Como podemos te ajudar hoje?
Configuração manual de logon único SAML
As instruções neste artigo são aplicáveis apenas a instalações do MyWorkDrive usando o Active Directory para identidade do usuário. Se o MyWorkDrive estiver configurado com Entra ID para o diretório do usuário, ele usará um login nativo da Microsoft e o SAML não será necessário para habilitar o SSO.
Visão geral da configuração manual do MyWorkDrive SAML
Security Assertion Markup Language (SAML) é um padrão aberto para troca de dados de autenticação e autorização entre partes, especificamente – entre um provedor de identidade e um provedor de serviços. Como o próprio nome indica, SAML é uma linguagem de marcação baseada em XML para declarações de segurança (declarações que os provedores de serviços usam para tomar decisões de controle de acesso).
MyWorkDrive Server 5.0 suporta Web File Manager Single Sign On (SSO) baseado em SAML, além de ADFS (que é configurado separadamente). Para SAML, MyWorkDrive atua como Provedor de Serviços (SP) enquanto o parceiro atua como provedor de identidade (IdP), por exemplo: Shibboleth, OneLogin, Centrify, Azure AD, OKTA, etc.
Guias de configuração de SAML pré-configurados
Vários provedores SAML são pré-configurados no MyWorkDrive e usam um processo de configuração simplificado. Visite os seguintes artigos para configuração do Azure AD, Okta e OneLogin. Não é necessário nem recomendado configurar manualmente o MyWorkDrive para esses provedores.
Pré-requisitos manuais de SAML
- Certifique-se de que os usuários tenham um sufixo upn aplicado ao nome de domínio para corresponder ao nome de login do provedor SAML para que possam fazer login no servidor MyWorkDrive com o endereço de e-mail.
- Certifique-se de que o servidor MyWorkDrive seja confiável para delegação de acordo com nosso Artigo de delegação
- Disponibilize seu servidor por meio do Cloud Web Connector ou configure seu próprio certificado SSL público e nome de host apontando para seu servidor MyWorkDrive pela porta 443 (SSL) e certifique-se de que seu servidor seja acessível publicamente. Ver artigo de suporte.
Fluxo de login
O seguinte explica o fluxo de login do usuário para o MyWorkDrive de um provedor de identidade (IdP):
- Presume-se que todos os usuários estejam fazendo login no ldP usando seu sufixo UPN (por exemplo, @seudominio.com) e ele corresponde ao UPN de nome de usuário do Active Directory.
- Seu servidor MyWorkDrive está usando seu próprio nome de host e certificado SSL (*.MyWorkDrive.net não é compatível com SAML).
- O usuário clica na URL do serviço de consumidor de asserção MyWorkDrive (por exemplo, https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) como a URL de logon único.
- Se o usuário ainda não estiver conectado ao ldP, o servidor MyWorkDrive redireciona o usuário ao serviço SSL para entrar.
- Uma vez confirmado, o serviço IdP gera uma resposta SAML válida e redireciona o usuário de volta ao MyWorkdrive para verificar a resposta SAML.
- Se a autenticação do usuário for validada com sucesso, eles serão automaticamente conectados ao Gerenciador de Arquivos da Web do MyWorkDrive da empresa.
Etapas de configuração do servidor SAML SSL MyWorkDrive
Para configurar com sucesso o SAML no servidor MyWorkDrive, são necessárias as seguintes etapas manuais:
Configuração do serviço IdP
Se o seu IdP importar configurações de metadados, você poderá usar o link de metadados MyWorkDrive do seu servidor em https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata
- Crie uma configuração SAML no IdP referenciando o MyWorkDrive:
- Especifique a URL do serviço do consumidor de asserção (por exemplo, https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) como a URL de conexão única.
- Especifique o URI do público (ID da entidade SP) – insira “MyWorkDrive” como o URI do público.
- Especifique a URL do serviço de logout único (por exemplo, https://YourMWDServer.yourdomain.com/SAML/SLOService.aspx) como a URL de logout.
- Especifique o emissor do SP. Este é o nome do provedor de serviços local – Digite “MyWorkDrive”.
- Baixe o certificado ldP e coloque em C:\Wanpath\WanPath.Data\Settings\Certificates
Configuração do servidor MyWorkDrive
- Atualize a configuração SAML localizada em C:\Wanpath\WanPath.Data\Settings para descomentar o entrada para o seu IdP. Se uma entrada não estiver presente para o seu IdP, você pode usar o Exemplo MWD.
- Arquivo de certificado local. Esta etapa deve ser concluída para você no servidor MyWorkDrive versão 5.2 e superior e um certificado deve estar presente na pasta com a senha no arquivo saml.config. Se não for, prossiga para Exportar seu certificado SSL público correspondente ao seu nome de host MyWorkDrive conforme referenciado em seu IdP com uma senha e coloque o arquivo de exportação PFX do certificado SL em C:\Wanpath\WanPath.Data\Settings\Certificates e referencie-o em a seção do provedor de serviços com a senha que você usou durante a exportação.
- Na seção do provedor de identidade: defina o Nome para o emissor do provedor de identidade. Esse valor também é conhecido como o ID da entidade de metadados.
- Na seção Provedor de identidade: defina o SingleSignOnServiceUrl para a URL de logon único do provedor de identidade.
- Na seção Provedor de identidade: defina o SingleLogoutServiceUrl para a URL de logout único do provedor de identidade.
- Atualize a seção PartnerCertificateFile do provedor de identidade com o caminho completo e o nome do arquivo de certificado do provedor de identidade.
A seção de configuração do provedor de identidade do parceiro deve ser semelhante ao seguinte saml.conf
<!– Okta –>
<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″
Descrição=”Okta”
SignAuthnRequest="true"
SignLogoutRequest="true"
SignLogoutResponse="true"
WantLogoutRequestSigned="true"
WantLogoutResponseSigned="true"
SingleSignOnServiceUrl=”https://suaempresa.okta.com/app/suaempresa_mwdserver1_1/exkxxxxxyyyy555/sso/saml”
SingleLogoutServiceUrl=”https://suaempresa.okta.com/app/suaempresa_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml”
PartnerCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\okta.cer”/>
A configuração da seção do provedor de serviços deve ser semelhante ao seguinte saml.conf
<ServiceProvider Name=”MyWorkDrive”
Description=”MWD Service Provider” AssertionConsumerServiceUrl=”~/SAML/AssertionConsumerService.aspx” LocalCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\yourdomain.pfx”
LocalCertificatePassword="senha"/>
Finalmente, antes de testar, certifique-se de ter adicionado alguns usuários à sua nova entrada MyWorkDrive em seu IdP para autorizá-los a acessar MyWorkDrive. Para testar o SAML sem torná-lo obrigatório após habilitá-lo, use o seguinte URL: http://yourserver.yourdomain.com/account/login-saml.aspx