MFA
Integração com ENTRA ID (Antigo Azure 3D) para autenticação OAuth 2.0
Antes de iniciar a integração com o Entra ID para autenticação OAuth 2.0, é essencial garantir que você tenha atendido a uma série de pré-requisitos. Abaixo, detalhamos cada um deles.
1.1 Produtos utilizados na integração do Entra IDcom o 4BIZ
Pacotes utilizados nesse Processo
PRODUTO | VERSÃO | NOME DO PACOTE |
|---|---|---|
Helium | 2.5.1+ | Helium-2.5.1.war |
Builder | 1.3.7.8.+ | 4biz-builder-1.3.7.8.war |
Inventory (INV) | 3.0.9 | citsmartinventory-3.0.9.war |
Events EVM | 3.0.9 | evm-3.0.9.war |
Imagens Docker Homologadas
PRODUTO | URL PARA DOWNLOAD DAS IMAGENS DOCKER |
|---|---|
ITSM | registry.cloud4biz.com/parceiros/itsmops:2.5.1.1 |
MONGO | docker.io/mongo:5.0.6 |
SOLR | registry.cloud4biz.com/parceiros/solr:9.4.1 |
TIKA | registry.cloud4biz.com/parceiros/tika:latest |
GRAPHMAIL | registry.cloud4biz.com/parceiros/graphmail:1.1.7 |
Necessário a inclusão dos seguintes paramentros abaixo no arquivo docker-compose.yml
1.2 Conta do Azure
Certifique-se de possuir uma conta válida no Azure. Se ainda não tiver uma, você pode criar uma gratuitamente no portal do Azure.
1.3 Assinatura do Entra ID
Verifique se você tem acesso a uma assinatura do Entra ID. Geralmente, as assinaturas do Azure incluem o Entra ID automaticamente, mas é importante verificar a disponibilidade.
1.4 Permissões de Administrador
É fundamental possuir permissões de administrador no portal do Azure para registrar aplicativos e configurar permissões no Entra ID.
1.5 Conhecimento Básico de OAuth 2.0 e OpenID Connect
Recomendamos ter um entendimento básico dos conceitos de OAuth 2.0 e OpenID Connect antes de prosseguir. Isso inclui familiaridade com os conceitos de autorização, fluxos de autenticação, tokens de acesso e identificação de usuário.
1.6 Ambiente de Desenvolvimento
Configure um ambiente de desenvolvimento adequado para testar e integrar a autenticação OAuth 2.0 com o Entra ID. Isso pode incluir a instalação de um IDE (Ambiente de Desenvolvimento Integrado), como Visual Studio Code, e um servidor local para hospedar seu aplicativo durante o desenvolvimento.
1.7 Configuração do Aplicativo de Destino
Antes de registrar o aplicativo no Entra ID, é necessário ter informações básicas sobre o aplicativo, incluindo nome, descrição e URL de redirecionamento. Certifique-se de ter definido claramente os escopos de permissão necessários para acessar recursos protegidos em nome dos usuários.
1.8 Configuração de Rede e Segurança
Verifique se todas as configurações de rede e segurança necessárias foram implementadas para permitir comunicação segura entre sua plataforma e o Entra ID. Isso pode incluir configurações de firewall, políticas de acesso e criptografia de dados.
1.9 Documentação Oficial do Entra ID
Consulte a documentação oficial do Entra ID para obter orientações detalhadas sobre como registrar um aplicativo, configurar permissões e implementar a autenticação OAuth 2.0.
A documentação pode fornecer insights valiosos e soluções para possíveis problemas durante o processo de integração. Garantir que todos esses pré-requisitos sejam atendidos ajudará a facilitar uma integração suave e bem-sucedida do Entra ID em sua plataforma, proporcionando uma experiência de autenticação segura e eficiente para seus usuários.
2.1 Realizar o registro do Aplicativo no portal da AZURE pela seguinte URL:
2.2 Será redirecionado para o portal de login da Microsoft AZURE
- Entre com a conta de usuário que tenha permissão no portal da Azure AD para realizar as configurações de aplicativo:
- Entre com a senha do usuário:
- Por segurança, selecione a opção NÃO, para não permanecer conectado.
