Ver categorias

Configurando SSO e SAML da GCP

Habilitando SSO do GCP no Painel da Cloud8 #

SSO (Single Sign On) é um método de autenticação seguro que permite que um usuário faça login sem precisar repetir o processo diversas vezes. Atualmente a Cloud8 possui suporte para as seguintes plataformas:

  • Azure AD
  • AWS SSO
  • Google Suite
  • Github
  • Centrify/CyberArk
  • JumpCloud
  • Okta

Para habilitar o Single Sign On (SSO) da GCP na Plataforma Cloud8 usando Active Directory (AD), o usuário deverá nos enviar o IDP Metadata e 3 URLs, gerados diretamente na interface da GCP.

Configurando SSO no GCP #

Adicionar um App SAML  #

  1. Faça login com uma conta de super administrador no Google Admin Console.
    Se você não usa uma conta de superadministrador, não é possível concluir estas etapas.
  2. Acesse Menu > Apps > Apps da Web e para dispositivos móveis.
  3. Clique em Adicionar app >> Adicionar app SAML personalizado.
    Digite o app. e, se quiser, fazer upload de um ícone para o app. O ícone do app aparece na lista de apps da Web e para dispositivos móveis, na página de configurações do app e no Acesso rápido aos apps. Se você não fizer upload de um ícone, ele será criado usando as duas primeiras letras do nome do app.
  4. Clique em Continuar.
  5. Na página Detalhes do provedor de identidade do Google, acesse as informações de configuração exigidas pelo provedor de serviços usando uma destas opções:
    • Faça o download dos Metadados do IDP.
    • Copie o URL do SSO e o ID da entidade e faça o download do certificado (ou da impressão digital SHA-256 se necessário).
  6. (Opcional) Para digitar as informações na página de configuração do SSO, em uma guia ou janela separada do navegador, faça login no provedor de serviços, digite as informações copiadas na Etapa 5 e volte ao Admin Console.
  7. Clique em Continuar.
  8. Entre em contato com seu provedor de serviços para receber esses valores de campo. Na janela Detalhes do provedor do serviço, digite o seguinte:
    • URL do ACS: o URL do serviço de declaração de consumidor do provedor de serviços recebe a resposta SAML. A Cloud8 sugere utilizar https://sso.webpanel.cloud/gsuite/xxxxxxx (nome do cliente).
    • ID da entidade: o nome exclusivo globalmente.
    • URL de início: (opcional) define o parâmetro RelayState em uma solicitação SAML, que pode ser um URL para redirecionamento após a autenticação.
  9. (Opcional) Para indicar que seu provedor de serviços exige que toda a resposta de autenticação SAML seja assinada, marque a caixa Resposta assinada. Se esta opção estiver desmarcada (o padrão), apenas a declaração na resposta será assinada.
  10. (Opcional) Defina o formato do ID de nome e o valor do ID de nome do app SAML personalizado. O ID de nome padrão é o e-mail principal.
    Dica: leia os artigos sobre configuração no nosso catálogo de apps SAML e veja os mapeamentos de ID de nome necessários para os apps no catálogo. Também é possível criar atributos personalizados no Admin Console ou nas APIs do Google Admin SDK e mapear para esses atributos.
  11. Clique em Continuar.
  12. Se necessário, clique em Adicionar mapeamento para mapear os atributos do usuário com base nos requisitos do provedor de serviços.
    • Observação: você pode definir no máximo 1.500 atributos para todos os apps. Como cada app tem um atributo padrão, ele será contabilizado com os outros atributos personalizados que você adicionar.
      • Em Atributos do diretório do Google, clique no menu Selecionar campo e escolha um nome de campo. Nem todos os atributos do diretório do Google estão disponíveis na lista suspensa. Se um atributo que você quer mapear (por exemplo, o e-mail do gerente) não estiver disponível, você pode adicionar esse atributo como um atributo personalizado. Com isso, ele ficará disponível para seleção.
      • Em Atributos do app, digite o atributo correspondente do app SAML personalizado.
  13. (Opcional) Para inserir nomes de grupos relevantes para este app:
    • Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
    • Adicione outros grupos conforme necessário (máximo de 75 grupos).
    • Em Atributo do app, digite o nome do atributo de grupo do provedor de serviços correspondente.
  14. Independentemente do total de nomes de grupo informados, a resposta SAML inclui apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.
  15. Clique em Concluir.

Fonte:

https://knowledge.workspace.google.com/admin/apps/set-up-your-own-custom-saml-app?hl=pt-BR&visit_id=639084026933388217-4098112238&rd=1

Ativar o App SAML #

  1. Faça login com uma conta de super administrador no Google Admin Console.
    • Se você não usa uma conta de super administrador, não é possível concluir estas etapas.
  2. Acesse Menu > Apps > Apps da Web e para dispositivos móveis.
  3. Selecione o app SAML.
  4. Clique em Acesso do usuário.
  5. Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativado para todos ou Desativado para todos, depois clique em Salvar.
  6. (Opcional) Para ativar ou desativar um serviço em uma unidade organizacional:
    • Selecione a unidade organizacional à esquerda.
    • Para mudar o status do serviço, selecione Ativado ou Desativado.
    • Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Substituir.
      • Caso o status do serviço esteja definido como Substituído, clique em Herdar para reverter e usar a configuração mãe ou clique em Salvar para manter a nova configuração, mesmo que a configuração mãe seja alterada.
        Saiba mais sobre estrutura organizacional.
  7. (Opcional) Se você quiser ativar um serviço para alguns usuários em uma ou várias unidades organizacionais, selecione um grupo de acesso. Saiba mais em Personalizar o acesso ao serviço usando grupos de acesso.
  8. Verifique se os endereços de e-mail que os usuários utilizam para fazer login no app SAML correspondem aos que eles utilizam para fazer login no domínio do Google.

As alterações podem levar até 24 horas, mas costumam ser mais rápidas.

Testar o funcionamento do App #

É possível testar o SSO iniciado pelo provedor de identidade (IdP) e pelo provedor de serviços (SP).

Configurando SSO e SAML da GCP

Iniciado pelo IdP #

  1. Faça login com uma conta de super administrador no Google Admin Console.
    Se você não usa uma conta de superadministrador, não é possível concluir estas etapas.
  2. Acesse Menu > Apps > Apps da Web e para dispositivos móveis.
  3. Selecione o app SAML personalizado.
  4. No canto superior esquerdo, clique em Testar login SAML.
    O app abrirá uma guia separada. Se isso não acontecer, use as informações nas mensagens de erro do app SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.

Iniciado pelo SP #

  1. Abra o URL do SSO do novo app SAML. A página de login do Google será aberta.
  2. Digite seu nome de usuário e a senha.
    Depois da autenticação das credenciais de login, você voltará para o novo app SAML. 
Configurando SSO e SAML da GCP

Finalizando configuração de SSO no GCP #

Após a configuração do SSO, envie um email para suporte@cloud8.com.br com o assunto “Habilitar SSO da GCP” e forneça os seguintes dados:

  • Arquivo de IDP Metadata
  • URL do ACS, Entity ID e Certificate

Criando o Primeiro Usuário no Cloud8 #

Antes de efetuar o primeiro login é importante criar um usuário dentro da plataforma Cloud8. Será necessário cadastrar uma senha inicial, porém a mesma será removida com a conclusão do SSO.

Configurando SSO e SAML da GCP

Após criar o usuário será necessário editá-lo para habilitar o “Somente SSO”.

Configurando SSO e SAML da GCP
Acessar, Cloud, Credencial, GCP, Gestão Cloud, Google, perfis de acesso, SSO
Este conteúdo foi útil?