Configurar o Tulip para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o Tulip à ID do Microsoft Entra. Ao integrar o Tulip ao Microsoft Entra ID, você poderá:

• Controlar quem tem acesso ao Tulip no Microsoft Entra ID.
• Permitir que os usuários entrem automaticamente no Tulip com as respectivas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • Administrador de Aplicativos de Nuvem
  • Proprietário do aplicativo.

• Assinatura do Tulip habilitada para SSO (logon único).

Observação

Essa integração também está disponível para uso no ambiente de Nuvem do Governo dos EUA do Microsoft Entra. Você pode encontrar esse aplicativo na Galeria de Aplicativos de Nuvem do Governo dos EUA do Microsoft Entra e configurá-lo da mesma forma que você faz isso na nuvem pública.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

• O Tulip é compatível com SSO iniciado por IDP.

Adicionar o Tulip por meio da galeria

Para configurar a integração do Tulip ao Microsoft Entra ID, você precisará adicionar o Tulip por meio da galeria à lista de aplicativos SaaS gerenciados.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar por meio da galeria, digite Tulip na caixa de pesquisa.
4. Selecione Tulip no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o Tulip

Para configurar e testar o SSO do Microsoft Entra para o Tulip, execute as seguintes etapas:

1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.

2. Configurar o SSO do Tulip – para definir as configurações de logon único no lado do aplicativo.

   1. Para configurar o SSO em uma instância do Tulip com usuários existentes, entre em contato com support@tulip.co.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Entra ID>Aplicativos empresariais>Tulip>Logon único.

3. Na página Selecionar um método de logon único, escolha SAML.

4. Na página Configurar login único com SAML, selecione o ícone de lápis da Configuração Básica do SAML e edite as configurações.

   

5. Na seção Configuração básica do SAML, se você tiver um arquivo de metadados do provedor de serviços, execute as seguintes etapas:

   a. Baixar o Arquivo de Metadados do Tulip que está acessível na página de configurações na instância do Tulip –

   b. Selecione Carregar arquivo de metadados.

   

   b. Selecione logotipo da pasta para selecionar o arquivo de metadados e selecione Carregar.

   

   c. Depois que o arquivo de metadados for carregado com êxito, os valores de Identificador e URL de Resposta serão preenchidos automaticamente na seção Configuração Básica do SAML:

   

   Observação

   Se os valores de Identificador e URL de Resposta não estiverem sendo preenchidos automaticamente, preencha os valores manualmente de acordo com suas necessidades.

6. O aplicativo Tulip espera as declarações do SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados de acordo com a sua configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão. Se o nameID precisar ser um email, altere o formato para Persistent.

   

7. Além do indicado acima, o aplicativo Tulip espera que mais alguns atributos sejam repassados na resposta da SAML, que são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.

   Nome	Atributo de Origem
   nome de exibição	Nome de exibição do usuário
   endereço de email	correio.do_usuário
   badgeID	idFuncionario.usuario
   Grupos	grupos do usuário

8. Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

Configurar o SSO do Tulip

1. Faça logon na instância do Tulip como Proprietário da conta.

2. Vá para as Configurações>SAML e execute as etapas na página abaixo.

   

   um. Habilita logons SAML.

   b. Selecione o arquivo xml de metadados para baixar o arquivo de metadados do Provedor de Serviços e use esse arquivo para carregar na seção Configuração Básica de SAML no portal do Azure.

   c. Carregue o arquivo XML de Metadados da Federação do Azure para o Tulip. Isso preencherá o Logon SSO, o URL de Logoff SSO e os Certificados.

   d. Verifique se os atributos Nome, Email e Selo não são nulos, ou seja, insira cadeias de caracteres exclusivas nas três entradas e faça uma autenticação de teste usando o Authenticate botão à direita.

   e. Após a autenticação bem-sucedida, copie/cole todo o URL da declaração no mapeamento apropriado para os atributos name, email e badgeID.

   • Cole o valor do Atributo de Nome como http://schemas.microsoft.com/identity/claims/displayname ou o URL da declaração apropriado.

   • Cole o valor do Atributo de Email como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name ou o URL da declaração apropriado.

   • Cole o valor do Atributo de Selo como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/badgeID ou o URL da declaração apropriado.

   • Cole o valor do Atributo de Função como http://schemas.xmlsoap.org/ws/2005/05/identity/claims/groups ou o URL da declaração apropriado.

   f. Selecione Salvar Configuração saml.

Conteúdo relacionado

Depois de configurar o Tulip, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.

Entre em contato com support@tulip.co caso tenha mais dúvidas, incluindo a migração de usuários existentes no Tulip para usar a SAML!