fbpx
(11) 5521-2021 [email protected]

Neste artigo, você vai aprender como configurar a autenticação do G Suite no E-TRUST Cloud SSO.

Para configurar a autenticação do G Suite no E-TRUST Cloud SSO basta seguir os passos abaixo, mas antes de iniciar, recomenda-se que você tenha duas janelas de navegador internet abertas, uma para acessar o E-TRUST Cloud Single Sign-On e outra para acessar o G Suite, ambos como administrador.

O uso de duas janelas de navegador internet vai facilitar seguir os passos aqui apresentados, pois você terá que copiar dados de uma janela para a outra quando estiver fazendo a configuração da autenticação do G Suite no E-TRUST Cloud SSO.

 

1. Acessar o E-TRUST Cloud SSO como Administrador

O primeiro passo para configuração do G Suite é se autenticar como administrador no E-TRUST Cloud Single Sign-On através da URL:

https://<empresa>.sso.e-trust.com.br/login/admin

onde, <empresa> será o nome fornecido pela E-TRUST na contratação do serviço. As credencias de administrador (usuário e senha) também são fornecidas após a contratação do serviço.

2. Criar uma Aplicação SAML para o G Suite

A configuração do G Suite é feita via a criação de uma nova aplicação SAML. Isso pode ser feito clicando no Item “Nova Aplicação” no menu “Aplicações”, como apresentado na imagem a seguir:

“Nome da Aplicação”: por exemplo, G Suite ou GMail ou outro nome que faça sentido para seus usuários.Na tela de Nova Aplicação, preencha os seguintes campos, conforme a explicação e a figura a seguir:

  • “URL da Página Inicial da Aplicação”: página inicial da aplicação, que será aberta quando o usuário clicar na aplicação, na tela inicial do usuário no Cloud SSO (veja a seguir). Para o G Suite, use “https://accounts.google.com/

 

3. Configurar a Integração SAML com o G Suite no E-TRUST CSSO

Após preencher os campos acima, clique em Salvar, para salvar a nova aplicação SAML G Suite no E-TRUST Cloud Single Sign-On.

Após ter salvo a aplicação, vamos configurá-la. Para isso deve-se clicar sobre o botão de editar representado pela engrenagem, conforme figura a seguir.

Na tela de configuração da aplicação SAML para o G Suite, preencha os seguintes campos, observando que <domínio> deve ser substituído pelo domínio que a sua empresa tem configurado no G Suite:

  • “EntityID”: o valor a ser inserido deve ser “google.com”.
  • “Assertion Consumer Service” deve possuir o valor “https://www.google.com/a/<domínio>/acs”.
  • “Method Binding” deve ser “HTTP-POST”.
  • “Audience”, “Recipient” e “Destination” devem possuir o valor “https://www.google.com/a/<domínio>/acs”.

 

A figura abaixo exibe a configuração desses campos. Novamente, observe que <domínio> é o nome do domínio que sua empresa tem configurado no G Suite, sendo que na figura abaixo foi usado um domínio apenas de exemplo como “desenvolvimento.e-trust.com.br”.

  • “NameID Format”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress”
  • “Identificador de usuários da base de dados interna”: deve ser “E-mail”. Basicamente, isso indica que usuários autenticados via base de dados interna do E-TRUST Cloud Single Sign-On terão seu endereço de e-mail enviado como identificador ao G Suite.
  • “Authentication Context Class Reference”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified”.

 

A imagem abaixo apresenta a configuração desses campos.

  • “Necessita que o Logout Response seja assinado”: Sim
  • “Necessita que a SAML Response seja assinada”: Sim
  • “Necessita que a Assertion seja assinada”: Sim
  • “Necessita que a Assertion seja criptografada”: Não

A imagem abaixo apresenta apresenta as configurações desses campos.

4. Obter o Certificado do G Suite

Para obter o valor do certificado do G Suite é necessário se autenticar com a sua conta de administrador da sua empresa no G Suite através da seguinte URL:

https://admin.google.com

Após se autenticar será apresentada a seguinte tela:

A seguir, basta clicar no botão “DOWNLOAD CERTIFICATE” para baixar o certificado do G Suite, conforme apresentado na imagem abaixo.O próximo passo é clicar na opção “Security” apresentado na figura acima, onde, após esse processo é necessário clicar na opção “Set up Single Sign-On (SSO)”, conforme apresentado na figura abaixo.

Continue a configuração na tela do Cloud Single Sign-On, preenchendo o campo abaixo:

  • “SP X.509 Cert”: copie e cole neste campo o certificado baixado no passo acima.

No exemplo, o campo ficou com o seguinte conteúdo (note que este conteúdo é fictício e não irá funcionar. Você deve baixar o certificado via sua conta de administrador no G Suite).:

 

—–BEGIN CERTIFICATE—–

MIIDdDCCAlygAwIBAgIGAWPgZ3eTMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoT

C0dvb2dsZSBJbmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZH

b29nbGUxGDAWBgNVBAsTD0dvb2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzAR

BgNVBAgTCkNhbGlmb3JuaWEwHhcNMTgwNjA4MTcxNzQwWhcNMjMwNjA3MTcxNzQw

WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMNTW91bnRhaW4gVmll

dzEPMA0GA1UEAxMGR29vZ2xlMRgwFgYDVQQLEw9Hb29nbGUgRm9yIFdvcmsxCzAJ

BgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMIIBIjANBgkqhkiG9w0BAQEF

AAOCAQ8AMIIBCgKCAQEAp4Gj37jzqFfv5kJ6JU4U6mtdkovcgUxwAsOfwcaQVR4y

6ErP8Dzt2Ilbfl0Z4NIudrPcGrrdUKS5yFtqpGXiQzT/7EkgfIMup8P6NZs0JHO9uiyt

Sd34R5NDtrPIwS0wCWLvAeYU1rGdkkL9L2BkkV7tFwa5Y5J+eH48e94s07X5HD5P

jmfyKZIMtyGbnylgTUPKdIY2WuItJ/SSl1GvBqzUnpLL+nXhn9ljj/yWz+rxkP5q

JgU6oZyRtmZdbkB3MlBWRM08rHqMetYO0JT2HxcB6q1aq8d0nUZNIMIVk6TXinks

ol86j5a9FZVZ/ITnmR8ya93QpPGIIT/oxCdTved2ZwIDAQABMA0GCSqGSIb3DQEB

CwUAA4IBAQAv1GcWBvPmF27EiRh0QpGjwcm8h+iJY6NthN4yyHodV6bcyQySjafn

RK1ALPLFJ9+DTQ9wfSxNIX9vycO7sKO6ReYdfyzcMgkWCfKp0UGE2HJXH2hR8ge86FA

qRCeHzeIC/Kb2hoxRAl9ro3LJGTMVGhXchppEpadoeHWrGN2u3rCkc3Yp+HOh0S+

f0FWFSOR2m1ezsGM9d8QWoWxOXoRw+Qm2lqZ5wovE7oz+bfIP6CyEdaWABsq0KwU

3gkqD2iivmu7VbUJmuwXlX3gb/3RIEEbQxtOxBaqJyIERICHXJfB9tEhhHuCBvTd

KtesQUFA/TVBglonE6wUEYDBHgltWXnL

—–END CERTIFICATE—–

 

  • “Signature Algorithm”: deve ser selecionada a opção cujo valor é “rsa-sha1”.
  • “Digest Algorithm”: deve ser selecionada a opção cujo valor é “sha1”.

 

A figura abaixo apresenta a configuração dos campos efetuada:

 

Para finalizar a configuração basta clicar no botão “Salvar”, exibido na figura acima.

5. Configurar o Cloud Single Sign-On no G Suite

Agora, você deve configurar o Cloud Single Sign-On no G Suite. Para isso é necessário voltar na tela “Set up single sign-on (SSO)” vista anteriormente.

O próximo passo é habilitar o Single Sign-On. Para isso é necessário clicar no checkbox “Setup SSO with third party identity provider” e preencher os campos abaixo:

  • “Sign-in page URL”: deve possuir o valor do campo “SSO REDIRECT URL” presente na página da aplicação que você configurou no E-TRUST Cloud Single Sign-On. Para isso, abra a página de configuração da aplicação G Suite no E-TRUST Cloud SSO, copie e cole na página do G Suite.
  • “Sign-out page URL”: deve possuir o valor do campo “SLO URL” presente na página da aplicação configurada no E-TRUST Cloud Single Sign-On. Proceda como descrito no item anterior para copiar e colar o dado.

Agora, o campo “Verification certificate”, exige um pouco mais de trabalho, conforme explicado a seguir:

  • “Verification certificate”: neste campo, deve ser inserido o certificado do Cloud Single Sign-On. Para isso, utilize um navegador internet para acessar a URL apresentada no campo “Metadata URL” na página da aplicação no Cloud Single Sign-On.

Ao acessar essa URL, será baixado um arquivo com os dados que precisamos. Localize o arquivo baixado e renomeie o arquivo de modo a adicionar a extensão “.xml” no mesmo.  Clique no arquivo para abri-lo e localize o campo “<ds:X509Certificate>”, conforme apresentado na figura abaixo:

Copie o conteúdo do campo “<ds:X509Certificate>”, conforme destacado na figura acima. Após copiar o certificado, há a necessidade de formatá-lo antes de salvá-lo em um arquivo. É possível fazer essa formatação através da ferramenta disponibilizada em https://www.samltool.com/format_x509cert.php.

Após a formatação do certificado, salve o conteúdo em um arquivo e faça o upload do mesmo no campo “Verification certificate”, clicando no botão “UPLOAD”. A figura abaixo apresenta todas as configurações efetuadas conforme detalhado anteriormente:

6. Validar a Configuração do G Suite no E-TRUST Cloud Single Sign-On

Para validar as configurações acesse a URL abaixo em um navegador diferente daquele na qual estava sendo feita a configuração do Cloud Single Sign-On ou use o modo privado do navegador, pois será necessário usar uma conta diferente da conta de administrador do G Suite.

https://accounts.google.com

Insira as credenciais de um usuário que possua acesso ao G Suite de acordo com o domínio configurado. Caso o usuário não tenha permissão de acesso o mesmo não conseguirá finalizar o processo de autenticação.

Após informar as credenciais o usuário será redirecionado ao Cloud Single Sign-On, conforme apresentado na tela abaixo:

Após informar as credenciais válidas o usuário será redirecionado para o G Suite. A figura abaixo apresenta a imagem após a autenticação ter sido feita com sucesso:

 

É importante ressaltar que esse usuário deve estar autorizado a acessar a aplicação.

O valor enviado pelo Cloud Single Sign-On como identificador do usuário é o seu e-mail, neste caso “[email protected]”.

Caso o valor enviado seja diferente, haverá falha na autenticação quando o G Suite fizer a validação. Portanto, em caso de falha, analise primeiro a configuração feita no E-TRUST Cloud Single Sign-On referente ao parâmetro “identificador do usuário a ser enviado” para certificar-se que está conforme este artigo.

Com a configuração concluída, você está apto a passar a usar o E-TRUST Cloud Single Sign-On para autenticar seus usuários no G Suite.

Esperamos que este artigo tenha sido útil para você! A

Para saber mais sobre a solução E-TRUST Cloud Single Sign-On CLIQUE AQUI.