Ativar as ligações Active Directory Federation Services (AD FS) SSO com a sua conta OVHcloud
Saiba como associar o seu serviço Active Directory Federation Services (AD FS) à sua conta OVHcloud via SAML 2.0
Esta tradução foi automaticamente gerada pelo nosso parceiro SYSTRAN. Em certos casos, poderão ocorrer formulações imprecisas, como por exemplo nomes de botões ou detalhes técnicos. Recomendamos que consulte a versão inglesa ou francesa do manual, caso tenha alguma dúvida. Se nos quiser ajudar a melhorar esta tradução, clique em "Contribuir" nesta página.
Última atualização: 13/10/2022
Objetivo
Pode utilizar a autenticação SSO (Single Sign-On) única para se ligar à sua conta OVHcloud. Para ativar estas ligações, a sua conta e os seus serviços AD FS (Active Directory Federation Services) devem ser configurados com a ajuda das autenticações SAML (Security Assertion Markup Language).
Este manual explica-lhe como associar a sua conta OVHcloud a um Active Directory externo.
Requisitos
- Os serviços AD FS (Active Directory Federation Services) devem ser executados no seu servidor
- Ter uma conta OVHcloud
- Estar ligado à Área de Cliente OVHcloud.
Instruções
Para que um prestador de serviços (ou seja, a sua conta OVHcloud) possa estabelecer uma ligação SSO com um fornecedor de identidade (ou seja, o seu serviço AD FS), o essencial é estabelecer uma relação de confiança mútua.
Estabelecer a confiança AD FS
O seu AD FS atua como fornecedor de identidade. Os pedidos de autenticação da sua conta OVHcloud só serão aceites se o tiver declarado previamente como organismo terceiro de confiança.
No contexto Active Directory, isto significa que deve ser adicionado como Relying Party Trust.
No gestor dos Servidores, abra o menu Tools e selecione AD FS Management.
Clique em Relying Party Trusts.
A seguir, clique em Add Relying Party Trust....
Selecione Claims aware e valide com o botão Start.
Pode introduzir manualmente as informações sobre o organismo terceiro de confiança ou importá-las a partir de um ficheiro de metadados.
Importar os metadados OVHcloud SP
Pode obter o ficheiro de metadados adequado através das seguintes ligações:
Selecione o Import data about the relying party from a file e selecione o seu ficheiro de metadados.
A seguir, clique no botão Next.
Introduza um nome de apresentação para o organismo terceiro de confiança e clique no botão Next.
Clique em Next na janela do controlo de acesso.
Clique novamente em Next para continuar.
Clique no botão Close na última janela. A aprovação da OVHcloud como organismo terceiro de confiança foi adicionada ao seu AD FS.
Com a OVHcloud adicionada como organismo terceiro de confiança, já deveria poder ligar-se através de uma ligação SSO. No entanto, todas as informações relativas à identidade do utilizador (em termos de "asserção" SAML) permanecerão indisponíveis até que configure uma estratégia para fazer corresponder os campos LDAP Active Directory aos atributos da asserção SAML.
Correspondência dos atributos LDAP aos atributos SAML
Clique na entrada da OVHcloud na secção "Relying Party Trusts".
A seguir, clique em Edit Claim Issuance Policy....
Clique no botão Add Rule....
Clique em Next.
Introduza um nome de regra e defina a sua tabela de correspondência.
Selecione Active Directory como Attribute store.
Os parâmetros seguintes podem ser configurados livremente de modo a que o prestador de serviços possa ler corretamente os dados LDAP Active Directory. Pode consultar a imagem abaixo como exemplo.
Quando terminar, clique no botão Finish.
Clique no botão Apply e valide com OK.
Uma vez terminada a tabela de correspondências, o seu serviço AD FS confia agora na OVHcloud enquanto fornecedor de serviços. O passo seguinte consiste em assegurar-se de que a conta OVHcloud confia no seu AD FS enquanto fornecedor de identidade.
Determinar a confiança da conta OVHcloud e configurar a ligação
A adição do AD FS como fornecedor de identidade de confiança pode ser efetuada na Área de Cliente OVHcloud, onde poderá fornecer os metadados do fornecedor de identidade.
Ligue-se e clique no seu perfil no canto superior direito.
Clique no seu nome para aceder à página de gestão do seu perfil.
Abra o separador Gestão dos utilizadores.
Clique no botão SSO connection.
Insira os metadados XML do seu serviço AD FS. O campo Nome do atributo do grupo é facultativo neste caso. Clique em Confirmar.
Agora deve encontrar o AD FS como fornecedor de identidade, assim como os grupos predefinidos.
Para mais informações, clique no link situado abaixo do URL do serviço SSO.
O botão ... permite atualizar ou eliminar o SO, e consultar os respetivos detalhes.
O seu AD FS é agora considerado fornecedor de identidade de confiança. No entanto, deve mesmo assim adicionar grupos à sua conta OVHcloud.
Se, nesta fase, estiver a tentar conectar-se através de SSO, é provável que apareça uma mensagem de erro Not in valid groups.
A sua conta OVHcloud verifica se o utilizador que se autentica pertence a um grupo existente na conta.
Para resolver este problema, verifique as informações associadas ao atributo "Group" devolvidas pelo serviço AD FS.
Tome como exemplo o de um utilizador "John Doe" do seu Active Directory, como indicado na imagem abaixo.
Verifique a tabela de correspondências em AD FS:
Neste exemplo, o atributo "Group" reenviado pelo Active Directory para o utilizador "John Doe" é "title". Corresponde ao "job title" que é o manager@<my-domain>.com.
Também pode verificar isto na secção SAML:
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">
<AttributeValue>manager@<my-domain>.com</AttributeValue>
</Attribute>
...
</AttributeStatement>
Isto significa que deve adicionar o grupo manager@<my-domain>.com à sua conta OVHcloud ligando-lhe um papel. Caso contrário, a sua conta OVHcloud não sabe o que o utilizador pode fazer.
Adicione-o ao clicar no botão Declarar um grupo e preencher os campos:
De seguida, poderá verificar que o grupo é adicionado à sua conta OVHcloud na secção Grupos:
Quando se ligar ao utilizador Active Directory "John Doe", a sua conta OVHcloud reconhecerá que o utilizador tem o papel "REGULAR", especificado pelo seu grupo.
De seguida, poderá desligar a sua conta e voltar a ligar-se ao seu AD FS enquanto fornecedor de identidade.
Ligação via SSO
Na página de identificação da OVHcloud, introduza o seu identificador de cliente seguido de /idp sem password e clique no botão Login.
De seguida, será redirecionado para a página de ligação AD FS. Introduza um login/password de um utilizador do seu Active Directory LDAP e clique no botão Sign in.
Já está conectado com o mesmo identificador de cliente, mas através do utilizador Active Directory e do SSO AD FS.
Quer saber mais?
Proteger a minha conta OVHcloud e gerir as minhas informações pessoais
Definição e gestão da palavra-passe da sua conta
Proteger a sua conta OVHcloud com a dupla autenticação
Junte-se à nossa comunidade de utilizadores em https://community.ovh.com/en/.
Esta documentação foi-lhe útil?
Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.
Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!
Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .
Obrigado. A sua mensagem foi recebida com sucesso.