SAML (Security Assertion Markup Language) é um padrão aberto que troca informações de autenticação entre provedor de serviços e um provedor de identidade (IdP). Dessa forma, é possível usar um IdP de terceiros para autenticar usuários e passar informações de identidade para o provedor de serviços por um arquivo XML assinado digitalmente.

Seleção da autenticação

Nos subtópicos abaixo, você verá que há duas formas de configurar a autenticação via SAML dependendo de como o projeto foi criado.

Antes de criar o projeto

A seleção da autenticação pode ser feita durante ou após a criação do projeto no Cronapp. Na janela de criação do projeto é possível selecionar a opção SAML no campo Tipo de Autenticação (Figura 1).

Cronapp3 > Autenticação via SAML > samlNovoProjeto.png

Figura 1 - Seleção do tipo de autenticação na criação do projeto

Ao criar o projeto com a autenticação do tipo SAML, a view de login virá somente com o botão Entrar (Figura 1.1) já configurado para acessar o servidor SAML configurado.

Cronapp3 > Autenticação via SAML > SAMLTelaLogin.png

Figura 1.1 - Tela de login de projeto criado com autenticação via SAML

Após criar o projeto

Se a configuração for após a criação do projeto, siga os passos da Figura 2 para selecionar a autenticação SAML em sua configuração.

Cronapp3 > Autenticação via SAML > SamlConfiguracoes.png

Figura 2 - Seleção da autenticação após o projeto criado

No menu do sistema, selecione Projeto > Configurações.
Na janela que será aberta selecione a aba Configurações do Projeto.
Na subaba Autenticação e Segurança procure pelo campo Autenticação e selecione a opção Saml.

Após a configuração do projeto para autenticação via SAML, também é possível fazer autenticação manualmente, através da URL, exemplo:

web: https://<DOMINÍO>/#/login
mobile: https://<DOMINÍO>/#/app/login

Após alterar o tipo de autenticação de Token para SAML, será necessário modificar manualmente as páginas de login web (Localização: Formulários/Web/

Endereço: src/main/webapp/views/login.view.html

) e login mobile (Localização: Formulários/Mobile/

Endereço: src/main/mobileapp/www/views/login.view.html

) retirando os campos de "Usuário" e "Senha", os links "Redefinir Senha" e "Cadastre-se" e o botão "Entrar".

Para a autenticação via SAML é preciso apenas de um botão que execute o bloco Login via SSO (Oauth2) - embora o nome deste bloco faça referência à autenticação via SSO, também pode ser usado para autenticação SAML. Após essas alterações a tela de login resultante deverá ser semelhante a da Figura 1.1. Também é possível personalizar o logout da aplicação, para isso é necessário o uso do bloco Logout.

Configuração

Após realizar a seleção da autenticação, ainda na aba de Configurações do Projeto, clique na seta (destaque 1 da Figura 3) para abrir as Configurações de Autenticação do Saml e preencha os campos (Figura 3).

Cronapp3 > Autenticação via SAML > SamlConfigAutenticacao.png

Figura 3 - Aba Configurações da Autenticação da janela de Configurações do Projeto

- ID da Entidade: nome exclusivo para uma entidade SAML, seja um IdP ou um provedor de serviços (SP). O ID da entidade IdP é geralmente fornecido por seu IdP. O ID da entidade SP é o nome do aplicativo ou cliente configurado em seu IdP.
- URL de Metadados: URL de metadados SAML de seu IdP. Um provedor de identidade SAML (IdP) fornece um arquivo de metadados que descreve os recursos e a configuração do IdP.
- Arquivo de Chaves: nome do arquivo de armazenamento de chaves.
- Senha do Arquivo de Chaves: senha para o armazenamento de chaves.
- Chave Privada: nome (ou alias) do certificado dentro da keystore. Recomendamos o padrão keystore JKS.
- Senha da Chave Privada: senha da chave privada, se houver.
- Tempo Máximo de Autenticação (segundos): delimita um tempo máximo em que se permite que um usuário autentique na aplicação usando um login já salvo.
  - Por exemplo, o usuário autenticou na sua conta Microsoft e o servidor de autenticação permite que este login seja válido por 4 horas, no entanto, as configurações default das nossas aplicações permitem logins com até 2 horas de autenticação máxima. Dessa forma o login para o servidor de autenticação após 2 horas ainda seria válido, mas o usuário não conseguiria autenticar em nossa aplicação.
- Sempre Exigir Autenticação: caso habilitado, a aplicação sempre exigirá que o usuário autentique no servidor de autenticação.

Arquivo de Chaves

Para que a autenticação na aplicação ocorra com sucesso, é necessário adicionar o arquivo com a chave de autenticação do SAML no projeto. Para isso é preciso que o modo avançado esteja habilitado (destaque 1 da Figura 3.1). Feito isso, no diretório resources (destaque 2 da Figura 3.1), faça o upload do arquivo .jks (destaque 3 da Figura 3.1). Após upload, é preciso informar o nome do arquivo .jks no campo Arquivo de Chaves nas Configurações do Projeto.

Cronapp3 > Autenticação via SAML > SalmArquivoDeChave.png

Figura 3.1 - Upload do arquivo .jks no diretório resources

Login na aplicação

Por fim, após feitas as configurações e clicar no botão para login (Figura 1.1), o usuário será direcionado para o serviço de autenticação via SAML (exemplo na Figura 3.1) e, após preencher os campos de usuário e senha, retornará para a aplicação Cronapp já com o usuário autenticado.

Cronapp3 > Autenticação via SAML > SAMLPagAutenticacao.png

Figura 4 - Página do servidor de autenticação SAML configurado

Nesta página

Saiba mais

Consulte a documentação SAML 2.0 para mais informações.