Just SSO - Guia de Instalação
- Conheça com mais detalhes o Just SSO
- Voltar para Just SSO
- Screenshots
- Apresentação
- Guia de Instalação
Esta guia de instalação online trata-se de uma versão resumida do manual de instalação. Por isso, recomenda-se a versão em PDF para auxiliá-lo durante a instalação por se tratar de uma versão completa e com mais detalhes.
Clique aqui para fazer o download da versão COMPLETA em PDF
Para utilizar a solução de Single Sign On da Just Digital integrada ao Google Apps, você deverá:
1. Configurar, no gerenciador do seu domínio GoogleApps:
a. o Single Sign On (SSO)
b. e opcionalmente, habilitar a Provisioning API.
2. Configurar o JustSSO para se comunicar:
a. com o seu serviço de diretório, que pode ser o Active Directory da Microsoft ou o OpenLDAP.
b.e com o seu domínio do GoogleApps.
Nas próximas seções, detalhamos como proceder com cada uma destas configurações.
Principais Requisitos
- Utilizar a versão Premier ou Education do Google Apps
- VMWare instalado com no mínimo 512MB de RAM disponível para alocação à VM do Just SSO (recomendado 1GB) e 5GB de espaço em disco. O produto atualmente está homologado e testado para as versões ESX 3.0 e Player do VMWare.
- Como o Google Apps se comunicará com o Just SSO, é preciso que o Just SSO seja acessível externamente. Leve isto em consideração quando da definição do local (e endereço IP) onde será instalado a VM do JustSSO.
Eventualmente, será necessário que você crie algumas regras no firewall para permitir esta comunicação.
Informações que você irá precisar para proceder com a instalação
| Dado | Valor |
|---|---|
| Domínio | É o domínio da sua empresa (do seu e-mail). Exemplo: justdigital.com.br |
| Configurações de Rede para a VM do JustSSO | Você pode optar por utilizar DHCP para a máquina virtual (padrão) ou definir manualmente os valores desejados. Caso opte pela segunda forma, basta acessar o Shell da VM e se logar com o usuário configure e com a senha justsso. Uma vez logado, uma página solicitando os dados de configuração de rede será apresentada. |
| Domínio ou endereço IP válido (público) para acessar externamente o JustSSO. | Esta informação será utilizada quando da configuração do Google Apps para se conectar ao sistema de single sign-on da Just Digital. Por exemplo, se o domínio da sua empresa for justdigital.com.br, você poderia solicitar à sua equipe de rede a criação de um sub-domínio chamado sso apontando para o endereço IP onde será instalado o JustSSO. Neste exemplo, teríamos:
Atualmente, a instalação do certificado na VM é feita pela equipe de suporte da Just Digital. Para isso, você deverá nos encaminhar o arquivo do certificado gerado para Apache Web Server para que acessemos a VM e a configuremos com este certificado. Antes de solicitar o certificado à uma entidade certificadora, entre em contato com a nossa equipe de suporte para enviarmos o Certificate Signing Request (CSR) gerado pela VM. |
| Portas | As portas utilizadas pela VM do Just SSO são:
|
| Outras informações | Veja a seção corresponde à configuração do Just SSO para obter maiores detalhes sobre os parâmetros necessários para este setup. |
Habilitando e Configurando o Single Sign On (SSO) no Google Apps
1. Ative o SDC no painel de controle do Domínio do Google Apps Domain da edição Premier ou Education do Google Apps.
2. Localize a seção “Authentication” na página “Advanced Tools”:
3. Clique no link “Set up single sign-on (SSO)” para abrir a seguinte página:
4. Deixe marcada a opção “Enable Single Sign-on”.
5. Nos campos “Sign-in page URL *”, “Sign-out page URL *” e “Change password URL *”, você deve informar a url da página de login, a url para a qual os usuários são redirecionados após efetuarem logout e a url da página de alteração de senha” respectivamente.
