Integração do SSO do Microsoft Entra com o SURFconext

Nesse artigo, você aprenderá a integrar o SURFconext ao Microsoft Entra ID. As instituições conectadas ao SURF podem usar o SURFconext para fazer logon em muitos aplicativos de nuvem com suas credenciais de instituição. Ao integrar o SURFconext ao Microsoft Entra ID, você poderá:

• Controlar quem tem acesso ao SURFconext no Microsoft Entra ID.
• Permitir que os usuários sejam conectados ao SURFconext automaticamente com as respectivas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

O logon único do Microsoft Entra para SURFconext é configurado e testado em um ambiente de teste. O SURFconext dá suporte ao logon único iniciado por SP e ao provisionamento de usuário just-in-time.

Observação

O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.

Pré-requisitos

Para integrar o Microsoft Entra ID ao SURFconext, você precisará:

• Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
• Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou Proprietário do Aplicativo.
• Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
• Assinatura do SURFconext habilitada para SSO (logon único).

Adicionar aplicativo e atribuir um usuário de teste

Antes de iniciar o processo de configuração do logon único, é necessário adicionar o aplicativo SURFconext da galeria do Microsoft Entra. Você precisará de uma conta de usuário de teste para atribuir ao aplicativo e testar a configuração de logon único.

Adicionar o SURFconext da galeria do Microsoft Entra

Adicione o SURFconext da galeria de aplicativos do Microsoft Entra para configurar o logon único com o SURFconext. Para obter mais informações sobre como adicionar aplicativos por meio da galeria, consulte o Início rápido: adicionar aplicativo por meio da galeria.

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes do artigo criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você poderá adicionar um aplicativo ao locatário, adicionar usuários/grupos ao aplicativo e atribuir funções. O assistente também fornece um link para o painel de configuração de logon único. Saiba mais sobre os assistentes do Microsoft 365..

Configurar o SSO do Microsoft Entra

Conclua as etapas a seguir para habilitar o logon único do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>SURFconext>Logon único.

3. Na página Selecionar um método de logon único, escolha SAML.

4. Na página Configurar o logon único com o SAML, selecione o ícone de lápis da Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração básica de SAML, realize as seguintes etapas:

   a. Na caixa de texto Identificador, digite uma das seguintes URLs:

   Ambiente	URL
   Produção	https://engine.surfconext.nl/authentication/sp/metadata
   Staging	https://engine.test.surfconext.nl/authentication/sp/metadata

   b. Na caixa de texto URL de Resposta, digite uma das seguintes URLs:

   Ambiente	URL
   Produção	https://engine.surfconext.nl/authentication/sp/consume-assertion
   Staging	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   c. Na caixa de texto URL de logon, digite uma das seguintes URLs:

   Ambiente	URL
   Produção	https://engine.surfconext.nl/authentication/sp/debug
   Staging	https://engine.test.surfconext.nl/authentication/sp/debug

6. O aplicativo SURFconext espera as declarações do SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados à configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

   

   Observação

   Você pode remover ou excluir esses atributos padrão manualmente na seção Declarações adicionais, se não for necessário.

7. Além do indicado acima, o aplicativo SURFconext espera que mais alguns atributos sejam transmitidos novamente na resposta SAML, os quais são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.

   Nome	Atributo de Origem
   urn:mace:dir:attribute-def:cn	user.displayname
   urn:mace:dir:attribute-def:displayName	user.displayname
   urn:mace:dir:attribute-def:eduPersonPrincipalName	user.userprincipalname
   urn:mace:dir:attribute-def:givenName	user.givenname
   urn:mace:dir:attribute-def:mail	user.mail
   urn:mace:dir:attribute-def:preferredLanguage	user.preferredlanguage
   urn:mace:dir:attribute-def:sn	user.surname
   urn:mace:dir:attribute-def:uid	user.userprincipalname
   urn:mace:terena.org:attribute-def:schacHomeOrganization	user.userprincipalname

8. Para executar a operação de transformação para a declaração urn:mace:terena.org:attribute-def:schacHomeOrganization, selecione o botão Transformação como uma Fonte na seção Gerenciar declaração.

9. Na página Gerenciar transformação, execute as seguintes etapas:

   

   1. Selecione Extract() na lista suspensa no campo Transformação e clique no botão Após a correspondência.

   2. Selecione Atributo como um Parâmetro 1 (Entrada).

   3. No campo Nome do atributo, selecioneuser.userprinciplename na lista suspensa.

   4. Selecione o valor @ na lista suspensa.

   5. Clique em Adicionar.

10. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, clique no botão Copiar para copiar a URL de Metadados de Federação do Aplicativo e salve-a no computador.

    

Configurar o SSO do SURFconext

Para configurar o logon único no lado do SURFconext, é necessário enviar a URL de metadados da federação do aplicativo para a equipe de suporte do SURFconext. Eles definem essa configuração para ter a conexão de SSO de SAML definida corretamente em ambos os lados.

Criar um usuário de teste do SURFconext

Nesta seção, uma usuária chamada B.Fernandes será criada no SURFconext. O SURFconext é compatível com o provisionamento de usuário Just-In-Time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no SURFconext, ele será criado normalmente após a autenticação.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

• Clique em Testar este aplicativo. Isso redirecionará para a URL de logon do SURFconext, na qual você poderá iniciar o fluxo de logon.

• Acesse diretamente a URL de logon do SURFconext e inicie fluxo de logon a partir de lá.

• Você pode usar os Meus Aplicativos da Microsoft. Quando você clicar no bloco do SURFconext em Meus Aplicativos, isso redirecionará você à URL de Entrada do SURFconext. Para obter mais informações, consulteMeus Aplicativos do Microsoft Entra.

Recursos adicionais

• O que é logon único com a ID do Microsoft Entra?
• Planejar uma implantação de logon único.

Próximas etapas

Depois de configurar o SURFconext, você poderá impor o controle de sessão, que fornece proteção em tempo real contra exfiltração e infiltração dos dados confidenciais da sua organização. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Cloud App Security.