Domínios
Visão geral
No Redtrust, um domínio define o método de autenticação para que um grupo de usuários acesse o serviço. Os métodos de autenticação disponíveis dependem de como os usuários estão configurados para se autenticar, conforme descrito na tabela abaixo. Vários domínios podem ser definidos para acomodar vários casos de uso. Por exemplo, um domínio SAML pode ser criado para os usuários/grupos de uma organização a partir de um IdP como o Entra ID (nteriormente conhecido como Azure Active Directory) usando o Windows Agent no modo assistido, enquanto um domínio de usuários locais separado pode ser criado para autenticar um servidor de compilação Linux.
| Fonte de autenticação | Console de administração | Agente Windows (atendido) | Agente Windows (não atendido) | Agente Linux (atendido) |
|---|---|---|---|---|
| Código de ativação | ✅ | ✅ | ||
| Diretório ativo | ✅* | ✅ | ||
| Usuários de certificados | ✅ | ✅ | ||
| LDAP | ✅* | ✅ | ||
| Usuários locais (nome de usuário/senha) | ✅ | ✅ | ✅ | |
| OAuth | ✅ | ✅ | ||
| SAML 2.0 | ✅ | ✅ |
* Os usuários se autenticam no domínio usando seu nome de usuário e senha.
Opções gerais de configuração
Você pode acessar o assistente de criação de domínio navegando até Acesso > Domínio e clicando no botão Novo. No assistente, você deve definir os recursos do domínio.
| Opção | Descrição |
|---|---|
| Alias | Define o que os usuários usarão para referenciar este domínio ao fazer login no serviço. Por exemplo, com um domínio de usuários locais, um usuário com o nome de usuário John faria login no domínio com um alias chamado meuDominio inserindo John@meuDominio. Para domínios SAML e OAuth, o alias pode corresponder ao domínio de e-mail dos usuários. Por exemplo, para uma organização com e-mails formatados como nome.sobrenome@nomedaempresa.com, o alias poderia ser nomedaempresa.com. |
| Tipo | Os tipos de domínio válidos são:
|
| Acesso à área pessoal | Define se os usuários deste domínio podem acessar sua área pessoal. |
Veja a captura de tela da interface do usuário
Outras opções de configuração aparecem ao selecionar um tipo de domínio.
| Opção | Descrição |
|---|---|
| Concorrência por usuário | Configuração do domínio para permitir que um único usuário se autentique em várias sessões de agente simultaneamente. Isso pode ser útil para pipelines de compilação de curta duração e contas de serviço. |
| Limite do usuário | Esse campo é opcional. É um limite para o número de usuários com os quais um determinado domínio pode ser configurado. |
| Botão de login do SSO | Esse botão permite que os usuários acessem diretamente o provedor de identidade (IdP). Esse recurso se aplica aos domínios SAML e OAuth 2.0. Se necessário, vários domínios podem ser configurados dessa forma, permitindo a autenticação com vários IdPs diretamente da página de login. |
Configuração do Entra ID e do LDAP
Ao escolher um domínio do tipo Entra ID (Active Directory) ou LDAP, novas opções de configuração são imediatamente exibidas na janela:
Veja a captura de tela da interface do usuário
| Opção | Descrição |
|---|---|
| Anfitrião | Define o endereço do servidor. |
| Base | Base DN a partir da qual o repositório é visível para o Redtrust. Por exemplo, DC=Redtrust,DC=com. |
| Filtro | Filtro utilizado para buscas de usuários no diretório. A string FILTER_PARAM representa o termo de busca. Um filtro típico: (&(|(cn=*FILTER_PARAM*)(userPrincipalName=*FILTER_PARAM*)(sAMAccountName=*FILTER_PARAM*))(objectCategory=person)).Exemplo: Ao buscar por "Usuario1", FILTER_PARAM é substituído por "Usuario1". |
| Filtro de grupos | (Somente Entra ID) Filtro utilizado para buscas de grupos no diretório. A string FILTER_PARAM representa o termo de busca. Um filtro típico: (&(cn=*FILTER_PARAM*)(objectCategory=group)). |
| Usuário da consulta | Usuário para se conectar ao diretório externo. |
| Senha | Senha do usuário de consulta. |
| Conexão segura | Indica se a conexão ao servidor Entra ID utiliza o protocolo HTTP (não seguro) ou HTTPS (seguro). |
Usuários locais
Veja a captura de tela da interface do usuário
| Opção | Descrição |
|---|---|
| Comprimento mínimo | O comprimento mínimo exigido para as senhas. |
| Uso de letras maiúsculas | Exigir que as senhas incluam caracteres em maiúsculas. |
| Uso de números | Exige que as senhas incluam caracteres numéricos. |
| Uso de símbolos | Exigir que as senhas incluam caracteres especiais. |
| Vencimento da senha | Essa opção define o número de meses antes da expiração da senha. |
| Bloqueio de conta |
|
OAuth
Veja a captura de tela da interface do usuário
| Opção | Descrição |
|---|---|
| Geral | |
| ID do cliente | Identificador do aplicativo. Será fornecido pelo seu IdP. |
| Cliente secreto | Chave de autenticação do aplicativo. Será fornecida pelo seu IdP. |
| URL de autorização | Endpoint para login e consentimento. Será fornecido pelo seu IdP. |
| URL de token | Endpoint para troca do token de acesso. Será fornecido pelo seu IdP. |
| URL de informações do usuário | Endpoint para buscar dados do usuário. Será fornecido pelo seu IdP. |
| Provisionamento automático de usuários | Se ativada, essa configuração importa o e-mail, o nome e a associação de grupo de um usuário no Redtrust na primeira vez em que o usuário se autenticar no IdP. Se essa configuração não estiver ativada, será necessário preencher manualmente esses campos de dados para os usuários. |
