Para configurar um método de autenticação funcional, temos primeiro de configurar um servidor de autenticação.
A primeira etapa consiste em selecionar o método de autenticação necessário.
Clique em Adicionar servidor.
Selecione o Método no menu pendente.
A função Servidor de autenticação é dinâmica e apresenta apenas os campos que são necessários para o método de autenticação selecionado.
Preencha os campos com exatidão para garantir uma ligação correta aos servidores.
Opções para LDAP, LDAP-MD5, LSAPS, LDAPS-MD5, Radius e SAML
Opção
Descrição
Método
Escolher um método de autenticação
LDAP - LDAP básico com nomes de utilizador e palavras-passe enviados em texto claro para o servidor LDAP.
LDAP-MD5 - LDAP básico com nome de utilizador em texto simples e palavra-passe com hash MD5 para maior segurança.
LDAPS - LDAP sobre SSL. Envia a senha em texto claro dentro de um túnel criptografado entre o ADC e o servidor LDAP.
LDAPS-MD5 - LDAP sobre SSL. A palavra-passe é hash MD5 para maior segurança dentro de um túnel encriptado entre o ADC e o servidor LDAP
Nome
Dê um nome ao seu servidor para fins de identificação - este nome é utilizado em todas as regras.
Endereço do servidor
Adicionar o endereço IP ou o nome do anfitrião do servidor de autenticação
Porto
Para LDAP e LDAPS, as portas são definidas como 389 e 636 por defeito.
Para o Radius, a porta é geralmente 1812.
Para SAML, as portas são definidas no ADC.
Domínio
Adicione o nome de domínio do servidor LDAP.
Formato de início de sessão
Utilize o formato de início de sessão de que necessita.
Nome de utilizador - com este formato escolhido, apenas é necessário introduzir o nome de utilizador. Todas as informações de utilizador e domínio introduzidas pelo utilizador são eliminadas e são utilizadas as informações de domínio do servidor.
Nome de utilizador e domínio - O utilizador deve introduzir a sintaxe completa do domínio e do nome de utilizador. Exemplo: minhaempresa\jdoe OU jdoe@minhaempresa. As informações de domínio introduzidas ao nível do servidor são ignoradas.
Em branco - o ADC aceitará tudo o que o utilizador introduzir e enviá-lo-á para o servidor de autenticação. Esta opção é utilizada quando se utiliza MD5.
Descrição
Adicionar uma descrição
Base de pesquisa
Este valor é o ponto de partida para a pesquisa na base de dados LDAP.
Exemplo dc=minhaempresa,dc=local
Condição de pesquisa
As condições de pesquisa devem estar em conformidade com o RFC 4515. Exemplo:
Efetuar uma pesquisa de um utilizador administrador de domínio no servidor de diretórios.
Palavra-passe
Palavra-passe para o utilizador administrador do domínio.
Tempo morto
O período de tempo após o qual um servidor inativo é marcado como ativo novamente
Opções para autenticação SAML
IMPORTANTE: Ao configurar a autenticação via SAML, é necessário criar um aplicativo corporativo para a autenticação Entra ID. As instruções para fazer isso estão disponíveis no capítulo Configurando o aplicativo de autenticação Entra ID no Microsoft Entra
Opção
Descrição
Método
Escolher um método de autenticação
LDAP - LDAP básico com nomes de utilizador e palavras-passe enviados em texto claro para o servidor LDAP.
LDAP-MD5 - LDAP básico com nome de utilizador em texto simples e palavra-passe com hash MD5 para maior segurança.
LDAPS - LDAP sobre SSL. Envia a senha em texto claro dentro de um túnel criptografado entre o ADC e o servidor LDAP.
LDAPS-MD5 - LDAP sobre SSL. A palavra-passe é hash MD5 para maior segurança dentro de um túnel encriptado entre o ADC e o servidor LDAP
Nome
Dê um nome ao seu servidor para fins de identificação - este nome é utilizado em todas as regras.
Fornecedor de identidade
Correspondência de certificados IdP
A correspondência de certificados IdP refere-se ao processo de verificação de que o certificado digital utilizado por um IdP (Identity Provider) para assinar asserções SAML corresponde ao certificado em que o SP (Service Provider) confia. Esta validação garante que o IdP é legítimo e que as asserções que envia são autênticas e inalteradas. Normalmente, o SP armazena o certificado do IdP nos seus metadados e compara o certificado incorporado nas asserções SAML com o certificado armazenado para determinar uma correspondência.