2.3 Acessando a tela inicial do portal da Azure selecione a opção Gerenciar o Microsoft Entra ID na opção “Exibir” conforme a imagem abaixo:
2.4 Realizar o registro de aplicativo para integração do protocolo OAuth2 com plataforma 4BIZ, selecione a opção “Registro de aplicativo”:
- Selecione a opção “Novo registro”
- Nessa tela a configuração realizada baseada no cenário da Run2biz, preencha os dados do item 1 ao item 5, conforme a imagem abaixo de acordo com o cenário do seu ambiente:
1 - Escolha um nome amigável para registro do aplicativo: ITSM
2 - Escolha a opção de quem pode usar ou acessar esta API: Contas somente neste diretório organizacional (somente Run2biz Corporation – Único locatário)
Segue a ajuda disponibilizada pela propria Microsoft para escolha do tipo de conta de acordo com o seu ambiente
Noções básicas sobre os tipos de contas diferentes
Contas somente nesse diretório organizacional (somente Run2biz Corporation - único locatário)
- Todas as contas de usuário e convidado em seu diretório podem usar seu aplicativo ou API.
Use essa opção se seu público alvo for interno em sua organização.
Contas em qualquer diretório organizacional (qualquer locatário da Microsoft Entra ID - multilocatário)
- Todos os usuários com uma conta corporativa ou de estudante da MIcrosoft podem usar o aplicativo ou a API. Isso inclui escolas e empresas que usam o Office 365.
Use essa opção se o publico alvo for de clientes comerciais ou educacionais e para habilitar a multilocação.
Contas em qualquer diretório organizacional (qualquer locatário da Microsoft Entra ID - multilocatário) e contas pessoais da Microsoft por exemplo Skype.
- Todos os usuários com uma conta profissional, de estudante ou pessoal da Microsoft podem usar o aplicativo ou API. Isso inclui escolas e empresas que usam o Office 365, bem como contas pessoais que são usadas para entrar em serviços com Skype.
Use essa opção para direcionar ao maior conjunto possível de identidade da Microsoft e para habilitar a multilocação.
Somente contas pessoais Microsoft
- Contas pessoais para entrar em serviços como Sype.
Use essa opção para direcionar ao maior conjunto possível de identidade da Microsoft.
Devido a diferenças temporárias na funcionalidade, você pode ver erro se tentar alternar entre audiências com suporte após registro de aplicativo.
3 - URI de Redirecionamento: WEB
4 - URL que o aplicativo retornara à consulta: Ex: https://infra4biz.cloud4biz.com/4biz/login/oauth2/code/itsm
5 - Confira as informações acima e clique em: Registrar.
2.5 Para realizar a integração com o Entra ID serão necessarias o envio das seguintes informações da aplicação registrada para configuração na plataforma do 4BIZ:
Nome da Aplicação: ITSM
- ID do aplicativo (cliente): run2b1zts-4bd9-b6b4-a962-T404H2B6971S
- ID do diretório (locatário): a962T40d-be48-530d-29b1-T69H714H80BS
2.6 Siga os passos do item 1 ao 4 de cada imagem abaixo para realizar as configurações de permissões de APIs:
2.7 Siga os passos do item 1 ao 5 para adicionar as seguintes permissões na aplicação:
- email
- openid
- profile
- User.Read
2.8 É necessário conceder a confirmação de consentimento do administrador do ENTRA ID para a aplicação, siga os passos do item 1 ao 3 conforme imagem abaixo:
1 - Verifique se as 4 permissões estão vinculadas a aplicação;
2 - Clique em: Conceder consentimento do administrador para Run2biz Corporation;
3 - Clique em Sim para conceder a confirmação de consentimento do administrador
- Após ser concedido o consentimento do administrador, o campo status ficará conforme o item 2 da imagem abaixo:
2.9 Ainda no Registro de aplicativo, na opção “Certificados e segredos”, vamos gerar o token para a aplicação
Siga os passos do item 1 ao 5 para geração do token de acordo com o seu ambiente
LEMBRE-SE: o segredo do campo "Valor" não será exibido posteriormente, exceto imediatamente após a criação. Salve o segredo quando criado antes de sair dessa página, pois será utilizado para a integração com o 4BIZ.
2.10 Salve as informações dos sequintes campos para configurar o OAuth2 no 4BIZ
- ID do cliente: run2b1zts-4bd9-b6b4-a962-T404H2B6971S
- ID do diretório (locatário): a962T40d-be48-530d-29b1-T69H714H80BS
- Chave secreta do cliente campo “Valor”: EVE8Q~Fha8sc6u6D54w.jGGmtLV3sawWcpHNWabl
3.1 Acesse a URL da aplicação do 4BIZ para proceder com a configuração
- Acesse o ambiente https://infra4biz.cloud4biz.com/4biz/webmvc/login com um usuário que tenha permissão para configurar o OAuth2 na plataforma.
