Configurando o
Clarity
para dar suporte ao SAML 2.0

ccppmop1591
O
Clarity
permite que clientes no local usem as credenciais emitidas por um IdP - que oferece suporte ao SAML 2.0 - e conectem-se ao
Clarity
.
Algumas das principais vantagens do uso do logon SSO com base no SAML são:
  • Integração perfeita entre redes e ambientes: todos os usuários podem se movimentar facilmente entre a intranet da empresa e o
    Clarity
    .
  • Gerenciamento simplificado de senhas: não é necessário gerenciar senhas de usuários separadamente do
    Clarity
    , pois o sistema de gerenciamento de usuários existente já lida com o gerenciamento das senhas.
Algumas das principais áreas abordadas neste tópico são:
2
Configurando metadados SAML no
Clarity
Todos os provedores de identidade que oferecem suporte ao SAML 2.0 fornecem uma maneira de compartilhar os metadados do SAML com outros aplicativos. Peça ao administrador de segurança em sua organização para fornecer os metadados SAML para seu IdP. Você pode importar o arquivo de metadados SAML no
Clarity
.
O
Clarity
permite realizar as atividades a seguir.
Vamos analisar como podemos executar cada uma dessas atividades.
Importar metadados SAML no
Clarity
Depois de receber o arquivo de metadados SAML do administrador, é possível importá-lo no
Clarity
usando a opção de autenticação e chaves na página Administração. Você pode optar por fazer upload dos metadados SAML ou preencher manualmente os vários atributos necessários para estabelecer uma conexão bem-sucedida com o IdP.
Clarity
Importar metadados SAML usando um arquivo XML
Você pode usar o botão Importar os metadados do provedor de identidades para importar os metadados SAML no
Clarity
.
Siga estas etapas:
  1. Efetue logon no
    Clarity
    .
  2. No menu principal, clique em
    Administração
    .
  3. Clique em
    Autenticação e chaves
    e selecione
    CONFIGURAÇÕES DO SAML
    .
  4. Clique no botão
    Importar os metadados do provedor de identidades
    para importar os metadados SAML.
  5. Informe o identificador de configuração, o nome da configuração e faça upload do arquivo de metadados SAML. Clique em
    Concluído
    para fazer upload do arquivo. A configuração do SAML agora está pronta. O certificado associado aos metadados SAML está agora disponível na guia
    CERTIFICADOS
    .
  6. Use o seletor de coluna para adicionar à grade vários atributos, como o URL do assertion consumer, o contexto de autenticação, a ID da entidade e a ID da entidade do IdP. Esses atributos são obrigatórios e preenchidos com base nos metadados SAML importados por você.
  7. Use o seletor de coluna para adicionar atributos opcionais, como o nome da organização e o email de contato de suporte.
Inserir manualmente as configurações do SAML
Se não for possível gerar o arquivo de metadados SAML do IdP ou se desejar preencher manualmente as configurações do SAML, você precisará dos detalhes a seguir. Será necessário obter a maior parte desses detalhes com a ajuda do seu administrador de segurança.
Clarity
Atributo
Descrição
Fornecedor
Certificado X509
O certificado X509 é um formato padrão para criptografia de chave pública. A administração de segurança precisa fornecer o texto do certificado para que você possa atualizá-lo no
Clarity
.
Administrador de segurança
Contexto de autenticação
O contexto de autenticação permite que os IdPs ampliem as assertions com informações adicionais relevantes à autenticação do usuário no IdP.
urn:oasis:names:tc:SAML:2.0:ac:classes:password
Administrador de segurança
Associação do assertion consumer
As associações ajudam a definir o formato no qual os dados são transferidos entre provedores de identidades e provedores de serviços.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
Administrador de segurança
ID da entidade do IdP
A ID da entidade do IdP é um nome globalmente exclusivo para cada aplicativo no provedor de identidades.
http://www.okta.com/temp1eeddw
Administrador de segurança
ID de entidade
A ID de entidade é um terminal exclusivo do
Clarity
. Você pode acrescentar a ID usada ao criar a configuração do SAML para gerar a ID de entidade.
http://ppmtemp.test.clarity.net:8080/niku/nu/sso/<ID>
Administrador do
Clarity
Formatos de ID de nome
Os formatos de ID de nome definem os formatos de identificador de nome suportados pelo IdP.
