Integrações

1. Como integrar o SSO do Azure como IDP na Plataforma Carol por meio do protocolo SAML?
2. Como adiciono usuários na Plataforma Carol após ativada a integração com a Azure?
3. Como desativo a integração com a Azure na Plataforma Carol?

1. Como integrar o SSO do Azure como IDP na Plataforma Carol por meio do protocolo SAML?

A configuração da integração está dividida em duas fases.

• A fase A é executada pelo cliente.
• A fase B é executada pela TOTVS.

A. Criando o aplicativo corporativo

Pré-requisitos

Para esta fase você precisará ter uma conta no portal do Azure para criar um aplicativo corporativo.

Crie o aplicativo

1. Selecione o gerenciador do Azure Active Directory

2. Selecione o menu Aplicativos Corporativos

3. Crie uma nova aplicação

Adicione usuários ao aplicativo

• Precisamos criar o usuário no AzureAD.

  • Selecione a opção Usuário na página de gerenciamento do AD:

  

  • Crie um novo usuário.

Atenção

Recomenda-se criar um usuário com o mesmo e-mail do usuário Admin na Carol, para não ficar bloqueado na Carol.

• Após a criação do usuário, ele DEVE ser atribuído ao aplicativo.

  • No gerenciamento do aplicativo, selecione as opções Usuários e Grupos e adicione um novo usuário.

  

  • Selecione todos os usuários que você deseja ter acesso no aplicativo.

  

Atenção

Recomenda-se criar um usuário com o mesmo e-mail do usuário Admin na Carol, para não ficar bloqueado na Carol.

• Selecione a função do usuário para o aplicativo e clique no botão Atribuir.

Configure o aplicativo

Depois que o aplicativo for criado e o usuário adicionado, você deve estar na página de detalhes do aplicativo.

• Selecione a opção Single sign-on, no menu à esquerda:

• Selecione a opção SAML, no menu à esquerda:

• Edite a configuração SAML básica:

• Defina os seguintes itens:
  • APP Identifier como Carol, isso é importante, pois é o SPIssuerName no aplicativo Carol
  • Reply URL é onde o SAML retornará a Assertion, e, para Carol, DEVE ser o seguinte:
    • https://{orgDomain}/api/v1/SAML/ACS?orgSubdomain={orgSubdomain}
      • Ex.: https://totvs.qarol.ai/api/v1/SAML/ACS?orgSubdomain=totvs

• Configurar Atributos e Reivindicações
  • Para Carol reconhecer o usuário autenticado no Azure, precisamos alterar os Atributos retornados. Para isso, precisamos retornar o e-mail do usuário como o User Identifier.

• Para que Carol reconheça o usuário autenticado no Azure, precisamos alterar os Atributos retornados. Para isso, precisamos retornar o e-mail do usuário como User Identifier.

• Adicionar Certificados SAML
  • Para garantir a segurança no acesso do usuário, precisamos adicionar um certificado de autenticação ao aplicativo. Para isso siga os passos indicados na imagem abaixo.

1. Clique em Adicione um certificado.

2. Informe os Endereços de Email de Notificação.

3. Clique em Novo Certificado.

4. Informe a Data de Validade do certificado.

5. Clique em Tornar o certificado ativo.

6. Clique em Salvar.

7. Faça o Donwload de Certificado PEM.

   

Abra um ticket na TOTVS

Para a continuidade na configuração, precisamos que o cliente nos envie no ticket os seguintes dados obtidos da Azure.

• URL de Logon;
• Identificador do Azure AD;
• Hash code do certificado baixado.

B. Configurando SAML SSO no TOTVS Carol

Pré-requisitos

Para este fase você precisará ser administrador da organização no ambiente da Carol.

Faça login na plataforma TOTVS Carol

• Utilize as credenciais de Administrador da Organização.

Configure o SAML SSO pela Interface

• Após logado com o novo usuário, acesse as configurações da organização e marque a opção Login using an Identity provider.

• Em seguida, marque a opção Another IdP/SAML.

• Preencha os campos na Carol com as informações fornecidas abaixo pela Azure, marque a opção para provisionamento automático de novos usuários e salve as configurações posteriormente na Carol.

Atenção

• O Identificador do Azure AD é o mesmo na Carol para os campos SAML Identity Provider URL e SALM Identity Prodider Issuer (Entity ID).
• A URL de logon é utilizada na Carol no campo de redirecionamento.
• A URL de logoff é dispensável.
• Abra o arquivo de certificado baixado anteriormente e extraia o conteúdo da chave copiando-a para o campo SAML Identity Provider Certificate.

Agora, basta sair e acessar a Organização novamente. Você será redirecionado para o processo de login na Azure.

Lembrando que a partir deste momento para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.

Configure o SAML SSO pela API

• Acesse a API na barra de ferramentas Organization Admin (canto superior direito).

• Altere a API para Admin - ALL na barra superior.

• Localize as configurações de SAML no grupo de APIs.

• Chame a API para ativar o SAML para a organização.

• Chame o ponto de extremidade (endpoint) de configuração POST para definir os parâmetros do Azure.

Agora, basta sair e acessar a Organização novamente. Você será redirecionado para o processo de login na Azure.

Lembrando que a partir deste momento para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.

Workshop

Assista o workshop caso queira seguir na prática este tutorial.

Atenção

Este workshop (vídeo) cobre todas as etapas de ambas as fases do tutorial acima, com a exceção da etapa Configure o SAML SSO pela Interface.

2. Como adiciono usuários na Plataforma Carol após ativada a integração com a Azure?

Pré-requisitos

A opção de provisionamento automático de novos usuários DEVE estar marcada dentro da plataforma Carol nas configurações da organização.

Basicamente, quando é ativado o SSO delegamos TODA a autenticação para a Azure, ou seja, toda a liberação de login é feita por lá, e a Carol somente gerencia os perfis de acesso. Portanto, o uso de invites pela plataforma Carol deixa de ter efeito na platafirna Carol.

Para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.

3. Como desativo a integração com a Azure na Plataforma Carol?

Abra um ticket na TOTVS

Para desativar a integração, precisamos que o cliente ao abrir o ticket nos envie a URL da organização;

Desative a configuração na Plataforma Carol

Com o ticket aberto, para desativar a integração, o administrador da plataforma Carol na TOTVS deve:

1. Acessar no ambiente global a página do swagger e por meio de endpoint (/api/v3/organizations/domain/{domain}) obter o id da organização informando o nome do domínio da organização.

2. Reutilizar este id da organização em novo endpoint (/api/v3/organizations/{orgId}) passando no corpo da solicitação o parâmetro mdmEnableSSO com valor false efetuando a desativação.

A partir deste momento, a autenticação com lineração por login voltará a ocorrer na Plataforma Carol.