Federação e login único para o portal do ClientNet

A Symantec usa o Okta para o SSO (Single Sign-On - Login Único) e para a federação de contas de usuário.Okta é um provedor de identidades (IdP) que oferece a autenticação de usuários como um serviço. Os clientes do Email Security.cloud agora podem optar por se registrar com o Okta usando endereço de email válido ou federar seu IdP corporativo com o Okta.
Antes da release de fevereiro de 2021
, os usuários acessavam o ClientNet usando um dos dois métodos a seguir:
Nome de usuário e senha
Esse método usa o ClientNet para criar e armazenar credenciais para os usuários. Os administradores criam e excluem cada conta e também atribuem funções aos usuários. As informações de autenticação são armazenadas e gerenciadas pelo ClientNet, e os usuários devem gerenciar suas credenciais, além de todas as suas credenciais separadas para outros produtos e serviços da Symantec.
Para melhorar a segurança (permitindo que os clientes controlem seus próprios dados de autenticação de usuário) e para melhorar a experiência do usuário (fornecendo o login único), esse método está sendo dividido em fases. A transição será gradual para permitir que os clientes planejem e configurem o login único ou a federação do Okta com um provedor de identidades suportado por ele. Depois que a migração for concluída, os clientes ainda poderão usar essas credenciais para chamar APIs e usar ferramentas autônomas (conta de
serviço
), mas não poderão usá-las para acessar o ClientNet.
Conta da Symantec
Originalmente, esse método usava o Norton Secure Login para fornecer uma experiência de login único aos clientes que usavam vários produtos e serviços da Symantec. Com a nova release, esse método agora usa a tecnologia Okta para ativar a funcionalidade de login único.
A partir da release de fevereiro de 2021
, quando um usuário existente acessar o portal do ClientNet pela primeira vez, um assistente de migração será exibido automaticamente. O assistente ajuda os usuários com o processo único de vincular suas contas do ClientNet atuais às contas de login único ou federadas. Como as respostas dos usuários aos prompts do assistente serão diferentes, dependendo se a sua organização planeja usar as contas da Symantec para o login único ou para a federação usando um provedor de identidades diferente do Okta, recomendamos que você determine sua estratégia assim que o login único ou a federação se tornar disponível. Sua organização deve decidir se deseja implementar:
Nome de usuário e senha (temporário)
Permite o acesso tradicional ao ClientNet sem login único nem federação. Os dados de autenticação do usuário são armazenados e gerenciados pelo ClientNet. Os usuários podem clicar no botão
Decidir mais tarde
do assistente de migração para postergar a migração até que a sua orgnização esteja preparada para implementar as contas ou a federação da Symantec.
Conta da Symantec (com base em login único no Okta)
Permite aos usuários acessar usando uma única combinação de nome de usuário e senha que é compartilhada entre todos os produtos e serviços da Symantec.O nome de usuário sempre é o endereço de email, e cada usuário deve ter uma conta. Os dados de autenticação do usuário são armazenados e gerenciados pelo Okta.
Login único ou federação por meio de um provedor de identidades diferente suportado pelo Okta
Permite que os usuários acessem usando um único nome de usuário e senha compartilhado entre os produtos da Symantec. Os dados de autenticação do usuário são armazenados e gerenciados pelo provedor de identidades.
Como configurar o login único com o Okta
Como o Okta já é a tecnologia subjacente usada para acessar as contas da Symantec, não é necessário configurá-lo como você faria com um provedor de identidades parceiro. Depois que todos os usuários tiverem usado o assistente para migrar para as contas da Symantec e que novos usuários tiverem sido adicionados e tiverem suas funções configuradas, as tarefas de configuração e migração estarão concluídas. Após a configuração do SSO da conta da Symantec, ele poderá ser usado para outros produtos Symantec. Se um usuário já tiver um login para outro produto Symantec, ele poderá continuar usando esse login, em vez de configurar uma nova conta para o Email Security.cloud.
Como configurar a federação com um provedor de identidades parceiro
Você poderá configurar a federação com seu próprio provedor de identidades, contanto que o Okta ofereça suporte a ele. Consulte o site do Okta em www.okta.com para confirmar se o seu provedor de identidades parceiro é suportado.
A federação com um provedor de identidades parceiro parceiro deve ser iniciada por meio da abertura de um ticket de suporte. Isso pode ser feito no ClientNet, clicando-se na guia
Suporte
, do lado direito de cada página do portal. Você também pode acessar o suporte diretamente navegando até https://support.broadcom.com/security e clicando em
Case Management
. Você deve estar conectado à ID de site que inclui o Email Security.cloud como um produto.
