SAML (Azure AD)

Integre com a autenticação SAML do Azure AD

  1. No console de gerenciamento do Azure, selecione o item de menu "Aplicativos corporativos" no Azure Active Directory

    azure_config1

  2. Selecione “New Application”

    azure_config2

  3. Crie um aplicativo não-galeria e dê a ele um nome exclusivo

    azure_config3

  4. Na página de configuração do aplicativo, selecione "Single sign-on" no painel lateral e escolha o login baseado em SAML.

    azure_config4

  5. Baixe o certificado no formato base64 e anote a URL de Login do aplicativo e o Identificador do Azure AD

    azure_config5

  6. No SUSE® Security console de gerenciamento, faça login como administrador. Selecione "Configurações" no menu suspenso do administrador no canto superior direito. Clique em configurações SAML

    azure_config6

  7. Configure o servidor SAML da seguinte forma:

    • Copie a "URL de Login" do aplicativo como a URL de Single Sign-On.

    • Copie o "Identificador do Azure AD" como o Emissor.

    • Abra o certificado baixado e copie o texto para a caixa de Certificado X.509.

    • Defina uma função padrão.

    • Digite o nome do grupo para mapeamento de funções. A reivindicação de grupo retornada pelo Azure é identificada pelo "ID do Objeto" em vez do nome. O ID do objeto do grupo pode ser localizado em menu:Azure Active Directory[Grupos> Página do nome do grupo]. Você deve usar este valor para configurar o mapeamento de funções baseado em grupos em SUSE® Security.

      OpenID5

      Em seguida, ative o servidor SAML.

      azure_config7

  8. Copie a URL de Redirecionamento

    azure_config8

  9. Retorne ao console de gerenciamento do Azure para configurar a "Configuração Básica do SAML". Copie a URL de Redirecionamento do console SUSE® Security para os campos "Identificador" e "URL de Resposta"

    azure_config9

  10. Edite o "Certificado de Assinatura SAML", alterando a Opção de Assinatura para "Assinar resposta SAML"

    azure_config10

  11. Edite "Atributos e Declarações do Usuário" para que a resposta possa carregar os atributos do usuário que faz login de volta para SUSE® Security. Clique em "Adicionar nova declaração" para adicionar as declarações "Nome de Usuário" e "Email" com "user.userprincipalname" e "user.mail", respectivamente.

    azure_config11

  12. Se os usuários estiverem atribuídos aos grupos no diretório ativo, a associação ao grupo pode ser adicionada à declaração. Encontre o aplicativo em "Registros de Aplicativos" e edite o manifesto. Modifique o valor de "groupMembershipClaims" para "Todos".

    azure_config12

  13. Autorize usuários e grupos a acessar o aplicativo para que possam fazer login SUSE® Security no console com Azure AD SAML SSO

    azure_config13

Mapeamento de Grupos para Funções e Namespaces

Consulte a seção Usuários e Funções para saber como mapear grupos para funções predefinidas e personalizadas, bem como namespaces em SUSE® Security.