Conforme exposto na seção de pré-requisitos, uma configuração típica seria:
- url de login: https://subdominio.seudominio/JustSSO/Auth
- url da página pós logout: https://subdominio.seudominio/JustSSO/Auth/logout
- url da tela de alteração de senha: https://subdominio.seudominio/JustSSO/Account/
Onde subdomínio.seudominio é um apontamento no DNS que aponta para o endereço IP do aplicativo JustSSO instalado na sua empresa.
Nota 1: Caso você deseje que seus usuários sejam direcionados novamente para a página de login quando estes fizerem logout do GoogleApps, basta repetir o valor informado no campo “Sign-in Page URL”.
Nota 2: A página de Alteração de Senha disponível no Just SSO atualizará esta informação no seu Servidor de Serviço de Diretório (AD ou OpenLDAP). Ele poderá também atualizar esta senha no GoogleApps caso você assim especifique na tela de configuração do Just SSO (mais detalhes adiante).
Nota 3: A utilização da página de Alteração de Senha disponível no Just SSO é opcional. Se você preferir não utilizá-la, basta que você indique um link para uma url que, por exemplo, contenha orientações aos seus usuários de como proceder para alterar suas senhas.
6. No campo “Verification certificate”, você deve fazer o upload de um arquivo de certificado contendo uma chave pública que será utilizada pelo Google Apps para verificar requisições de login.
O arquivo com esta chave será enviada para você através de e-mail.
7. Agora clique no botão “Save Changes” para finalizar o processo.
Habilitando a Provisioning API no Google Apps
O Google Apps disponibiliza uma funcionalidade chamada “provisioning API” que permite ao JustSSO automaticamente replicar a senha do usuário no Google Apps quando este atualizar sua senha no seu Servidor de Diretório utilizando a página de alteração de senha do Just SSO.
Isto pode ser interessante, pois num evento em que seu Servidor de Diretório ou a máquina onde o JustSSO é executado fiquem inacessíveis, um administrador do domínio pode acessar o painel de administração do seu Google Apps e desabilitar a integração do SSO. Neste cenário, uma vez desabilitado o SSO, os usuários poderiam continuar acessando suas caixas de e-mail mesmo com o AD ou a máquina do JustSSO indisponível.
Para utilizar este recurso, você deverá seguir os passos a seguir e depois habilitar esta opção na tela de configuração do JustSSO.
1. Localize a seção “Enable provisioning API” na aba “settings” da página “Users and groups”
Marque a opção “Enable provisioning API”.
Agora clique no botão “Save Changes” para finalizar o processo.
Configurando o Just SSO
A configuração do Just SSO é relativamente simples e consiste na informação de 2 conjuntos de parâmetros relacionados por sua vez à comunicação do Just SSO com o serviço de diretório e com o Google Apps.
1. Acesse https://IP_DO_JUSTSSO_VM:8443/JustSSO-Admin/ e informe o login e a senha passados a você quando da aquisição do produto.
2. Na aba “Comunicação com o Serviço de Diretório”, você informará os dados necessários para o Just SSO comunicar com o serviço de diretório:
A tabela abaixo dá maiores detalhes sobre cada um dos campos desta tela.