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Administrador de segurança
Associação do serviço de SSO
A associação do serviço de SSO especifica a associação que existe entre o serviço de SSO no IdP e no
Clarity
.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Administrador de segurança
URL do serviço de SSO
O URL do serviço de SSO fornece o URL para o serviço de SSO do seu IdP.
https://dev-sample.okta.com/app/dummyorg388382_org_1/exkedjmn434r35tALF357/sso/saml
Administrador de segurança
Associação de serviço de logoff único do IdP
A associação de serviço de logoff único do IdP ajuda o IdP a manter o controle de todos os SPs (Service Providers - Provedores de Serviços) que receberam uma resposta de autenticação quando um usuário estava usando o IdP para efetuar logon em vários provedores de serviços, incluindo o
Clarity
. Quando o usuário subsequentemente faz logoff no
Clarity
, o IdP sabe a quais outros provedores de serviços ele está conectado e pode enviar solicitações de logoff se necessário.
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
Administrador de segurança
URL do assertion consumer
O URL do assertion consumer é o terminal no
Clarity
ao qual o IdP fornece uma resposta de autenticação. Ele sempre precisa terminar com /niku/nu para garantir que a integração do SAML funcione com êxito.
http://ppmtemp.test.clarity.net:8080/niku/nu
Administrador do
Clarity
Siga estas etapas
  1. Efetue logon no
    Clarity
    .
  2. No menu principal, clique em Administração.
  3. Clique em
    Autenticação e chaves
    e selecione
    CERTIFICADOS
    .
  4. Clique em
    Adicionar linha
    e insira
    Nome
    , o
    Texto do certificado
    e a
    ID
    . Em geral, essas informações são fornecidas pelo administrador de segurança.
  5. Clique em
    CONFIGURAÇÕES DO SAML
    e em
    Adicionar linha
    .
  6. Selecione o
    Painel de colunas
    para adicionar os atributos relevantes à grade do
    Clarity
    . Agora, você pode começar a adicionar os detalhes fornecidos pelo administrador de segurança.
A página CONFIGURAÇÕES DO SAML usa a grade comum do
Clarity
. Para saber mais sobre a grade comum do
Clarity
, consulte Componentes comuns
Gerenciar certificados de segurança
Você pode usar o
Clarity
para gerenciar os certificados de segurança em sua organização. Quando você importa o arquivo de metadados SAML no
Clarity
, o certificado de segurança é automaticamente disponibilizado na página CERTIFICADOS. Se a sua organização desejar criptografar a comunicação entre o
Clarity
e o IDP, você poderá adicionar o certificado relevante à página CERTIFICADOS. Também é possível usar essa página para manter uma lista de certificados na sua organização para outros produtos.
Clarity
Siga estas etapas:
  1. Efetue logon no
    Clarity
    .
  2. No menu principal, clique em Administração.
  3. Clique em
    Autenticação e chaves
    e selecione
    CERTIFICADOS
    .
  4. Clique em
    Adicionar linha
    e insira
    Nome
    , o
    Texto do certificado
    e a
    ID
    . Em geral, essas informações são fornecidas pelo administrador de segurança.
  5. Clique no
    Painel de colunas
    para adicionar atributos relevantes à grade do
    Clarity
    . Você pode adicionar os atributos Começa em e Expira à grade para garantir que os administradores possam revisar a validade do certificado.
  6. Se tiver adicionado um certificado de provedor de serviços para criptografar a comunicação entre o
    Clarity
    e o IdP:
    1. Clique em
      CONFIGURAÇÕES DO SAML
      e use o
      Painel de colunas
      para adicionar os seguintes atributos:
      • Certificado do provedor de serviços
      • Criptografar assertions de IDP
      • Chave privada
    2. Clique duas vezes na coluna
      Certificado do provedor de serviços
      para selecionar o certificado do provedor de serviços.
    3. Marque a caixa de seleção
      Criptografar assertions de IDP
      .
    4. Digite a chave privada.
A página CERTIFICADOS usa a grade comum do
Clarity
. Para saber mais sobre a grade, consulte Componentes comuns
Exportar metadados do provedor de serviços
Depois de fazer upload dos metadados SAML no
Clarity
, é necessário fornecer os metadados relevantes do
Clarity
ao IdP, de modo que ele possa autenticar os usuários para acessar o
Clarity
.
Siga estas etapas:
  1. Efetue logon no
    Clarity
    .
  2. No menu principal, clique em
    Administração
    .
  3. Clique em
    Autenticação e chaves
    e selecione
    CONFIGURAÇÕES DO SAML
    .
  4. Clique com o botão direito do mouse na configuração que você deseja exportar e selecione Exportar os metadados do provedor de serviços.
  5. Salve o arquivo e compartilhe-o com o administrador de segurança.
Configurar o
Clarity
para oferecer suporte a vários IdPs
Você pode configurar o
Clarity
para oferecer suporte a vários IdPs. Embora a maioria das organizações utilize um único IdP, há determinados cenários, como a migração de um IdP para outro, onde você pode desejar oferecer suporte a vários IdPs.