3.2 Verificar o ID do perfil de acesso default atribuído após a autenticação dos usuários no sistema. Na tela do 4BIZ clique nas seguintes opções:
1 - Clique no menu sanduiche;
2 - No campo de pesquisa digite o inicio da palavra “perfil”;
3 - Clique no campo “Perfil Acesso”.
1 - Clique no campo “Pesquisa de Perfil de Acesso”;
2 - Clique no campo “Pesquisar”;
3 - Nesse exemplo vamos utilizar o “ID 18 ” necessário para configuração dos proximos passos.
3.3 Verificar o ID do grupo de acesso default atribuído após a autenticação dos usuários no sistema. Na tela do 4BIZ clique nas seguintes opções:
1 - Clique no menu sanduiche;
2 - No campo de pesquisa digite o inicio da palavra “grup”;
3 - Clique no campo “Grupo”.
1 - Clique no campo “Nome”;
2 - No campo de pesquisa, vamos procurar pelo grupo de exemplo KEYCLOACK digite a palavra “key”;
3 - Verifique o Nome do grupo KEYCLOACK e o “ID 1102” necessário para configuração dos proximos passos.
3.4 Configurar os parâmetros ID perfil de acesso padrão do usuário e ID do grupo padrão. Na tela do 4BIZ clique nas seguintes opções:
1 - Clique no menu sanduiche;
2 - No campo de pesquisa digite o inicio da palavra “para”;
3 - Clique no campo “Parâmetros”.
1 - Clique na pesquisa e digite a palavra “ldap”;
2 - No campo ID 39 insira o valor do item 3.2 da documentação, nesse caso o valor será “18”;
3 - No campo ID 45 insira o valor do item 3.3 da documentação, nesse caso o valor será “1102”.
3.5 Configurar a integração do 4BIZ com o ENTRA ID através do protocolo OAuth2.
1 - Clique no menu sanduiche;
2 - No campo de pesquisa digite o inicio da palavra “oau”;
3 - Clique no campo “Oauth2”.
3.6 Na tela do 4BIZ clique na opção “Novo” para iniciar a configuração do OAuth2
3.7 Configuração dos metodos de OAuth2 na plataforma do 4BIZ
Siga os passos do item 1 ao 14 de acordo com as informações geradas no procedimento do passo 2 Registro do Aplicativo no portal do ENTRA ID
- Tipo de autenticação > OAuth2 - Externa
- Provider > Outros
- Domínio > itsm
- Nome do cliente > itsm
- ID do cliente > run2b1zts-4bd9-b6b4-a962-T404H2B6971S
- Chave secreta do cliente > EVE8Q~Fha8sc6u6D54w.jGGmtLV3sawWcpHNWabl
- Situação > Ativo
- URL de autenticação > https://login.microsoftonline.com/a962T40d-be48-530d-29b1- T69H714H80BS/oauth2/v2.0/token
- URI autorização > https://login.microsoftonline.com/a962T40d-be48-530d-29b1- T69H714H80BS/oauth2/authorize
- URI informações do usuário > https://graph.microsoft.com/oidc/userinfo
- Escopo > user.read+openid+profile+email
- Atributo identificador do usuário > email
- Marcar a Check Box > Renovar o token automaticamente
- Clicar em > Gravar
3.8 Após gravação das configurações, o metodo de autenticação estará salvo:
3.9 Abra o navegador em uma aba anônima para testar a configuração
- Observe que agora o domínio itsm que configuramos no passo 3.7 estará disponivel conforme imagem abaixo:
3.10 Clique no domínio itsm o seu acesso será redirecinado para o portal da Microsoft onde você deverá entrar com o seu usuário e senha:
Caso o usuário possua duplo fator de autenticação habilitado, será pedido o token de verificação.
- Após a realização do login bem sucedido no portal da Microsoft, você será redirecionado automaticamente com acesso a plataforma do 4BIZ.
Isso significa que toda a configuração realizada para a integração com o ENTRA ID e a plataforma do 4BIZ estão funcionando corretamente.
4. Considerações Finais
A integração do 4BIZ com o Entra ID usando OAuth 2.0 oferece uma maneira segura e eficaz de autenticar usuários em aplicativos e serviços. Ao seguir os passos detalhados neste documento, você poderá configurar com sucesso a autenticação OAuth 2.0 em sua plataforma, garantindo uma experiência de usuário fluida e segura.
Para mais informações e suporte técnico, entre em contato conosco.
Esse documento oferece uma visão abrangente das etapas necessárias para configurar a integração com o Entra ID, fornecendo informações técnicas detalhadas que podem ser compartilhadas com os clientes para orientação.
Referência:
