SAML para integração com provedores de identidade
O Security Assertion Markup Language (SAML) é um padrão aberto baseado em XML para autenticação e autorização. Um dos principais benefícios do SAML é que ele permite o logon único (SSO) e, assim, minimiza o número de vezes que um usuário precisa efetuar o logon em aplicativos e sites em nuvem.
Três entidades estão envolvidas no processo de autenticação:
-
O usuário inicia o acesso a um aplicativo ou serviço.
-
O provedor de identidade (IdP) é o sistema confiável para autenticação de usuário, por exemplo, Microsoft Entra ID ou Okta.
-
O provedor de serviços (SP) é o aplicativo ou serviço no qual o usuário deseja fazer login, como Qlik Cloud.
O provedor de identidade autentica o usuário e afirma a identidade do usuário ao provedor de serviços. Isso é feito através da troca de documentos XML assinados digitalmente, conhecidos como asserções SAML. Essas asserções contêm informações sobre o usuário, seu status de autenticação e atributos potencialmente adicionais. O provedor de serviços pode então dar ao usuário acesso aos seus serviços. Com o SSO habilitado no provedor de identidade, o usuário pode acessar vários sites e aplicativos de provedores de serviços sem precisar fazer login em cada site.
SSO iniciado por SP e iniciado por IdP
O SAML é compatível com fluxos de login iniciados pelo provedor de serviços (SP) ou pelo provedor de identidade (IdP).
Com o SSO iniciado por SP, o usuário inicia no site do provedor de serviços, mas em vez de efetuar login no site, a autenticação SSO é iniciada com o provedor de identidade. Por exemplo, quando um usuário faz login no Qlik Cloud — o provedor de serviços — o login é transferido para o provedor de identidade, que trata da autenticação SSO real.
Com o SSO iniciado pelo IdP, o usuário faz login diretamente no provedor de identidade e seleciona o aplicativo, que inicia a autenticação SSO para o provedor de serviços.
Asserções
Asserções são instruções baseadas em XML, contendo informações de autenticação e autorização em um formato padronizado. Elas são geradas pelo provedor de identidade e verificadas pelo provedor de serviços.
Ao integrar-se com provedores de identidade, talvez seja necessário configurar seu aplicativo para trocar asserções SAML com segurança. Isso envolve a configuração de relações de confiança, URLs de terminal e troca de certificados.
Declarações
Declarações são informações sobre um usuário que são declaradas pelo provedor de identidade e enviadas ao provedor de serviços durante o processo de autenticação. O SAML define um conjunto de declarações padrão, incluindo atributos de usuário como nome e e-mail. Você pode modificar o mapeamento de declarações com base nos requisitos do seu aplicativo.
Metadados
A troca de metadados entre o provedor de identidade (IdP) e o provedor de serviços (SP) é essencial para estabelecer uma relação de confiança e garantir o bom funcionamento do protocolo SAML.
Metadados do IdP
A configuração do provedor de serviços requer metadados sobre o provedor de identidade. No Qlik Cloud, você pode carregar essas informações como arquivos de metadados do IdP por meio do centro de atividades de Administração.
Os metadados do provedor de identidade incluem os seguintes detalhes:
-
O ID da entidade do provedor de identidade.
-
A URL de logon único (SSO). Este é o terminal onde as solicitações de autenticação SAML são enviadas pelo provedor de serviços ao provedor de identidade. É a URL para a qual o usuário é redirecionado para autenticação.
-
O certificado de assinatura usado pelo provedor de identidade para assinar as asserções SAML que envia ao provedor de serviços.
Metadados SP
Para definir a configuração no lado do provedor de identidade, você precisa de metadados do provedor de serviços. Você pode obter essas informações do centro de atividades de Administração no Qlik Cloud.
Os metadados do provedor de serviços incluem os seguintes detalhes:
-
O ID da entidade do provedor de serviços.
-
A URL do serviço do consumidor de declaração (ACS). É aqui que o provedor de identidade envia as asserções SAML após a autenticação.
-
O certificado de assinatura usado pelo provedor de serviços para assinar solicitações de autenticação enviadas ao provedor de identidade.