Siga estas etapas:
  1. Crie uma configuração do SAML para o segundo IdP no
    Clarity
    . Para obter mais informações, consulte Importar metadados SAML
  2. Atualize o URL do assertion consumer para acrescentar "?sso_code=<ID>" no final do URL. Vamos analisar um exemplo. Certifique-se de usar a mesma ID usada para definir a configuração do SAML no
    Clarity
    .
    http://ppmtemp.test.clarity.net:8080/niku/nu?sso_code=IDP2
    Clarity
  3. Exporte os metadados do
    Clarity
    e use-os para configurar o IdP. Para saber mais sobre como exportar metadados do
    Clarity
    , consulte Exportar metadados do provedor de serviços.
    Considere um exemplo em que você configurou o OKTA como seu segundo IdP. Ao configurar o OKTA, você precisará:
    • Atualizar a opção de logon único no URL para acrescentar "?sso_code=<ID>".
    • Desmarcar a caixa de seleção
      Use this for Recipient URL and Destination URL
      .
    • Remova o parâmetro "?sso_code=<ID>" do URL do destinatário e do URL de destino. Para saber mais sobre como configurar outros IdPs, consulte Exemplos de configuração do SAML.
Configurando o
Clarity
para dar suporte ao SAML 2.0
É necessário executar as ações abaixo para configurar o
Clarity
para dar suporte ao SAML 2.0.
Atualizar configurações no CSA (
Clarity
System Administrator)
A etapa final para configurar o
Clarity
para que ele ofereça suporte ao SAML 2.0 é ativar o sign-on único e definir o tipo de token no
Clarity
System Administrator.
Siga estas etapas:
  1. Efetue logon no Administrador do Sistema do
    Clarity
    usando o link abaixo. O seguinte URL de logon padrão destina-se ao CSA em servidores que executam o Apache Tomcat: http://<nome_do_host>:<porta>/niku/app
  2. Selecione o servidor relevante.
  3. Vá para a guia
    Aplicativo
    e marque a caixa de seleção
    Usar sign-on único
    na seção Instância do aplicativo: aplicativo.
  4. Salve as alterações.
  5. Vá para a guia
    Segurança
    e defina o valor do campo do tipo de token como
    Cabeçalho
    .
    Clarity
  6. Salve as alterações.
  7. Reinicie os serviços do
    Clarity
    .
Ativar a autenticação do SAML
É necessário ativar a autenticação do SAML no PPM clássico. Execute estas etapas:
  1. Efetue logon no PPM clássico e selecione
    Administração
    ,
    Opções do sistema
    , para abrir a página Opções do sistema.
  2. Selecione a opção
    Ativar a autenticação do SAML
    .
Clarity
Garantir a correspondência de detalhes de logon no
Clarity
e no IdP
Você precisa assegurar que os detalhes de logon no IdP correspondam aos detalhes associados ao campo NOME DE USUÁRIO do recurso no
Clarity
.
Clarity
  1. Efetue logon no PPM clássico com credenciais administrativas.
  2. Selecione
    Administração
    ,
    Recursos
    , para abrir a página Recursos.
  3. Selecione um recurso para abri-lo e certifique-se de que o valor do campo
    NOME DE USUÁRIO
    corresponda aos detalhes de logon associados ao seu IdP.
Pontos importantes a serem lembrados
Aqui estão alguns pontos-chave que devem ser lembrados ao configurar o
Clarity
para oferecer suporte à autenticação do SAML 2.0:
  • O
    Clarity
    usa as tabelas CMN_SEC_CERTS e CMN_SEC_SAML_CONFIGS para armazenar os detalhes do SAML no banco de dados.
  • Se você tiver configurado a autenticação do SAML 2.0 em um sistema de desenvolvimento ou teste e copiar os dados de produção nesses sistemas, será necessário:
    • Excluir a configuração do SAML que foi copiada.
    • Importar os metadados SAML novamente.
    • Certificar-se de não truncar as tabelas do banco de dados.
Analisando exemplos de configuração de IdP
Vejamos alguns exemplos de como é possível configurar IdPs para que funcionem com o
.
Embora o Okta e o Azure sejam usados como exemplos, o
Clarity
oferece suporte a todos os provedores de identidade que oferecem suporte ao SAML 2.0.
Configurando o Okta para emitir credenciais para o
Clarity
Você pode trabalhar com o administrador de segurança para criar um aplicativo SAML 2.0 no Okta e configurá-lo de forma que os usuários corporativos possam usar suas credenciais para efetuar logon no
Clarity
.
