circle-info
Conheça mais sobre o Rpilot! Nossa mais nova forma de instalação e atualização da CAFe,
clicando aqui. chevron-right
search
RNP+

Configuração do IdP com Google Workspace

Essa página tem como objetivo auxiliar na configuração do seu IDP Shibboleth v5 para ser utilizado como forma de acesso SSO do Google Workspace.

circle-exclamation

Atenção! Será necessária uma conta Super Admin do Google Workspace para configuração das informações do IdP Shibboleth como provedor de SSO

hashtag
Procedimentos de Configuração no Console Admin do Google

Acesse a página de admin do Google Workspace (https://admin.google.com) com as credenciais de Super Admin e depois entre no menu à esquerda - Segurança > Autenticação > SSO com IdP de terceiros. Na tela seguinte, clique em Adicionar Perfil SAML, na seção de Perfis SSO de terceiros, para criar um novo perfil.

hashtag
Adicionar informações do IdP no Google

Na página de criação de perfil, preencha as informações conforme descrição a seguir: • Nome do perfil SSO – Nome para identificação do IdP. Ex.: IdP CAFe Testes • EntityID do IdP – Informe o entityID do IdP presente do metadado do IdP. Ex.: https://cafetestes.rnp.br/idp/shibboleth • URL de SSO – URL do perfil SAML Redirect SSO do Shibboleth IdP presente no metadado do IdP. Ex.: https://cafetestes.rnp.br/idp/profile/SAML2/Redirect/SSO • URL de logout – URL de Logout para a qual o usuário será redirecionado após efetuar logout do serviço. Ex.: https://cafetestes.rnp.br/idp/profile/Logout • URL para alteração de senha – URL da instituição para alteração de senha • Certificado de verificação - Faça upload do certificado do IdP Shibboleth da instituição. Em uma instalação padrão de IdP da CAFe, o certificado pode ser encontrado em /opt/shibboleth-idp/credentials/idp.crt. Após o preenchimento das informações acima, clique no botão Salvar.

hashtag
Copiar informações sobre SP do Google

Na página do perfil SAML adicionado anteriormente, clique na seção de Detalhes do SP e copie as seguintes informações que serão utilizadas na etapa de procedimentos de configuração no IdP: a. EntityID do SP – entityID de SP gerado pelo Google. Ex.: https://accounts.google.com/samlrp/abc123 b. URL de ACR do SP – URL do ACR de SP gerado pelo Google. Ex.: https://accounts.google.com/samlrp/abc123/acs c. Certificado do SP – Clique no botão para Gerar Certificado e depois em Salvar para obter o conteúdo do certificado que será utilizado para cifrar a asserção SAML de resposta.

hashtag
Atribuir perfil SSO para domínio, grupo ou unidade organizacional

Após a adição do perfil SSO com provedor SAML no Google Workspace, é possível definir onde esse perfil será aplicado dentro da organização. O Google Workspace permite aplicar o perfil SSO (IdP configurado) nos seguintes cenários:

  1. Domínio principal - Aplica o perfil SSO para todos os usuários da instituição.

  2. Unidade Organizacional (OU) - Permite aplicar o perfil SSO apenas para um conjunto específico de usuários de uma Unidade Organizacional.

  3. Grupo - Possibilita definir o perfil para grupos específicos.

Recomendação: Utilizar a opção 2 ou 3 e manter uma conta Super Admin com login local para contingência.

Para isso, acesse a seção Gerenciar Atribuições de perfi SSO e clique em Gerenciar. Na tela seguinte, selecione o Grupo ou a OU desejada, escolha o nome do perfil SSO (IdP) adicionado na etapa anterior e clique em salvar, conforme exemplo na imagem a seguir.

hashtag
Procedimentos de Configuração no IdP

circle-info

Arquivos que serão alterados • saml-nameid.xml • attribute-resolver.xml • metadata-providers.xml • attribute-filter.xml

Os arquivos são encontrados no diretório: /opt/shibboleth-idp/conf. Recomneda se a realização de backup desses arquivos antes de editá-los.

hashtag
Alterar saml-nameid.xml

Adicione dentro da tag <util:list id="shibboleth.SAML2NameIDGenerators"> o seguinte conteúdo, substituindo o valor da propriedade c:candidate pelo valor copiado no item a da seção de informações do SP do Google:

hashtag
Alterar attribute-resolver.xml

Adicione uma nova definição de atributo com a seguinte conteúdo:

circle-exclamation

Observação: O atributo Gprincipal (definido no exemplo como o atributo mail) deve ser composto de forma que seu valor seja idêntico ao endereço de e-mail do usuário cadastrado no Google Workspace. Ou seja, o valor enviado pelo IdP precisa corresponder exatamente ao e-mail existente na conta do usuário no Google Workspace, sem diferenças de formatação ou domínio.

hashtag
Alterar metadata-providers.xml

Adicione um novo Provedor de Metadado com o seguinte conteúdo:

hashtag
Alterar attribute-filter.xml

Adicione uma nova Política de Filtro de Atributos com o seguinte conteúdo, substituindo o valor da propriedade value pelo valor copiado no item a da seção de configuração no Google Workspace:

hashtag
Criar arquivo de metadado do Google

Crie o arquivo /opt/shibboleth-idp/metadata/google-metadata.xml com o seguinte conteúdo, substituindo os valores em destaque (entityID do SP, Certificado do SP e URL de ACS do SP) pelos valores copiados nos itens a, b e c da seção de informações do SP do Google. Observação: Remova o cabeçalho (-----BEGIN CERTIFICATE-----) e rodapé (---- END CERTIFICATE-----) do Certificado do SP.

hashtag
Reiniciar o IdP e testar acesso ao serviço Google

Após execução das etapas anteriores, reinicie o serviço do jetty com o seguinte comando:

Acompanhe os logs do IdP em /opt/shibboleth-idp/logs/idp-process.log e verifique se o IdP reiniciou sem nenhum erro.

Faça o teste, acessando um dos serviços do Google (ex. drive.google.com) utilizando seu e-mail cadastrado no Google Workspace (deve ser utilizado um usuário diferente do Super Admin). Após isso, o navegador deve ser redirecionado para o IdP, onde será possível se autenticar com suas credenciais padrões da instituição.

AnteriorCustomização da mensagens de login no IDPPróximoIntegrando o Office 365 com Shibboleth IDP

Atualizado

Isto foi útil?