Como configurar Provedor SAML para autenticação com o Learning.rocks

Como configurar o Learning.rocks no seu SAML Provider

Google WorkSpace

1. Logar no admin do Google e clicar em Web and Mobile Apps, Add App, Custom.;
2. Preencher o nome do app como Learning.rocks;
3. Download Metadata (guarde esse arquivo pra enviar pra gente);
4. Na próxima tela, você vai configurar os dados de serviço do Learning.rocks;

• ACS URL - https://auth.skore.io/saml
• Entity ID - auth.skore.io
• Start URL - deixar em branco
• NameID format - selecionar EMAIL;
• Name ID - Basic Information > Primary Email

1. Baixar o XML de configuração.

AZURE ADFS

1. Entrar em Enterprise Applications;
2. Clicar em "New Application", "Create your own application";
3. Colocar nome "Skore.io" e selecionar "integrate any other application you don't find in your gallery";
4. Clicar em Single Sign-on e selecionar a opção SAML:
   1. Trocar Entity ID para: auth.skore.io
   2. Trocar Reply URL para: https://auth.skore.io/saml
5. Configure as permissões de usuário para permitir acesso dos grupos corretos à aplicação;
6. Configure os claims para passar o email do usuário como nameID;
7. Na aba de SAML Signing Certificate, campo Signing Option, selecione: Sign SAML Response;
8. Baixar o XML de configuração.

MICROSOFT ACTIVE DIRECTORY

1. Criar um novo Relaying Party;
2. Em Identifiers, cadastrar:

• auth.skore.io
• https://auth.skore.io

1. Em endpoints, configurar:

• SAML Assertion Consumer Endpoints:
  • Trusted URL: https://auth.skore.io/saml
  • Index: 1
• SAML Logout Endpoints:
  • Trusted URL: https://auth.skore.io
  • Response URL: https://auth.skore.io/saml

1. Em Advanced, garantir que o algoritmo está selecionado SHA-256;
2. Cadastrar um Claim Issuance Policy:

• Incoming Claim Type: E-mail Address
• Outgoing Claim Type: Name Id
• Outgoing Name Id Format: Email
• Checar "pass through all claim values"

1. Baixar o XML de configuração.

Keycloack

1. Acesso inicial:

• Acesse o Keycloak Admin Console;
• Defina onde o client será criado: 
  • Pode ser no Realm master, ou  
  • Em um novo Realm criado especificamente para essa integração.  

1. Criação do Client 

• No menu lateral, acesse Clients. 
• Clique em Create client para criar um novo client SAML.

1. Configurações básicas (Settings)

• Client ID: auth.skore.io  
• Name: Qulture Rocks  
• Root URL: https://auth.skore.io  
• Valid Redirect URIs: https://auth.skore.io/*  
• Master SAML Processing URL: https://auth.skore.io/saml  

1. SAML Capabilities

• Name ID format: email  
• Force POST binding: ON  
• Include AuthnStatement: ON  

1.  Signature and Encryption

• Sign documents: OFF
• Sign assertions: ON
• Signature Algorithm: RSA_SHA256
• Canonicalization method: EXCLUSIVE

1.  Chaves (Keys)

• Acesse a aba Keys;
• Desabilite a opção Signing keys config.

1. Client Scopes / Mapeamento de atributos

• Acesse a aba Client Scopes;
• Crie um novo Mapper com as seguintes configurações: 
  • Mapper type: User Property  
  • Name: email-nameid   
  • Property: email    
  • SAML Attribute Name: NameID
  • SAML Attribute Format: Basic  

1. Geração do XML de metadados

• Salve todas as configurações do client;
• Acesse Realm Settings;
• Abra a aba Endpoints;
• Clique em SAML 2.0 Identity Provider Metadata;
• O XML de configuração será exibido, faça o download do arquivo. 

Informações Adicionais sobre configuração do SAML Provider

Nós do Learning.rocks precisamos ter os seguintes pontos bem claros:

• Se usuários forem autenticados pelo seu provider, mas não existirem no Learning.rocks, devemos criá-los?
• Se sim, quais os nomes dos campos que deveremos utilizar para mapear para nossos campos de e-mail, nome e username?
  • Devemos adicioná-los a algum time específico? (opcional)