Neste artigo, você vai aprender como configurar a autenticação do G Suite no E-TRUST Cloud SSO.
Para configurar a autenticação do G Suite no E-TRUST Cloud SSO basta seguir os passos abaixo, mas antes de iniciar, recomenda-se que você tenha duas janelas de navegador internet abertas, uma para acessar o E-TRUST Cloud Single Sign-On e outra para acessar o G Suite, ambos como administrador.
O uso de duas janelas de navegador internet vai facilitar seguir os passos aqui apresentados, pois você terá que copiar dados de uma janela para a outra quando estiver fazendo a configuração da autenticação do G Suite no E-TRUST Cloud SSO.
1. Acessar o E-TRUST Cloud SSO como Administrador
O primeiro passo para configuração do G Suite é se autenticar como administrador no E-TRUST Cloud Single Sign-On através da URL:
https://<empresa>.sso.e-trust.com.br/login/admin
onde, <empresa> será o nome fornecido pela E-TRUST na contratação do serviço. As credencias de administrador (usuário e senha) também são fornecidas após a contratação do serviço.
2. Criar uma Aplicação SAML para o G Suite
A configuração do G Suite é feita via a criação de uma nova aplicação SAML. Isso pode ser feito clicando no Item “Nova Aplicação” no menu “Aplicações”, como apresentado na imagem a seguir:
“Nome da Aplicação”: por exemplo, G Suite ou GMail ou outro nome que faça sentido para seus usuários.Na tela de Nova Aplicação, preencha os seguintes campos, conforme a explicação e a figura a seguir:
- “URL da Página Inicial da Aplicação”: página inicial da aplicação, que será aberta quando o usuário clicar na aplicação, na tela inicial do usuário no Cloud SSO (veja a seguir). Para o G Suite, use “https://accounts.google.com/”
3. Configurar a Integração SAML com o G Suite no E-TRUST CSSO
Após preencher os campos acima, clique em Salvar, para salvar a nova aplicação SAML G Suite no E-TRUST Cloud Single Sign-On.
Após ter salvo a aplicação, vamos configurá-la. Para isso deve-se clicar sobre o botão de editar representado pela engrenagem, conforme figura a seguir.
Na tela de configuração da aplicação SAML para o G Suite, preencha os seguintes campos, observando que <domínio> deve ser substituído pelo domínio que a sua empresa tem configurado no G Suite:
- “EntityID”: o valor a ser inserido deve ser “google.com”.
- “Assertion Consumer Service” deve possuir o valor “https://www.google.com/a/<domínio>/acs”.
- “Method Binding” deve ser “HTTP-POST”.
- “Audience”, “Recipient” e “Destination” devem possuir o valor “https://www.google.com/a/<domínio>/acs”.
A figura abaixo exibe a configuração desses campos. Novamente, observe que <domínio> é o nome do domínio que sua empresa tem configurado no G Suite, sendo que na figura abaixo foi usado um domínio apenas de exemplo como “desenvolvimento.e-trust.com.br”.
- “NameID Format”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress”
- “Identificador de usuários da base de dados interna”: deve ser “E-mail”. Basicamente, isso indica que usuários autenticados via base de dados interna do E-TRUST Cloud Single Sign-On terão seu endereço de e-mail enviado como identificador ao G Suite.
- “Authentication Context Class Reference”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified”.
A imagem abaixo apresenta a configuração desses campos.
- “Necessita que o Logout Response seja assinado”: Sim
- “Necessita que a SAML Response seja assinada”: Sim
- “Necessita que a Assertion seja assinada”: Sim
- “Necessita que a Assertion seja criptografada”: Não
A imagem abaixo apresenta apresenta as configurações desses campos.
4. Obter o Certificado do G Suite
Para obter o valor do certificado do G Suite é necessário se autenticar com a sua conta de administrador da sua empresa no G Suite através da seguinte URL:
https://admin.google.com
Após se autenticar será apresentada a seguinte tela:
A seguir, basta clicar no botão “DOWNLOAD CERTIFICATE” para baixar o certificado do G Suite, conforme apresentado na imagem abaixo.O próximo passo é clicar na opção “Security” apresentado na figura acima, onde, após esse processo é necessário clicar na opção “Set up Single Sign-On (SSO)”, conforme apresentado na figura abaixo.
Continue a configuração na tela do Cloud Single Sign-On, preenchendo o campo abaixo:
- “SP X.509 Cert”: copie e cole neste campo o certificado baixado no passo acima.
