Tipo de provedor de autenticação SAML
Sobre o SAML (Security Assertion Markup Language)
SAML (do inglês Security Assertion Markup Language) é um formato de dados baseado em XML e usado para autenticar e autorizar usuários entre sistemas separados. O SAML é frequentemente usado como uma solução de Acesso único (SSO), inclusive para o Blackboard. Quando instalado e configurado corretamente, o SAML permite que os usuários do Blackboard façam acesso usando seu nome de usuário e senha de outra instituição ou aplicativo. O acesso único economiza tempo para administradores e usuários, fornecendo uma integração perfeita para efetuar o acesso.
As informações do usuário são passadas entre sistemas em uma declaração de SAML. O provedor de identidade é o host de terceiros da conta do usuário, e sua instância do Blackboard atua como o provedor de serviços. O provedor de identidade envia atributos que a Blackboard usa para criar ou atualizar uma conta para o usuário. Esses atributos podem incluir informações como nome de usuário, nome, sobrenome e endereço de e-mail e são empacotados em um token de segurança como uma declaração do SAML. O provedor de identidade envia essa declaração SAML para o Blackboard quando o usuário insere suas informações de acesso usando o acesso único. Se o nome de usuário não corresponder a nada no sistema, a Blackboard criará uma nova conta com os atributos de usuário contidos na declaração SAML.
O Building Block de SAML simplifica a configuração do acesso único. Após a ativação do Building Block, um novo tipo de autenticação aparecerá na lista Criar provedor no Painel do administrador > Autenticação, permitindo que você configure o serviço de forma adequada.
O Building Block SAML estabelece uma única conexão entre o Blackboard e um provedor de identidade. Você pode criar vários itens de provedores de autenticação SAML para conectar-se a vários provedores de identidade. Além disso, o SAML não substitui totalmente o fluxo de trabalho de acesso do Blackboard. Os usuários podem acessar no Blackboard usando suas credenciais normalmente, se preferirem.
Ativar o Building Block do SAML
Navegue até o Painel do administrador.
Em Integrações, clique em Building Blocks.
Clique em Ferramentas instaladas.
Localize Fornecedor de autenticação – SAML na lista e defina seu status como disponível.
No Painel do administrador, em Integrações, clique em Autenticação.
O SAML agora é exibido na lista Criar provedor na página do Provedor de autenticação.
Definir configurações
Você pode definir as configurações para solucionar problemas ou assegurar a segurança de sua conexão SAML.
Navegue até o Painel do administrador.
Em Integrações, clique em Building Blocks.
Clique em Ferramentas instaladas.
Localize Provedor de autenticação – SAML na lista. Abra o menu e clique em Configurações. Você tem as seguintes opções:
Regenerar certificado: clique em Regenerar para regenerar o certificado SAML. Pode ser necessário gerar o certificado outra vez para manter a conexão segura ou se o certificado expirar.
Nota
Depois de gerar o certificado novamente, é preciso recarregar os metadados do Provedor de serviços para o Provedor de identidade. Quando você selecionar Gerar novamente, o sistema solicitará que confirme a etapa.
Nota
Se você gerar um novo certificado nas configurações de B2, será necessário alternar o SAML B2 para Inativo e, então, voltar para Ativo para forçar a alteração. Depois, você pode retornar às configurações do provedor e gerar os novos metadados para importar para o IDP. Se você não alternar as configurações, o certificado antigo ainda poderá ser incluído ao gerar novos metadados. O IDP não será atualizado e, na próxima vez que o Blackboard for reiniciado, ele apresentará o novo certificado. A autenticação SAML será interrompida por causa dessa incompatibilidade.
Configurações de expiração de asserção: nesta seção, você pode ajustar o Tempo de expiração (ResponseSkew) e o Limite de idade da sessão SAML. Talvez seja necessário editar o valor ResponseSkew se o servidor Blackboard estiver em um fuso horário diferente do servidor do provedor de identidade. A diferença de tempo pode fazer com que as declarações SAML expirem antes que os usuários sejam autenticados corretamente. As sessões SAML expiram no período de tempo em limite de idade da sessão SAML. Clique em Não limitar a duração da sessão se quiser permitir que as sessões nunca expirem.
Configurações do algoritmo de assinatura: escolha um tipo de algoritmo de assinatura que atenda às suas necessidades de segurança ou conforme exigido pelos provedores de identidade. Depois de selecionar o Tipo de algoritmo de assinatura, reinicie o Building Block SAML para aplicar as novas configurações.
Clique em Enviar para salvar as alterações.
Criar e configurar um provedor de autenticação SAML
Clique no botão Criar Provedor e selecione o tipo de provedor de autenticação SAML.
Digite um nome e uma descrição opcional para o provedor.
Defina a Disponibilidade do provedor de autenticação como Ativo.
Defina o Método de pesquisa do usuário como Nome de usuário ou Código de identificação do lote.
Defina Restringir por nome de host para Utilizar o provedor para qualquer nome de host.
Se desejar, clique em Restringir este provedor apenas ao nome de host especificado. Digite o nome de host no campo Nomes de host restritos que aparecer.
No campo Texto do link, digite o título do link como deseja que ele apareça na página de acesso do Blackboard.
Você também pode adicionar um ícone na página de acesso, se desejar. Clique em Pesquisar para carregar um ícone para a página de acesso.
Clique em Salvar e configurar para continuar.
Na página de Configurações de autenticação SAML, você define as configurações de provedores de serviços e de identidade para estabelecer conexões de confiança. O provedor de identidade é o host de terceiros da conta do usuário e sua instância do Blackboard atua como o provedor de serviços.
