Como criar uma aplicação SAML com Okta

Neste artigo, você encontra um guia para criar uma aplicação SAML na ferramenta de provedor de usuários Okta.

Recursos Suportados

SP Initiated SSO (Through Segura login interface)
IDP-Initiated SSO (Through provider interface)

Requisitos

Habilitar as configurações de SSO no Segura e no Domum Remote Access.
Permitir a comunicação entre as plataformas Segura e Okta.
Conta válida com permissão de administrador na Okta.
Ao cadastrar um usuário na Okta, o identificador único desse usuário deve ser o endereço de e-mail.
O mesmo usuário não pode ter mais de um e-mail cadastrado na Okta.
No cenário de integração com a Okta, ao cadastrar um usuário no Segura, o identificador único desse usuário deve ser o endereço de e-mail.

Criar aplicação SAML

Atenção

A Okta pode alterar o ambiente de desenvolvimento sem aviso. Dessa forma, os passos podem mudar conforme as alterações.
Dependendo das configurações prévias do ambiente Okta do cliente, as informações descritas aqui podem não coincidir.

Na sua conta da Okta, acesse a área de administração.

Info

Se o seu usuário não entrar automaticamente na área de administração, clique no botão Admin no canto superior direito da tela.

No menu do canto superior esquerdo, selecione Applications > Applications.
Na nova página, clique no botão Create App Integration.
Na janela Create a new app integration, selecione SAML 2.0.
Clique em Next.
Na aba General Settings, digite o nome da aplicação no campo App name. Exemplo: MyAppExample.
Clique em Next.
Na aba Configure SAML, preencha as informações:
1. Na seção SAML Settings, complete os campos:
  1. Single sign-on URL: copie a URL gerada automaticamente pelo Domum Remote Access no campo URL de retorno para SSO durante a etapa de configuração do SAML. Lembre-se de acrescentar https:// no início. Exemplo: https://gyf46xzp9iee2kfwtvs4g7pcxz32r649dme8.ahs7ietu.domum.Segura.link/domum/sso.
  2. Audience URI (SP Entity ID): digite um nome descritivo para cadastrar a entidade na Segura. Exemplo: MyAppExample.
  3. Name ID format: selecione Email Address.
  4. Application username: selecione Email.
  5. Update application username on: selecione Create and update.
2. Clique em Show Advanced Settings e preencha os campos:
  1. Response: selecione Signed.
  2. Assertion Signature: selecione Signed.
  3. Signature Algorithm: selecione RSA-SHA256.
  4. Digest Algorithm: selecione SHA-256.
  5. Assertion Encryption: selecione Unencrypted.
  6. Assertion Inline Hook: selecione None (disabled).
  7. Authentication context class: selecione PasswordProtectedTransport.
  8. Honor Force Authentication: selecione Yes.
  9. SAML Issuer ID: digite http://www.okta.com/${org.externalKey}.
3. Clique em Next.
Na aba Feedback, complete as informações:
1. Em Are you a customer or partner?, selecione I'm an Okta customer adding an internal app.
2. Em App type, selecione This is an internal app that we have created.
3. Clique em Finish.

Validar as informações

Na página da aplicação que você acabou de criar, selecione a aba General.
Valide as informações.
1. Application label: deve estar com o nome cadastrado na aba General Settings durante a etapa de criação da aplicação. Exemplo: MyAppExample.
2. Provisioning: deve estar marcado como None.
3. Em SAML Settings, siga validando as informações:
  1. Single sign-on URL: deve estar com a URL gerada automaticamente pelo Domum Remote Access. Lembre-se de acrescentar https:// no início. Exemplo: https://gyf46xzp9iee2kfwtvs4g7pcxz32r649dme8.ahs7ietu.domum.Segura.link/domum/sso.
  2. Recipient URL: deve estar com a URL gerada automaticamente pelo Domum Remote Access. Lembre-se de acrescentar https:// no início. Exemplo: https://gyf46xzp9iee2kfwtvs4g7pcxz32r649dme8.ahs7ietu.domum.Segura.link/domum/sso.
  3. Destination URL: deve estar com a URL gerada automaticamente pelo Domum Remote Access. Lembre-se de acrescentar https:// no início. Exemplo: https://gyf46xzp9iee2kfwtvs4g7pcxz32r649dme8.ahs7ietu.domum.Segura.link/domum/sso.
  4. Audience Restriction: deve estar com o nome descritivo cadastrado para a entidade na Segura na etapa de criação da aplicação. Exemplo: MyAppExample.
  5. Name ID Format: deve estar Email Address.
  6. Response: deve estar Signed.
  7. Assertion Signature: deve estar Signed.
  8. Signature Algorithm: deve estar RSA-SHA256.
  9. Digest Algorithm: deve estar SHA-256.
  10. Assertion Encryption: deve estar Unencrypted.
  11. SAML Single Logout: deve estar Disabled.
  12. SAML Signed Request: deve estar Disabled.
  13. authnContextClassRef: deve estar PasswordProtectedTransport.
  14. Honor Force Authentication: deve estar Yes.
  15. Assertion Inline Hook: deve estar None (disabled).
  16. SAML Issuer ID: deve estar http://www.okta.com/${org.externalKey}.
Vá para a aba Sign On e valide as informações na seção Credentials Details:
1. Application username format: deve estar Email.
2. Update application username on: deve estar Create and update.

Adicionar grupos ou pessoas

Na página da sua aplicação, selecione a aba Assignments.
Para adicionar grupos, localize o botão Assign e selecione Assign to Groups.
1. Localize na lista que aparece o grupo que você quer associar.
2. Clique em Assign.
3. Clique em Done.
Para adicionar pessoas, localize o botão Assign e selecione Assign to People.
Escolha na lista o usuário que você quer associar.
Clique em Assign.

Cuidado

É importante lembrar que o username deve ser o email.
Além disso, o usuário remoto precisa ter o mesmo e-mail cadastrado na Okta e na plataforma Segura. Você encontra os e-mails em:
- Menu de produtos > Domum Remote Access > Settings > Third-party users (para usuários terceiros).
- Menu de produtos > Settings > User Management > Users (para usuários internos).

Clique Save and Go Back.
Clique em Done.

Sua aplicação SAML está configurada na Okta. Você utilizará informações da aplicação para adicionar esse provedor SAML no Segura.

Você ainda tem dúvidas? Entre em contato com a Comunidade Segura.