Ao abrir um ticket de suporte para solicitar a federação, é necessário fornecer:
  • O(s) domínio(s) de email dos usuários
  • Um fragmento XML contendo metadados sobre o provedor de identidades e que são fornecidos por ele
  • Mapeamentos dos atributos padrão dentro do provedor de identidades da Broadcom:
    • O(s) domínio(s) de email dos usuários
    • Endereço de email
    • FirstName
    • LastName
    • Grupos: uma lista de grupos de segurança/acesso aos quais um usuário específico deve pertencer
    • PartnerUserId: a ID de usuário exclusiva no provedor de identidades federado
Como migrar usuários existentes do ClientNet para o login único/federação
Quando um usuário existente acessar o portal do ClientNet pela primeira vez depois que o SSO/federação se tornar disponível, um assistente de migração será exibido automaticamente. O assistente ajuda os usuários com o processo único de vincular suas contas do ClientNet atuais às contas de login único ou federadas. O assistente detecta informações sobre o status de autenticação atual do usuário e o auxilia a solucionar os seguintes problemas:
  • Duplicar:
    se o usuário tiver uma conta compartilhada, clique neste botão para criar uma conta duplicada vinculada ao endereço de email do usuário.Isso permite que outros usuários que compartilham a conta sigam o mesmo caminho de migração, de modo que todas as contas recém-criadas tenham o mesmo nível de acesso.
  • Vincular contas:
    se o usuário tiver uma conta da Symantec (federada), clique nesse botão para vincular essa conta do ClientNet à conta da Symantec do usuário.
  • Vincular a outra conta:
    se o usuário não tiver uma conta da Symantec (federada) vinculada a esse endereço de email, mas tiver uma conta vinculada a um endereço de email diferente, clique nesse botão para vincular o usuário a essa outra conta da Symantec (federada).
  • Criar:
     se o usuário não tiver uma conta da Symantec (federada), clique nesse botão para criar uma conta usando o endereço de email existente ou digite um endereço de email diferente para o usuário.
Como o assistente é exibido apenas para os usuários existentes, nenhuma ação é necessária para que os administradores configurem a conta do portal do usuário atual. Os usuários existentes não precisam ter funções e privilégios atribuídos — suas funções anteriores serão preservadas.
Se o assistente não for exibido porque o usuário já migrou para o Okta, você poderá forçar o assistente a ser exibido clicando em
Desassociar login
na página
Perfil
.
Como criar contas federadas para novos usuários do ClientNet
Os usuários que são novos no ClientNet – ou recentemente federados – devem ter contas criadas por um administrador, de modo que suas funções de acesso possam ser atribuídas.
Para criar um usuário novo
  1. No portal, vá para
    Painel > Administração > Gerenciamento de usuários
    e clique em
    Criar usuário
    .
  2. Na guia
    Detalhes do usuário
    , certifique-se de que o
    Usuário federado
    esteja selecionado.
    O
    Usuário federado
    não será exibido até que a opção
    Somente login federado
    seja aplicada no nível do portal. Se você ainda não estiver aplicando os logins federados, a única opção será selecionar o
    Usuário do portal
    e, em seguida, ignorar o email de ativação da conta.
    O
    usuário do serviço
    deverá ser selecionado apenas quando você pretender usar as credenciais que estiver adicionando para chamar APIs e usar ferramentas autônomas relacionadas ao ClientNet.As credenciais de usuário do serviço não podem ser usadas para acessar o portal do ClientNet.
  3. Insira o nome, sobrenome, endereço de email (o endereço de email de login federado), o idioma e o fuso horário do usuário.
  4. Especifique se o usuário está ativado ou desativado. A desativação de um usuário permite que você o impeça temporariamente de acessar o portal sem precisar excluir permanentemente a conta do usuário.
  5. Especifique se o usuário tem permissão para gerenciar outros usuários. (Selecione
    Sim
    se o usuário que você estiver adicionando for um administrador).
  6. Selecione
    Vincular à conta existente da Symantec
    na parte inferior da página.
  7. Clique em
    Salvar e sair
    .
Agora que você criou a conta do portal para um novo usuário do ClientNet, a próxima etapa será atribuir funções a esse usuário.
Como atribuir funções a um usuário novo ou recém-federado
  1. No portal, vá para
    Painel > Administração > Gerenciamento de usuários
    .
  2. Clique na guia
    Funções do usuário
    .
  3. Clique em
    Usar função padrão
    .
  4. Selecione o tipo de função para aplicar a este usuário.
  5. Clique em
    Adicionar função
    .
Agora, a função está listada na guia
Funções do usuário
.
Como aplicar logins federados no nível do portal
Depois de configurar o login único ou federação com o Okta ou com um provedor de identidades e migrar todos os seus usuários, a etapa final será aplicar a federação no nível do portal.
A aplicação da federação
desativa
automaticamente todos os outros métodos de acesso para os usuários do portal. Não execute as etapas a seguir até que você tenha configurado a federação com o provedor de identidades e até que todos os usuários tenham usado o assistente de migração para vincular suas contas antes da federação às contas federadas.
Como ativar ou desativar a federação
  1. No portal do ClientNet, vá para o
    Painel > Administração > Controle de acesso
    .
  2. Use o controle deslizante para ativar ou desativar a federação para todos os usuários do portal do ClientNet.
Consulte também