Pular para o conteúdo principal
Version: 4.42

Como definir o acesso ao domínio usando uma gateway de autenticação centralizada

Visão geral

Este guia explica como configurar sites mapeados para controlar o uso de certificados em serviços que se autenticam por meio de uma gateway de autenticação centralizada. É útil para administradores que precisam definir quais serviços ficam sob o controle do Redtrust, pois sem essa configuração o acesso pelo gateway é permitido automaticamente e sem registro.

Contexto

Algumas gateways de autenticação centralizadas, como a VÀLid do AOC na Catalunha ou a Giltza da Izenpe no País Basco, fornecem acesso a múltiplos serviços da administração pública. Quando um usuário se autentica com um certificado digital por um desses gateways, o gateway emite um token opaco: uma string aleatória que não contém nenhuma informação sobre o serviço de destino. O agente do Redtrust detecta o uso do certificado nos domínios do gateway, mas não consegue determinar a qual serviço de destino essa autenticação corresponde.

Ao configurar sites mapeados, você indica ao Redtrust quais serviços de destino deve associar às autenticações realizadas pelo gateway. Dessa forma, as políticas padrão do Redtrust se aplicam aos serviços de destino mapeados: uma URL do serviço de destino deve estar explicitamente autorizada para que o usuário possa acessá-la sob a identidade do certificado usado. Este guia usa o AOC como exemplo; os mesmos passos se aplicam a qualquer gateway de autenticação centralizada.

tip

Para uma visão geral conceitual de como os sites mapeados funcionam, consulte Sites mapeados.

Para casos de uso em que um aplicativo de área de trabalho gerencia a autenticação com certificado em vez de uma gateway de autenticação centralizada, consulte Como definir o acesso ao domínio usando autenticação baseada em aplicativos.

Antes de começar

Antes de continuar, certifique-se de ter o agente Redtrust instalado e a configuração básica concluída. Se você usar um gateway diferente, substitua os domínios do gateway AOC pelos correspondentes. Por exemplo, para a Giltza da Izenpe, os domínios são eidas.izenpe.com e eidas2.izenpe.com.

Este guia usa a Seu Antifrau (permitida) e o Ajuntament de Barcelona (negado) como exemplos para ilustrar um cenário em que o mesmo certificado deve ter acesso a um serviço autenticado pelo AOC, mas não a outro. Substitua-os pelos serviços relevantes para a sua organização.

Etapa 1: Configure o grupo de sites do gateway AOC

O gateway AOC é o ponto de entrada da autenticação. Crie um grupo de sites para os domínios do gateway e adicione na seção Configuração avançada os sites de destino que deseja controlar.

  1. Acesse Políticas > Sites e clique em Adicionar grupo de sites.
  2. No campo Nome do grupo de sites, insira um nome relevante, por exemplo AOC - Gateway.
  3. Adicione os domínios do gateway:
    • Insira cert.valid.aoc.cat e clique em Adicionar.
    • Insira valid.aoc.cat e clique em Adicionar.
  4. Expanda Configuração avançada e, no campo Sites mapeados, insira etram.seu-e.cat. Pressione Enter para confirmar.
  5. Clique em Aplicar.

Etapa 2: Adicione o grupo de sites de destino

Crie um grupo de sites separado para cada serviço de destino que deseja permitir.

  1. Acesse Políticas > Sites e clique em Adicionar grupo de sites.
  2. No campo Nome do grupo de sites, insira Seu Antifrau.
  3. Insira etram.seu-e.cat e clique em Adicionar.
  4. Clique em Aplicar.
info

Repita esta etapa para qualquer outro serviço AOC de destino que deseja permitir. Qualquer site definido em Sites mapeados que não esteja incluído em nenhuma política terá o acesso com certificado bloqueado. Os domínios que não estiverem na lista são permitidos automaticamente e não ficam registrados — o Redtrust não tem como avaliá-los.

Etapa 3: Crie uma política

Crie uma política que inclua os dois grupos de sites.

  1. Acesse Políticas e clique em Nova.
  2. Na etapa Geral, insira um nome como AOC - Seu Antifrau e defina a prioridade.
  3. Adicione o certificado e os usuários nas etapas Certificados e Quem?.
  4. Na seção Onde:
    1. Clique em Adicionar sites, selecione AOC - Gateway e clique em Adicionar.
    2. Clique em Adicionar sites, selecione Seu Antifrau e clique em Adicionar.
    3. Clique em Avançar.
  5. Na etapa Quando, selecione A qualquer momento e clique em Aplicar.
  6. No resumo da política, clique em Aceitar e Fechar.
info

Para mais informações sobre políticas e grupos de sites, consulte Políticas.

Etapa 4: Bloqueie o acesso a outros serviços AOC

Qualquer domínio adicionado a Sites mapeados no grupo de sites do gateway que não esteja incluído em nenhuma política de permissão é bloqueado automaticamente. Não é necessária uma política de negação.

  1. Acesse Políticas > Sites, selecione o grupo AOC - Gateway e clique em Editar.
  2. Expanda Configuração avançada e, no campo Sites mapeados, insira o domínio do serviço que deseja bloquear (por exemplo, seuelectronica.ajuntament.barcelona.cat). Pressione Enter para confirmar e clique em Aplicar.
info

Se quiser entradas de política explícitas para trilha de auditoria ou visibilidade na lista de políticas, você pode criar uma política de negação. Siga o mesmo processo das Etapas 2–3, mas na etapa Geral, selecione Negar na seção Ação. Adicione o grupo de sites do gateway e o grupo de sites do serviço na seção Onde e conclua as etapas restantes.

Verificação

Com o agente Redtrust em execução, autentique-se pelo gateway em cada um dos serviços que você configurou. Em seguida, acesse Eventos no console de administração e confirme que o site permitido exibe uma entrada de acesso concedido e o site negado exibe uma entrada de acesso bloqueado.