Integração do Microsoft Entra SSO com o SURFconext

Neste artigo, você aprenderá como integrar o SURFconext com o Microsoft Entra ID. As instituições conectadas SURF podem usar o SURFconext para fazer login em muitos aplicativos na nuvem com suas credenciais de instituição. Quando integra o SURFconext com o Microsoft Entra ID, pode:

• Controle no Microsoft Entra ID quem tem acesso ao SURFconext.
• Permita que seus usuários entrem automaticamente no SURFconext com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Você configurará e testará o logon único do Microsoft Entra para SURFconext em um ambiente de teste. O SURFconext suporta o logon único iniciado pelo SP e o provisionamento de usuários Just In Time .

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Pré-requisitos

Para integrar o Microsoft Entra ID com o SURFconext, você precisa:

• Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• Assinatura habilitada para logon único (SSO) do SURFconext.

Adicionar aplicativo e atribuir um usuário de teste

Antes de iniciar o processo de configuração do logon único, você precisa adicionar o aplicativo SURFconext da galeria Microsoft Entra. Você precisa de uma conta de usuário de teste para atribuir ao aplicativo e testar a configuração de logon único.

Adicionar SURFconext a partir da galeria do Microsoft Entra

Adicione SURFconext da galeria de aplicativos do Microsoft Entra para configurar o logon único com o SURFconext. Para obter mais informações sobre como adicionar aplicativo da galeria, consulte Guia de início rápido: adicionar aplicativo da galeria.

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no artigo Criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo e atribuir funções. O assistente também fornece um link para o painel de configuração de logon único. Saiba mais sobre os assistentes do Microsoft 365..

Configurar o Microsoft Entra SSO

Conclua as etapas a seguir para habilitar o logon único do Microsoft Entra.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>SURFconext>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, execute as seguintes etapas:

   a. Na caixa de texto Identificador, digite uma das seguintes URLs:

   Environment	URL
   Produção	https://engine.surfconext.nl/authentication/sp/metadata
   Processo de teste	https://engine.test.surfconext.nl/authentication/sp/metadata

   b. Na caixa de texto URL de resposta, digite uma das seguintes URLs:

   Environment	URL
   Produção	https://engine.surfconext.nl/authentication/sp/consume-assertion
   Processo de teste	https://engine.test.surfconext.nl/authentication/sp/consume-assertion

   c. Na caixa de texto URL de logon, digite uma das seguintes URLs:

   Environment	URL
   Produção	https://engine.surfconext.nl/authentication/sp/debug
   Processo de teste	https://engine.test.surfconext.nl/authentication/sp/debug

6. O aplicativo SURFconext espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

   

   Nota

   Você pode remover ou excluir esses atributos padrão manualmente na seção Declarações adicionais, se não for necessário.

7. Além disso, o aplicativo SURFconext espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.

   Nome	Atributo de origem
   urn:mace:dir:attribute-def:cn	user.displayname
   urn:mace:dir:attribute-def:displayName	user.displayname
   urn:mace:dir:attribute-def:eduPersonPrincipalName	user.userprincipalname
   urn:mace:dir:attribute-def:givenName	usuário.givenname
   urn:mace:dir:attribute-def:mail	usuário.mail
   urn:mace:dir:attribute-def:preferredLanguage	user.preferredlanguage
   urn:mace:dir:attribute-def:sn	usuário.sobrenome
   urn:mace:dir:attribute-def:uid	user.userprincipalname
   urn:mace:terena.org:attribute-def:schacHomeOrganization	user.userprincipalname

8. Para executar a operação Transformar para a declaração urn:mace:terena.org:attribute-def:schacHomeOrganization , selecione o botão Transformação como uma fonte na seção Gerenciar declaração .

9. Na página Gerenciar transformação, execute as seguintes etapas:

   

   1. Selecione Extract() na lista suspensa no campo Transformação e clique no botão Após correspondência.

   2. Selecione Atributo como parâmetro 1 (entrada).

   3. No campo Nome do atributo , selecione user.userprinciplename na lista suspensa.

   4. Selecione @ o valor na lista suspensa.

   5. Clique em Adicionar.

10. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, clique no botão copiar para copiar a URL de Metadados de Federação de Aplicativos e salvá-la em seu computador.

    

Configurar o SSO do SURFconext

Para configurar o início de sessão único no lado SURFconext, tem de enviar o URL de Metadados da Federação da Aplicação para a equipa de suporte do SURFconext. Eles definem essa configuração para ter a conexão SAML SSO definida corretamente em ambos os lados.

Criar utilizador de teste SURFconext

Nesta seção, um usuário chamado B.Simon é criado no SURFconext. O SURFconext suporta provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existe no SURFconext, um novo é normalmente criado após a autenticação.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar esta aplicação, isto irá redirecionar para SURFconext Sign-on URL onde você pode iniciar o fluxo de login.

• Aceda diretamente ao URL de início de sessão do SURFconext e inicie o fluxo de início de sessão a partir daí.

• Você pode usar o Microsoft My Apps. Quando você clica no bloco SURFconext em Meus aplicativos, isso redireciona para o URL de logon do SURFconext. Para obter mais informações, consulte Microsoft Entra My Apps.

Recursos adicionais

• O que é o logon único com o Microsoft Entra ID?
• Planeje uma implantação de logon único.

Próximos passos

Depois de configurar o SURFconext, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Cloud App Security.