Integração do Redtrust com um IdP via SAML 2.0
Visão geral
Neste tutorial, você aprenderá a integrar o Redtrust com um Provedor de Identidade (IdP) usando Security Assertion Markup Language (SAML) 2.0 para habilitar o login único (SSO). Este tutorial é destinado a desenvolvedores e administradores de TI. Presume-se que você tenha conhecimento básico sobre IdPs comuns, como Google Workspace ou Microsoft Entra ID (anteriormente conhecido como Azure Active Directory).
Contexto
Uma das formas de autenticar usuários no Redtrust é integrando um provedor de identidade (IdP) baseado em SAML 2.0. O SAML 2.0 é um protocolo amplamente adotado que facilita a comunicação segura entre um Provedor de Identidade (IdP) e um Provedor de Serviço (SP). No centro desse processo está a asserção SAML, um documento baseado em XML gerado pelo IdP que contém detalhes de autenticação e informações do usuário, como atributos e permissões. Essa asserção é transmitida de forma segura ao SP para validar o usuário e conceder acesso, garantindo uma experiência de login fluida e segura. Neste tutorial, você configurará seu software como um SP e estabelecerá a confiança com um IdP para ativar o SSO.
Você pode configurar o Redtrust para assinar digitalmente as solicitações de autenticação SAML. Alguns IdPs exigem essa opção. É possível ativá-la durante a criação do domínio ou posteriormente, editando as configurações do domínio no Redtrust. Se você editar o domínio, siga as etapas descritas neste tutorial sobre como configurar a assinatura de solicitações SAML no Entra ID
Antes de começar
Antes de continuar com este tutorial, certifique-se de que você tem acesso ao Redtrust e ao IdP que será configurado, além das permissões necessárias para editar os arquivos de configuração.
Se você já tem um domínio SAML e deseja adicionar a configuração para assinar as solicitações, vá até o item opcional da Etapa 2 e depois até a Etapa 3.
Etapa 1: Configurar o domínio no IdP para SSO
Para configurar o aplicativo, você deve acessar o portal correspondente como administrador e seguir estas etapas, dependendo se deseja configurar o SSO para Entra ID ou Google Workspace.
- Microsoft Entra ID
- Google Workspace
-
Acesse Microsoft Entra ID > Enterprise applications.
-
Selecione + New Application > Create your own application.
-
Defina
Redtrust
como o nome do aplicativo e clique em Create. -
Clique em Set up single sign on > SAML.
-
Na seção Basic SAML Configuration, clique no ícone de lápis e adicione as seguintes informações:
-
Identifier (EntityId):
https://REDTRUST-URL/DOMAIN
-
Reply URL (Assertion Consumer Service URL):
https://REDTRUST-URL/Auth/SamlConsumer
-
-
Continue para o próximo passo sem fechar esta janela.
-
Acesse o Google Workspace Admin Console e vá para Apps > Web and mobile apps.
-
Clique em Add app e selecione Add custom SAML app.
-
Defina o nome
Redtrust
e clique em Continue. -
Copie a URL do SSO e o Entity ID, baixe o certificado e clique em Continue. As informações copiadas serão necessárias no passo 2.
-
Insira as seguintes informações:
-
ACS URL:
https://REDTRUST-URL/Auth/SamlConsumer
-
EntityId:
https://REDTRUST-URL/DOMAIN
-
Etapa 2: Criar o domínio no Redtrust
Para configurar o servidor do Redtrust, siga estas etapas:
- Acesse o Redtrust, vá até Acessos e clique em Novo.
- Na caixa de diálogo:
- Adicione o alias que deseja atribuir ao domínio. O domínio pode corresponder ao domínio do e-mail dos usuários, ou seja, a parte depois do
@
. - Selecione SAML 2 como o tipo de domínio e clique em Avançar para ver todas as opções de configuração.
- Adicione o alias que deseja atribuir ao domínio. O domínio pode corresponder ao domínio do e-mail dos usuários, ou seja, a parte depois do
- Microsoft Entra ID
- Google Workspace
-
Use a configuração do aplicativo Entra ID que permaneceu aberta no passo 1 para preencher as informações.
Nome da configuração no Redtrust Localização no Microsoft Entra ID URL de login (HTTP-redirect) Seção 4 > Login URL. Certificado X509 do IdP (para assinatura) Seção 3 > Certificado (Base64). Baixe o arquivo, abra-o e copie o conteúdo. E-mail Seção 2 > emailaddress. Nome Seção 2 > givenname (o usuário do Active Directory deve ter um nome configurado). Sobrenome Seção 2 > surname (o usuário do Active Directory deve ter um sobrenome configurado). -
(Opcional) Selecione Solicitação assinada caso queira assinar as solicitações de autenticação SAML. Em Origem do certificado, você pode escolher entre Gerar certificado autoassinado ou Carregar certificado PFX/P12. Esse arquivo corresponde à parte pública do certificado de assinatura da solicitação e será necessário na próxima etapa. Se usar um certificado autoassinado, será preciso fazer o download conforme explicado na próxima etapa.
- Use os dados copiados no passo 1 para preencher a configuração no Redtrust.
-
Complete o restante dos dados da seguinte forma:
- Domínio: Nome do domínio do Entra ID onde deseja ativar o SSO.
- Diferencia maiúsculas de minúsculas?: Não
- ACS por índice: Não
Etapa 3 (Opcional): Adicionar a configuração de solicitação assinada
- Microsoft Entra ID
- Google Workspace
-
Se você gerou um certificado autoassinado, vá para Acesso > Domínio. Selecione o domínio que você acabou de criar. Faça o download do certificado.
-
Volte para a seção 3 do aplicativo no Entra ID, Verification certificates (optional). Clique no ícone de lápis.
-
Selecione Require verification certificates.
-
Clique em Upload certificate, selecione seu certificado e depois clique em Ok e Save.
-
O Google Workspace não oferece suporte à validação de solicitações de autenticação SAML assinadas, portanto não é possível ativar essa opção ao integrar com o Google como IdP.
Resumo
Neste tutorial, você configurou o Redtrust como um Provedor de Serviço (SP) e integrou um Provedor de Identidade (IdP) usando SAML 2.0 para ativar o login único (SSO). Você configurou o IdP definindo os parâmetros de autenticação necessários e depois configurou o Redtrust para confiar no IdP. Essa integração permite que os usuários se autentiquem de forma transparente usando suas credenciais existentes, melhorando a segurança e a experiência do usuário.
Para mais detalhes sobre as opções de configuração do SAML, consulte a documentação de domínios.