Configurações do provedor de serviços
O URL de Assertion Consumer Service é exibido no campo URL de ACS. Um provedor de identidade pode solicitar esse URL para completar as configurações da parte deles.
Digite um nome para o Código de entidade. Esse ID será preenchido nos metadados do provedor de serviços.
Marque a caixa de seleção habilitar Acesso único automático para permitir que os usuários ignorem a tela de acesso do Blackboard se já tiverem feito acesso em um provedor de identidade confiável.
Na seção Tipo de serviço de saída do sistema único, você encontra três caixas de seleção. Clique em Post e Allow ADFS LogoutResponse se o ADFS for o provedor de identidade. Quando Permitir resposta de saída do sistema do ADFS é selecionada, a sessão do provedor de identidade de um usuário termina quando ele faz saída do sistema do Blackboard.
Para estabelecer uma conexão de confiança, você precisa compartilhar seus metadados com o provedor de identidade. Clique no botão Gerar ao lado de Metadados do provedor de serviços.
Compartilhe seus metadados com o provedor de identidade. Depois que eles salvarem os metadados, a conexão de confiança é estabelecida.
Selecione uma Fonte de dados para esse provedor de autenticação. A fonte de dados é a fonte das contas fornecidas por esse provedor de autenticação. O valor padrão é Interno. Recomenda-se que você crie uma fonte de dados específica para usar com o provedor de autenticação SAML.
Na lista Fontes de dados compatíveis, selecione as fontes de dados com as quais esse provedor de autenticação deve ser compatível. Isso é importante quando o provedor de autenticação possui contas que são compartilhadas com fontes de dados existentes. Se o usuário existir e estiver associado a uma fonte de dados sem marcação, o usuário não será autenticado com sucesso.
Marque a caixa de seleção para fazer o sistema criar automaticamente uma nova conta para o usuário se as informações deles não forem encontradas.
Na caixa de texto Mensagem de erro, é possível inserir uma mensagem personalizada para os usuários caso a autenticação de SAML não funcione como o esperado.
Configurações do provedor de identidade
Se você selecionar Apontar o provedor de identidade, carregue o arquivo de metadados dos provedores de identidade que eles compartilharam com você. Você tem a opção de inserir o URL dos metadados do provedor de identidade, mas é recomendado carregar o arquivo de metadados. Apenas uma dessas versões de metadados é mantida no sistema.
Se você selecionar Federação da identidade, um campo surgirá para poder inserir o URL do serviço de descoberta.
Nota
Após a configuração, também será necessário registrar os metadados do provedor de serviços para a Comunidade da federação, como InCommon, Federação do Reino Unido etc.
Associar atributos de SAML
Configure os Atributos de SAML para que possam se associar de forma apropriada com as definições de atributos do provedor de identidade. Se um atributo for deixado em branco, o Building Block do SAML ignorará o atributo ao analisar a resposta SAML.
Clique em Enviar para salvar as informações.
A função de um usuário na instituição em seu sistema Blackboard é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:
Função principal de instituição (SAML) | Função da instituição do Blackboard |
|---|---|
Aluno | Aluno |
Pessoal | Pessoal |
Universidade | Universidade |
A função de um usuário em um curso é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:
Matrículas em curso (SAML) | Função do curso do Blackboard |
|---|---|
Aluno | Aluno |
Instrutor | Instrutor |
Desenvolvedor de Conteúdo | Desenvolvedor de Cursos |
Membro | Aluno |
Gerente | Aluno |
Administrador | Aluno |
Assistente de Ensino | Assistente de Ensino |
Mentor | Instrutor |
Se você espera que a resposta do provedor de identidade inclua vários valores para um atributo, formate sua resposta SAML conforme segue.
<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue>Learner@batchUid:TEST_COURSE_003 </saml2:AttributeValue> <saml2:AttributeValue>Learner@batchUid:TEST_COURSE_004 </saml2:AttributeValue> </saml2:Attribute>
Testar a conexão
Teste a conexão para garantir que esteja funcionando corretamente. Faça logout do Blackboard e acesse o sistema novamente usando o link SAML. Digite as credenciais de sua conta para que o site externo faça o acesso. Você será levado de volta ao Blackboard quando fizer acesso com êxito.
Saia do Blackboard e uma mensagem será exibida perguntando se você deseja encerrar todas as sessões relacionadas ou continuar. Se não fizer nada, o sistema encerrará todas as sessões em dois minutos. Caso deseje continuar sua sessão, precisará conectar-se novamente para sua segurança.
Solucionar problemas
Se você ou seus usuários se depararem com erros, consulte as dicas de solução de problemas a seguir.
Se um erro for exibido antes do redirecionamento para a página de acesso do provedor de identidade, os metadados do provedor de identidade poderão ser inválidos.
Se um erro for exibido depois que você fizer o acesso na página do provedor de identidade, os motivos possíveis são:
O mapeamento de atributos entre o provedor de serviços e o provedor de identidade está incorreto ou o provedor de identidade não retornou um código de usuário remoto válido.
A resposta SAML do provedor de identidade não foi validada pelo provedor de serviços. Isso pode ter sido causado por:
O provedor de identidade assina a resposta SAML com um certificado que não é emitido por uma autoridade de certificação válida e o armazenamento de chaves do provedor de serviços não possui esse certificado.
O relógio do sistema do provedor de serviços está incorreto.
Para encontrar mais informações sobre erros, abra o arquivo Bb-serviços-log.txt ou o painel de registro visual e pesquise palavras-chave como
Erro na autenticaçãoouBbSAMLExceptionHandleFilterVocê pode usar o console do desenvolvedor do Chrome, o plug-in SAML Tracer para Firefox ou o SAML Message Decoder for Firefox para localizar uma resposta SAML.