| Parâmetro | Valor |
|---|---|
| Serviço de Diretório | Selecione a opção correspondente ao seu serviço de diretório. Pode ser AD (da Microsoft) ou OpenLDAP. |
| Url do Serviço de Diretório | Exemplo: ldap://10.0.2.15:636 |
| Base DN | Base Distinguished Name dos usuários. Ex: cn=Users,dc=seudominio,dc=com,dc=br |
| Login | Informe uma conta do serviço de diretório com direitos de "operador" ou com permissão suficiente para modificar senhas dos usuários no seu serviço de diretório. Ex.: CN=Administrador,CN=Users,DC=seudominio,DC=com,DC=br |
| Senha | Informe a senha da conta informada no campo anterior. |
| Senha – Confirmação | Confirme a senha informada no campo anterior. |
| Mecanismo de Autenticação | Indique se é Simple (padrão) ou None. |
| Protocolo de Autenticação | Padrão é SSL |
| Chave de Segurança | Faça o upload de um certificado gerado pelo seu serviço de diretório para permitir a comunicação com o Just SSO. |
| Nome do atributo de Email | Nome do atributo do seu serviço de diretório que contém os e-mails dos usuários. Ex: userPrincipalName |
| Nome do atributo de Senha | Nome do atributo do seu serviço de diretório que contém as senhas dos usuários. Ex: userPassword |
3. Clique no botão Salvar;
4.Clique na aba “Comunicação com o Google Apps” para fornecer as informações necessárias para a comunicação do Just SSO com o Google Apps:
A tabela abaixo dá maiores detalhes sobre cada um dos campos desta tela.
| Parâmetro | Valor |
|---|---|
| Domínio | Corresponde ao seu domínio no Google Apps. Exemplo: justdigital.com.br |
| Chave Privada | Carregue aqui a chave privada enviada para você via e-mail. |
| Chave Pública | Carregue aqui a chave pública enviada para você via e-mail. |
| Mostrar página intermediária? | Marque esta opção para exibir uma página intermediária (com alertas, destaques, comunicados, ...) após o login do usuário. |
| Replicar senha dos usuários no Google Apps após Alteração de Senha? | Marque esta opção se desejar que as senhas dos usuários sejam replicadas no Google Apps quando estes atualizarem a senha através do JustSSO. Nota: Para funcionar, você deve habilitar a funcionalidade “Provisioning API” no painel de controle do seu Google Apps. |
| Replicar senha dos usuários no Google Apps após Login? | Marque esta opção se desejar que as senhas dos usuários sejam replicadas no Google Apps quando estes se logarem através do JustSSO. Nota: Para funcionar, você deve habilitar a funcionalidade "Provisioning API" no painel de controle do seu Google Apps. |
| Otimizar replicação das senhas dos usuários no Google Apps? | Marque esta opção se desejar que as senhas dos usuários sejam cacheadas (salvas de modo criptografado) no Just SSO, de forma a otimizar o processo de replicação de senhas. Desta maneira, a senha no Google Apps será atualizada apenas quando o valor informado pelo usuário for diferente daquele previamente cacheado no sistema. |
Comentários adicionais
É importante ressaltar que o Google Apps não utiliza o sistema de SSO para autenticar comunicações via POP ou IMAP. Por isso, se você desejar que seus usuários tenham acesso através de POP ou IMAP, lembre-se que:
- As políticas de acesso definidas no AD não serão checadas quando o usuário acessar seu e-mail via POP/IMAP, pois ele não passará pelo SSO.
- Se este ponto for crítico para a sua empresa, você pode optar por desabilitar o acesso POP/IMAP para todos os usuários do seu domínio, forçando-os a acessar via browser (inclusive a partir do celular). Para isso, basta acessar a página de gerenciamento do seu domínio no Google Apps, acessar o menu “Configurações do serviço” -> E-mail e procurar pela opção “Desative acesso POP e IMAP para todos os usuários do domínio.”, marcando-a e em seguida salvar a nova configuração. (ver mais informações em http://www.google.com/support/a/bin/answer.py?hl=pt_BR&answer=105694)
- Caso você deseje que seus usuários contem com a opção de acessar o e-mail via POP/IMAP, lembre-se que a validação da senha deles será feita no próprio Google Apps, isto é, com as senhas lá armazenadas, que não necessariamente estarão idênticas ao do seu AD. Neste caso, uma possibilidade é considerar a possibilidade de habilitar a replicação de senhas a partir do SSO no momento do login para minimizar este “risco”.
Como medida adicional de segurança, você pode optar por utilizar um proxy reverso para intermediar o acesso ao Just SSO.
