Ativar as ligações Active Directory Federation Services (AD FS) SSO com a sua conta OVHcloud

Objetivo

Pode utilizar a autenticação SSO (Single Sign-On) única para se ligar à sua conta OVHcloud. Para ativar estas ligações, a sua conta e os seus serviços AD FS (Active Directory Federation Services) devem ser configurados com a ajuda das autenticações SAML (Security Assertion Markup Language).

Este manual explica-lhe como associar a sua conta OVHcloud a um Active Directory externo.

Requisitos

• Os serviços AD FS (Active Directory Federation Services) devem ser executados no seu servidor
• Ter uma conta OVHcloud

Acesso à Área de Cliente OVHcloud

• Ligação direta: SAML SSO
• Caminho de navegação: Identidade, Segurança e Operações > Users > SSO connection

Instruções

Estabelecer a confiança AD FS

O seu AD FS atua como fornecedor de identidade. Os pedidos de autenticação da sua conta OVHcloud só serão aceites se o tiver declarado previamente como organismo terceiro de confiança.

No contexto Active Directory, isto significa que deve ser adicionado como Relying Party Trust.

No gestor dos Servidores, abra o menu Tools e selecione AD FS Management.

Clique em Relying Party Trusts.

A seguir, clique em Add Relying Party Trust....

Selecione Claims aware e valide com o botão Start.

Pode introduzir manualmente as informações sobre o organismo terceiro de confiança ou importá-las a partir de um ficheiro de metadados.

Importar os metadados OVHcloud SP

Pode obter o ficheiro de metadados adequado através das seguintes ligações:

• Metadados da região da UE
• Metadados da região CA

Selecione o Import data about the relying party from a file e selecione o seu ficheiro de metadados.

A seguir, clique no botão Next.

Introduza um nome de apresentação para o organismo terceiro de confiança e clique no botão Next.

Clique em Next na janela do controlo de acesso.

Clique novamente em Next para continuar.

Clique no botão Close na última janela. A aprovação da OVHcloud como organismo terceiro de confiança foi adicionada ao seu AD FS.

Correspondência dos atributos LDAP aos atributos SAML

Clique na entrada da OVHcloud na secção "Relying Party Trusts".

A seguir, clique em Edit Claim Issuance Policy....

Clique no botão Add Rule....

Clique em Next.

Introduza um nome de regra e defina a sua tabela de correspondência.

Selecione Active Directory como Attribute store.

Quando terminar, clique no botão Finish.

Clique no botão Apply e valide com OK.

Uma vez terminada a tabela de correspondências, o seu serviço AD FS confia agora na OVHcloud enquanto fornecedor de serviços. O passo seguinte consiste em assegurar-se de que a conta OVHcloud confia no seu AD FS enquanto fornecedor de identidade.

Determinar a confiança da conta OVHcloud e configurar a ligação

A adição do AD FS como fornecedor de identidade de confiança pode ser efetuada na Área de Cliente OVHcloud, onde poderá fornecer os metadados do fornecedor de identidade.

Abra a página SAML SSO.

Na secção SSO connection, insira os metadados XML do seu serviço AD FS. O campo Nome do atributo do grupo é facultativo neste caso. Clique em Confirmar.

É possível conservar os utilizadores locais marcando a caixa Manter os utilizadores da OVHcloud ativos.

Agora deve encontrar o AD FS como fornecedor de identidade, assim como os grupos predefinidos.

Para mais informações, clique no link situado abaixo do URL do serviço SSO.

O botão ... permite atualizar ou eliminar o SO, e consultar os respetivos detalhes.

O seu AD FS é agora considerado fornecedor de identidade de confiança. No entanto, deve mesmo assim adicionar grupos à sua conta OVHcloud.

Para resolver este problema, verifique as informações associadas ao atributo "Group" devolvidas pelo serviço AD FS.

Tome como exemplo o de um utilizador "John Doe" do seu Active Directory, como indicado na imagem abaixo.

Verifique a tabela de correspondências em AD FS:

Neste exemplo, o atributo "Group" reenviado pelo Active Directory para o utilizador "John Doe" é "title". Corresponde ao "job title" que é o manager@<my-domain>.com.

Também pode verificar isto na secção SAML:

<AttributeStatement>
    <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
        <AttributeValue>manager@<my-domain>.com</AttributeValue>
    </Attribute>
    ...
</AttributeStatement>

Isto significa que deve adicionar o grupo manager@<my-domain>.com à sua conta OVHcloud ligando-lhe um papel. Caso contrário, a sua conta OVHcloud não sabe o que o utilizador pode fazer.

Para adicionar este grupo, aceda à secção Identidades e aceda ao separador Grupos de utilizadores. Clique então no botão Declarar um grupo, introduza o nome do grupo e selecione o privilégio associado:

De seguida, poderá verificar que o grupo é adicionado à sua conta OVHcloud na secção Grupos:

Quando se ligar ao utilizador Active Directory "John Doe", a sua conta OVHcloud reconhecerá que o utilizador tem o papel "REGULAR", especificado pelo seu grupo.

Atenção: se conceder o privilégio Nenhum, será necessário atribuir permissões a este grupo através das políticas IAM.

De seguida, poderá desligar a sua conta e voltar a ligar-se ao seu AD FS enquanto fornecedor de identidade.

Ligação via SSO

Na página de identificação da OVHcloud, introduza o seu identificador de cliente seguido de /idp sem password e clique no botão Login.

De seguida, será redirecionado para a página de ligação AD FS. Introduza um login/password de um utilizador do seu Active Directory LDAP e clique no botão Sign in.

Já está conectado com o mesmo identificador de cliente, mas através do utilizador Active Directory e do SSO AD FS.

Quer saber mais?

Criar uma conta OVHcloud

Proteger a minha conta OVHcloud e gerir as minhas informações pessoais

Definição e gestão da palavra-passe da sua conta

Proteger a sua conta OVHcloud com a dupla autenticação

Como utilizar as políticas IAM a partir do seu Espaço Cliente

Fale com nossa comunidade de utilizadores.