No exemplo, o campo ficou com o seguinte conteúdo (note que este conteúdo é fictício e não irá funcionar. Você deve baixar o certificado via sua conta de administrador no G Suite).:
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
- “Signature Algorithm”: deve ser selecionada a opção cujo valor é “rsa-sha1”.
- “Digest Algorithm”: deve ser selecionada a opção cujo valor é “sha1”.
A figura abaixo apresenta a configuração dos campos efetuada:
Para finalizar a configuração basta clicar no botão “Salvar”, exibido na figura acima.
5. Configurar o Cloud Single Sign-On no G Suite
Agora, você deve configurar o Cloud Single Sign-On no G Suite. Para isso é necessário voltar na tela “Set up single sign-on (SSO)” vista anteriormente.
O próximo passo é habilitar o Single Sign-On. Para isso é necessário clicar no checkbox “Setup SSO with third party identity provider” e preencher os campos abaixo:
- “Sign-in page URL”: deve possuir o valor do campo “SSO REDIRECT URL” presente na página da aplicação que você configurou no E-TRUST Cloud Single Sign-On. Para isso, abra a página de configuração da aplicação G Suite no E-TRUST Cloud SSO, copie e cole na página do G Suite.
- “Sign-out page URL”: deve possuir o valor do campo “SLO URL” presente na página da aplicação configurada no E-TRUST Cloud Single Sign-On. Proceda como descrito no item anterior para copiar e colar o dado.
Agora, o campo “Verification certificate”, exige um pouco mais de trabalho, conforme explicado a seguir:
- “Verification certificate”: neste campo, deve ser inserido o certificado do Cloud Single Sign-On. Para isso, utilize um navegador internet para acessar a URL apresentada no campo “Metadata URL” na página da aplicação no Cloud Single Sign-On.
Ao acessar essa URL, será baixado um arquivo com os dados que precisamos. Localize o arquivo baixado e renomeie o arquivo de modo a adicionar a extensão “.xml” no mesmo. Clique no arquivo para abri-lo e localize o campo “<ds:X509Certificate>”, conforme apresentado na figura abaixo:
Copie o conteúdo do campo “<ds:X509Certificate>”, conforme destacado na figura acima. Após copiar o certificado, há a necessidade de formatá-lo antes de salvá-lo em um arquivo. É possível fazer essa formatação através da ferramenta disponibilizada em https://www.samltool.com/format_x509cert.php.
Após a formatação do certificado, salve o conteúdo em um arquivo e faça o upload do mesmo no campo “Verification certificate”, clicando no botão “UPLOAD”. A figura abaixo apresenta todas as configurações efetuadas conforme detalhado anteriormente:
6. Validar a Configuração do G Suite no E-TRUST Cloud Single Sign-On
Para validar as configurações acesse a URL abaixo em um navegador diferente daquele na qual estava sendo feita a configuração do Cloud Single Sign-On ou use o modo privado do navegador, pois será necessário usar uma conta diferente da conta de administrador do G Suite.
https://accounts.google.com
Insira as credenciais de um usuário que possua acesso ao G Suite de acordo com o domínio configurado. Caso o usuário não tenha permissão de acesso o mesmo não conseguirá finalizar o processo de autenticação.
Após informar as credenciais o usuário será redirecionado ao Cloud Single Sign-On, conforme apresentado na tela abaixo:
Após informar as credenciais válidas o usuário será redirecionado para o G Suite. A figura abaixo apresenta a imagem após a autenticação ter sido feita com sucesso:
É importante ressaltar que esse usuário deve estar autorizado a acessar a aplicação.
O valor enviado pelo Cloud Single Sign-On como identificador do usuário é o seu e-mail, neste caso “[email protected]”.
Caso o valor enviado seja diferente, haverá falha na autenticação quando o G Suite fizer a validação. Portanto, em caso de falha, analise primeiro a configuração feita no E-TRUST Cloud Single Sign-On referente ao parâmetro “identificador do usuário a ser enviado” para certificar-se que está conforme este artigo.
Com a configuração concluída, você está apto a passar a usar o E-TRUST Cloud Single Sign-On para autenticar seus usuários no G Suite.
Esperamos que este artigo tenha sido útil para você! A
Para saber mais sobre a solução E-TRUST Cloud Single Sign-On CLIQUE AQUI.
