Configuração da autenticação SAML com ADFS

Para a configuração do ADFS para a plataforma, é necessário o uso de um certificado digital específico para o tenant, o qual é fornecido pela Senior no momento da criação do tenant.

1. Conecte ao servidor do Active Directory e execute a aplicação ADFS Management;
2. No menu, na pastaTrust Relationships, clique com o botão direito na pasta Relying Party Trusts e, em seguida, em Add Relying Party Trust…;
3. Em Add Relying Party Trust Wizard clique em Start;
4. Na etapa Select Data Source marque a opção Enter data about the relying party manually e clique em Next;
5. Na etapa Specify Display Name, no campo Display Name, informe SeniorX e clique Next;
6. Na etapa Choose Profile, mantenha a opção AD FS profile selecionada e clique em Next;
7. Clique em Next na etapa Configure Certificate. O certificado é disponibilizado quando o tenant é solicitado via SARA, é enviado um e-mail para o consultor com o link para baixar um .zip onde o certificado está dentro da pasta SAML no formato .jks (caso não tenha o certificado ou necessite em outro formato, entre em contato com o suporte da XPlatform);
8. Na etapa Configure URL marque a opção Enable support for the SAML 2.0 WebSSO protocol e em Relying party SAML 2.0 SSO service URL informe https://platform.senior.com.br:9443/commonauth. Em seguida, clique em Next;
9. Na etapa Configure identifiers, em Relying party trust identifier informe SeniorX e clique em Add. Em seguida, clique em Next;
10. Clique em Next na etapa Configure Multi-factor Authentication Now?;
11. Na etapa Choose Issuance Authorization Rules, mantenha selecionada a opção Permit all users to access the relying party e clique em Next;
12. Clique em Next na etapa Ready to Add Trust;
13. Na etapa Finish mantenha selecionada a opção Open the Edit Claim Rules dialog for this relying party trust when the wizard closes e clique em Close.

Após estas configurações, a tela Edit Claim Rules for SeniorX será aberta:

1. Na guia Issuance Transform Rules, clique em Add Rule;
2. Em Add Transform Claim Rule Wizard, na etapa Choose Rule Type, mantenha selecionada a opção Send LDAP Attributes as Claims e clique em Next;
3. Na etapa Configure Claim Rule:
   • Claim rule name: SAM-Account-Name -> User Name
   • Attribute store: Active Directory
   • Mapping of LDAP attributes to outgoing claim types:
     • LDAP Attribute: SAM-Account-Name
     • Outgoing Claim Type: User Name
4. Clique em Finish e adicione mais uma regra:
   • Claim rule name: Display-Name -> Name
   • Attribute store: Active Directory
   • Mapping of LDAP attributes to outgoing claim types:
     • LDAP Attribute: Display-Name
     • Outgoing Claim Type: Name
5. Clique em Finish e adicione mais uma regra:
   • Claim rule name: User-Principal-Name -> Email Address
   • Attribute store: Active Directory
   • Mapping of LDAP attributes to outgoing claim types:
     • LDAP Attribute: User-Principal-Name
     • Outgoing Claim Type: E-Mail Address
6. Clique em Finish;
7. Na etapa Choose Claim Rule, adicione mais uma regra. Em Claim rule template selecione Transform an Incoming Claim e clique em Next;
8. Na etapa Configure Claim Rule:
   • Claim rule name: User Name -> Name ID
   • Incoming claim type: User Name
   • Outgoing claim type: Name ID
9. Clique em Finish e feche a tela Add Transform Claim Rule Wizard;
10. Na aplicação AD FS Management, na pasta Relying Party Trusts, clique com o botão direito em SeniorX e, em seguida, em Properties;
11. Na tela SeniorX Properties, na guia Signature, clique em Add.. e selecione o certificado obtido com a Senior;
12. Na guia Endpoints, clique em Add SAML... e informe:
    • Endpoint type: SAML Logout
    • Binding: POST
    • Trusted URL: informe a URL externa do ADFS
    • Response URL: https://platform.senior.com.br/commonauth
13. Clique em OK ;
14. Clique em Apply e em OK para concluir ir as configurações do ADFS.

Antes de iniciar a configuração da autenticação na XPlatform, ainda na aplicação AD FS Management, na pasta Service, clique em Claim Descriptions e anote os valores de Claim Type, das claims User Name, E-mail Address e Name. Estes valores serão utilizados para a autenticação na plataforma.

1. Acesse a plataforma com usuário administrador do tenant;
2. Acesse Tecnologia > Administração > Gestão dos Tenants > Configurar, selecione o tenant e clique em Configurações;
3. Na guia Autenticação altere o tipo de autenticação para "Autenticação SAML";
4. Em Configurações SAML informe:
   • URL de redirecionamento da requisição SAML: https://platform.senior.com.br/auth/LoginWithCodeServlet
   • ID da entidade do Identity Provider: https://<URL ADFS>/adfs/services/trust
   • ID da entidade do Service Provider: SeniorX (valor previamente definido na configuração do ADFS
   • URL para realizar o login: https://<URL ADFS do cliente>/adfs/ls
   • URL para realizar o logoff: https://<URL ADFS do cliente>/adfs/ls/?wa=wsignout1.0
5. Em Dados dos Usuários SAML:
   • Claim que define o username do usuário: claim type da claim User Name
   • Claim que define o e-mail do usuário: claim type da claim E-Mail Address
   • Claim que define o nome completo do usuário: claim type da claim Name
6. Clique em Salvar para concluir as configurações.

Para testar a configuração, abra um outro navegador ou uma guia anônima no mesmo navegador e acesse a URL da plataforma informando o domínio do tenant na URL.

As Claims mencionadas acima são apenas exemplos; a configuração pode variar de acordo com cada tenant.

Caso a configuração estiver correta, um redirecionamento será feito, de forma automática, para a tela de login do ADFS. Ao informar as credenciais válidas, será redirecionado para a XPlatform já autenticada. Confirme se todos os dados do usuário estão corretos de acordo com o seu perfil na plataforma. Caso algum atributo esteja incorreto, revise a parte de claims, tanto no ADFS quanto na XPlatform.