CLIENTE_GAT pela identificação do cliente GAT (vide observações)

Criar um aplicativo no Azure AD

  1. Acesse o portal do Azure e faça login com uma conta de administrador
  2. No menu lateral, clique em Enterprise applications
  3. Registre uma nova aplicação seguindo as informações na tela
  4. Entre na aplicação recém criada e clique em Single sign-on
  5. Na nova tela, clique em Go to application
  6. Na nova tela, clique em Endpoints
  7. Copie e abra a URL Federation Metadata Document
  8. Copie o valor do atributo entityID (logo na primeira linha) e salve em um arquivo de texto
  9. Copie o valor do atributo Location do elemento SingleSignOnService e salve em um arquivo de texto
  10. Copie o valor do atributo Location do elemento SingleLogoutService e salve em um arquivo de texto
  11. Acesso o menu lateral Authentication
    1. Em Redirect URIs e adicione uma nova URL de redirecionamento do app
      1. A URL a ser adicionada segue o seguinte padrão: https://kcgat.gat.digital/realms/IDENTIFICACAO_CLIENTE_GAT/broker/saml/endpoint
      2. Substitua IDENTIFICACAO_CLIENTE_GAT pela identificação do cliente GAT (vide observações). Exemplo: https://kcgat.gat.digital/realms/cliente_gat_digital/broker/saml/endpoint
    2. Em Front-channel logout URL informe a seguinte URL: https://kcgat.gat.digital/realms/IDENTIFICACAO_CLIENTE_GAT/broker/saml/endpoint
      1. Substitua IDENTIFICACAO_CLIENTE_GAT pela identificação do cliente GAT (vide observações). Exemplo: https://kcgat.gat.digital/realms/cliente_gat_digital/broker/saml/endpoint
      2. Caso seja necessário informar uma **Logout URL**, informe a mesma do login
    3. Clique em Save
  12. Em Overview, acesse Application ID URI e adicione uma URI ID da aplicação
    1.  A URI a ser adicionada segue o seguinte padrão:
      https://kcgat.gat.digital/auth/realms/IDENTIFICACAO_CLIENTE_GAT
    2. Substitua IDENTIFICACAO_CLIENTE_GAT pela identificação do cliente GAT (vide observações). Ex.: https://kcgat.gat.digital/auth/realms/cliente_gat_digital
  13. No menu lateral, acesse Token configuration e clique em Add groups claim
    1. Escolha quais grupos deseja adicionar ao token (por padrão, escolhemos All groups)
    2. Clique em Add

Configurar o GAT Core

  1. Acesse o GAT com uma conta de administrador​
  2. Acesse o menu/tela de configurações do SSO
  3. Preencha os parâmetros conforme abaixo:
    1. Company name e Display name: informe o nome de sua empresa
    2. SAML entity descriptor: informe o valor do Application ID URI (vide item 2.12)
    3. Identity provider entity ID: informe o valor do entityID (vide item 2.8)
    4. Single sign-on service URL: informe o valor do Location do elemento SingleSignOnService 
    5. Single logout service URL: informe o valor do Location do elemento SingleLogoutService
    6. NameID policy format: escolha o valor Email
  4. Deixar os demais parâmetros com os valores padrões
  5. Clique em Salvar

Artigos relacionados

Powered by Zendesk