Execute as seguintes etapas:
  1. Efetue logon no aplicativo Okta Administrator.
  2. No menu superior, clique em
    Aplicativos
    e, em seguida, selecione
    Aplicativos
    novamente.
    Clarity
  3. Clique em
    Adicionar aplicativo
    para criar um aplicativo.
  4. Selecione o botão de opções
    SAML 2.0
    para criar um aplicativo SAML 2.0.
    Clarity
  5. Especifique o nome do aplicativo e faça upload do logotipo do aplicativo.
    Clarity
  6. Na janela Configure SAML, insira as seguintes informações:
    Clarity
    • URL do SSO: é o URL de entrada do aplicativo do
      Clarity
      . Um exemplo é https://teste.broadcom.com/niku/nu
    • Marque a caixa de seleção
      Use this for Recipient URL and Destination URL
      .
    • No campo Audience URI (SP Entity ID), digite a ID da entidade do SP do seu aplicativo do
      Clarity
      . Em geral, é o URL de entrada do seu aplicativo que aponta para a ação union.samlMetadata. Um exemplo é https://testeppm.broadcom.com/niku/nu#action:union.samlMetadata.
    • No campo Default RelayState, insira o URL para o qual você deseja que o aplicativo seja redirecionado após um assertion SAML bem-sucedido. Um exemplo é o https://testppm.broadcom.com/pm, que redireciona os usuários para a Nova experiência do usuário no
      Clarity
      .
    • Não atualize os seguintes campos:
      • Name ID Format
      • Application Username
      • Update Application Username on
    • Na seção Attribute Statements (opcional):
      • No campo Name, selecione Login.
      • No campo Name format, selecione Unspecified.
      • No campo Value, selecione user email.
  7. Na tela
    Are you a customer or partner
    , selecione a opção relevante para o seu cenário e clique em
    Finish
    .
    Clarity
  8. Clique em
    View Setup Instructions
    , role para a parte inferior, copie os metadados do IdP e salve-os como um arquivo XML.
    Clarity
  9. Use a API samlMetadata para importar os metadados do IDP no
    Clarity
    .
    Clarity
Você pode revisar as seções Configurando o SAML por APIs REST e Configurando o
Clarity
para dar suporte ao SAML 2.0 para obter instruções detalhadas.
Configurando o Azure para emitir credenciais para o
Clarity
Você pode trabalhar com o administrador de segurança para criar um aplicativo SAML 2.0 no Azure e configurá-lo de forma que os usuários corporativos possam usar suas credenciais para efetuar logon no
Clarity
.
  1. Efetue logon no portal do Azure e clique em
    Azure Active Directory
    .
    Clarity
  2. Selecione
    Aplicativos empresariais
    ,
    Novo aplicativo
    e
    Aplicativo inexistente na galeria
    .
  3. Insira o nome do aplicativo e clique em
    Adicionar
    .
    Clarity
  4. Clique em
    Início
    ,
    Azure Active Directory
    e
    Aplicativos empresariais
    e selecione o aplicativo que você criou.
    Clarity
  5. Clique em
    Logon único
    e, em seguida, clique em
    SAML
    .
    Clarity
  6. Em
    Basic SAML Configuration
    , clique em
    Editar
    para adicionar os seguintes valores:
    Clarity
    1. Identificador (ID da Entidade): trata-se da ID da entidade do SAML do
      Clarity
      . Exemplo: https://testppm.broadcom.net/niku/nu#action:union.samlMetadata
    2. URL de Resposta (URL do ACS): trata-se do URL do ACS ou do SP (
      Clarity
      ). Exemplo: https://testppm.broadcom.net/niku/nu
    3. URL de Logon Único – em branco
    4. Estado de Retransmissão – especifique o URL para o qual o Azure deve ser redirecionado após o logon bem-sucedido.
    5. URL de logoff – em branco
  7. Em Atributos de usuário e Declarações, o atributo Unique User Identifier não pode ser editado. Remova os outros e adicione uma nova declaração chamada
    Logon
    .
    1. O atributo de origem deve ser o mesmo que o nome de usuário no
      Clarity
      PPM. Defina o atributo de origem como usuário.nomeUPN.
      Clarity
  8. Faça download do Federation Metadata XML pelo link.
    Clarity
  9. Edite o arquivo Federation Metadata XML e vá até o final do arquivo. Adicione as seguintes informações ao arquivo. <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>.
  10. Salve suas alterações e feche o arquivo.
    Clarity
  11. Use a API samlMetadata para importar os metadados do IdP no
    Clarity
    .
Você pode revisar as seções Configurando o SAML por APIs REST e Configurando o
Clarity
para dar suporte ao SAML 2.0 para obter instruções detalhadas.