ID da entidade IdP
Uma ID de entidade SAML IdP é um identificador globalmente único que serve de endereço definitivo para um fornecedor de identidade (IdP) no ecossistema SAML (Security Assertion Markup Language). Este identificador é normalmente um URL ou URI que distingue exclusivamente o IdP de outras entidades envolvidas em processos de autenticação e autorização baseados em SAML. Desempenha um papel crucial no estabelecimento da confiança e na facilitação da comunicação segura entre IdPs, Fornecedores de Serviços (SPs) e utilizadores.
URL SSO do IdP
Um URL SSO de IdP, abreviatura de URL de início de sessão único, é um URL de ponto final específico fornecido por um fornecedor de identidade (IdP) que serve como gateway de autenticação para iniciar sessões de início de sessão único (SSO). Ao redirecionar um utilizador para este URL, o IdP pede-lhe que se autentique utilizando as suas credenciais e, após uma autenticação bem sucedida, redirecciona-o para o fornecedor de serviços (SP) com uma asserção que contém as suas informações de identidade. Esta afirmação é então validada pelo SP, permitindo que o utilizador aceda aos recursos do SP sem ter de se autenticar novamente.
URL de desconexão do IdP
O URL de Terminação de Sessão SAML IdP é um ponto final específico no Fornecedor de Identidade (IdP) que inicia e gere o processo de Terminação de Sessão para sessões Single Sign-On (SSO). Quando um utilizador clica no botão de terminar sessão numa aplicação, a aplicação redirecciona o utilizador para o URL de terminar sessão do IdP. Em seguida, o IdP invalida a sessão do utilizador em todas as partes confiáveis associadas à autenticação SSO e envia uma resposta de fim de sessão para a aplicação, terminando efetivamente a sessão do utilizador em todas as aplicações ligadas.
Certificado IdP
Um certificado SAML IdP é um certificado digital X.509 emitido por uma autoridade de confiança para um fornecedor de identidade (IdP) que participa em protocolos de autenticação SAML (Security Assertion Markup Language). Este certificado serve como um meio seguro de verificar a identidade do IdP e autenticar a integridade e a confidencialidade das mensagens SAML trocadas entre o IdP e os fornecedores de serviços (SPs).
Pode selecionar o certificado IdP que terá instalado no ADC utilizando o menu pendente.
Descrição
Uma descrição para a definição.
Procurar utilizador
Efetuar uma pesquisa de um utilizador administrador do domínio.
Palavra-passe
Para especificar a palavra-passe do utilizador admin.
Fornecedor de servidores
ID da entidade SP
Um ID de Entidade SP é um identificador único que serve como um endereço global para um Fornecedor de Serviços (SP) específico no contexto do protocolo SAML. É uma forma normalizada de identificar um SP e é normalmente um URL ou outro URI que identifica os metadados SAML do SP, que contém informações críticas como certificados de encriptação e pontos finais de autenticação.
Certificado de assinatura SP
Um Certificado de Assinatura SAML SP é um certificado X.509 usado por um Provedor de Serviços (SP) para assinar respostas SAML, garantindo a autenticidade e a integridade das mensagens trocadas entre o SP e o Provedor de Identidade (IdP) durante a autenticação Single Sign-On (SSO). O SP assina a resposta usando sua chave privada, e o IdP verifica a assinatura usando a chave pública associada ao certificado, confirmando a identidade do remetente e que o conteúdo da mensagem não foi adulterado.
SP Tempo limite da sessão
O tempo limite da sessão SP refere-se à duração máxima durante a qual a sessão de autenticação de um utilizador é considerada válida no lado do Fornecedor de Serviços (SP) após um Single Sign-On (SSO) bem sucedido através de um Fornecedor de Identidade (IdP). Após este tempo especificado, o SP termina a sessão e exige que o utilizador volte a autenticar-se para recuperar o acesso a recursos protegidos. Este mecanismo ajuda a proteger contra o acesso não autorizado e garante que as sessões de utilizador não ficam inactivas durante longos períodos.