| Mapeamento de atributos | |
| Nome | O valor que você configurou para o atributo name do seu IdP. |
| Sobrenome | O valor que você configurou para o atributo last name do seu IdP. |
| Usando grupos | Habilite para que o Redtrust use a associação de grupo de um usuário na reivindicação. |
| Grupos | Os grupos a serem importados. |
| Endereço de e-mail | O valor que você configurou para o atributo email do seu IdP. |
| Usar e-mail como identificador de usuário | Ative essa opç�ão se a sua organização usar o atributo de e-mail como identificador de usuários em vez do nome de usuário. Observe que essa opção precisa ser configurada no momento da criação do domínio. Não é possível editar essa propriedade depois que um domínio tiver sido criado. |
| Nome do usuário | O valor que você configurou para o atributo username do seu IdP. Essa opção só estará disponível se você não ativar Usar e-mail como identificador de usuário. |
SAML 2.0
Veja a captura de tela da interface do usuário
| Opção | Descrição |
|---|---|
| Geral | |
| SP EntityID | Esse valor será https://REDTRUST_DEPLOYMENT_URL/ALIAS_DO_SEU_DOMÍNIO. Por exemplo, se o alias de seu domínio SAML for companyname.com, esse valor será https://redtrustdeployment.com/companyname.com. |
| Provisionamento automático de usuários | Se ativada, essa configuração importará o e-mail, o nome e a associação de grupo de um usuário no Signum na primeira vez em que o usuário se autenticar no IdP. Se essa configuração não estiver ativada, será necessário preencher manualmente esses campos de dados para os usuários. |
| URL de login (HTTP-REDIRECT) | Redireciona os usuários para o IdP para login. Será fornecida pelo seu IdP. |
| URL de logout (HTTP-REDIRECT) | Redireciona os usuários para o IdP para logout. Será fornecida pelo seu IdP. |
| Certificado IDP X.509 (para assinatura) | Verifica as assinaturas digitais do IdP. Será fornecido pelo seu IdP. |
| Mapeamento de atributos | |
| Endereço de e-mail | O valor que você configurou para o atributo email na asserção SAML. |
| NameID diferencia maiúsculas de minúsculas | Quando ativada, essa configuração trata o campo NameID como sensível a maiúsculas e minúsculas. Ativado por padrão. |
| Nome | O valor que você configurou para o atributo name na asserção SAML. |
| Sobrenome | O valor que você configurou para o atributo surname (sobrenome) na asserção SAML. |
| Usar e-mail como identificador de usuário | Ative essa opção se a sua organização usar o atributo de e-mail como identificador de usuários em vez de nome ou sobrenome. Observe que essa opção precisa ser configurada no momento da criação do domínio. Não é possível editar essa propriedade depois que um domínio tiver sido criado. A maioria dos casos de uso desejará ativar essa configuração. |
| ACS por índice | Desativado por padrão. Essa propriedade especifica como indicar ao IdP (por meio da solicitação de autenticação SAML) a URL que consumirá a asserção SAML gerada pelo IdP. Se estiver desativado, o AssertionConsumerServiceURL será adicionado à solicitação de autenticação. Se estiver ativado, o AssertionConsumerServiceIndex será adicionado à solicitação. Se estiver ativado, você deverá configurar o IdP de modo que o índice 0 corresponda ao URL https://REDTRUST_DEPLOYMENT_URL/Auth/SamlConsumer. |
| Grupos | Grupos aos quais o usuário está atribuído. |
Você pode ver um erro "Usuário encontrado, mas não pertence a nenhuma função" ao tentar fazer login no Redtrust após a autenticação com o IdP. Isso ocorre porque cada usuário que acessa o console de administração deve ser atribuído a uma função e o usuário de autenticação ainda não foi atribuído a uma pelo administrador do Redtrust. Isso pode ser resolvido fazendo com que o administrador do sistema faça login no Redtrust e atribua uma função a esse novo usuário ou usando grupos SAML para atribuir um grupo inteiro de usuários a uma função específica. Isso permite que os membros do grupo façam login automaticamente.
Configuração de URL do IdP
Os usuários também podem ser direcionados para a página de login do IdP, ignorando a página de login do Redtrust, navegando para um URL com a configuração abaixo. Após a autenticação, o usuário será enviado de volta ao console da administração do Redtrust.
https://REDTRUST_DEPLOYMENT_URL/login?domain=ALIAS_DO_SEU_DOMÍNIO`
Opções de configuração do usuário
| Opção | Descrição |
|---|---|
| Nome de usuário | Nome de usuárioA-Z), (a-z), (0-9), (-), (.), (_). |
| Estado | O padrão é ativo. Um usuário com estado inativo não poderá fazer login. |
| Nome | Nome do usuário. |
| Endereço de e-mail | Endereço de e-mail do usuário. |
| Senha | Senha do usuário. |
| O usuário deve alterar a senha no próximo login | Define se o usuário será solicitado a alterar a senha na próxima vez que fizer login. |
Depois que o usuário for criado, ele aparecerá na aba Usuários ao clicar no domínio.
Ao selecionar o usuário, serão exibidas propriedades adicionais sobre ele.
| Propriedades adicionais do usuário | Descrição |
|---|---|
| Último uso do certificado | A última data e hora em que esse usuário assinou com um certificado Redtrust. |
| Bloqueado | Esta opção é ativada quando um usuário é bloqueado devido à política de senhas do domínio de usuários local. O administrador do Redtrust pode ativá-la para desbloquear a conta. |