Skip to main content

Guia de configuração SAML para ADFS

Este tópico fornece instruções para configurar a autenticação SAML em uma instância do Blackboard com os Serviços de Federação do Active Directory (ADFS) como o Provedor de identidade (IdP). Seu ambiente Blackboard atua como o Provedor de serviços (SP). Estas etapas usam o ADFS versão 3.0 com o Windows Server 2012 R2, mas também podem ser aplicadas ao ADFS 2.0.

Provedor de serviços da Blackboard

  1. Acesse o Blackboard como administrador e navegue até Autenticação de > de administrador do sistema.

  2. Clique em Criar provedor > SAML.

  3. Insira as seguintes configurações:

    • Em Nome > digite ADFS SAML ou qualquer outro nome que desejar.

    • Em Provedor de autenticação > defina como Inativo.

    • Método de pesquisa do usuário > Nome do usuário

    • Restringir por nome de host > Usar este provedor para qualquer nome de host.

    • Em Texto do link > digite Acesso de ADFS ou qualquer outro nome que desejar.

  4. Clique em Salvar e configurar.

  5. No campo Código de entidade, verifique se o valor é o mesmo que o URL de ACS.

  6. Selecione Habilitar Acesso único Automático Tipo de serviço de Logout único Postar e Permitir ADFS LogoutResponse. Deixe Redirecionamento desmarcado ou desmarcado.

  7. Em Metadados do provedor de serviços, clique em Gerar e salve o arquivo XML no seu desktop.

  8. Se você estiver usando JIT, recomenda-se criar uma nova Fonte de dados para esse provedor com o nome de SAML. Caso contrário, use SYSTEM ou qualquer outro nome que escolher.

  9. Marque a caixa de seleção Habilitar o suprimento JIT para permitir que o sistema crie uma conta automaticamente quando um usuário desconhecido tentar acessar por meio desse provedor de autenticação SAML. Se não estiver selecionada, a conta de usuário precisará primeiro ser criada manualmente no Blackboard.

  10. Na lista Fontes de dados compatíveis, selecione as fontes de dados com as quais esse provedor de autenticação deve ser compatível.

  11. Clique em Apontar o provedor de identidade para o Tipo de provedor de identidade.

  12. Para os Metadados do Provedor de Identidade, selecione URL de metadados e defina a URL como uma das URLs de metadados do ADFS. https://[nome do host do servidor adfs]/FederationMetadata/2001-03/FederationMetadata.xml e selecione Validar.

    Nota

    Idealmente, o servidor ADFS precisa ter um certificado comercial. Se estiver usando um certificado autoassinado, a validação falhará. Você precisará baixar o arquivo FederationMetadata.xml e usar a opção Arquivo de metadados.

  13. Clique em Enviar.

Provedor de identidade ADFS

  1. No Servidor de ADFS, acesse o Console de gerenciamento de ADFS.

  2. Navegue até Relacionamentos de confiança > Confianças da terceira parte confiável > Adicionar confiança da terceira parte confiável.

  3. Clique em Começar na página do Assistente de Adicionar confiança da terceira parte confiável.

  4. Clique em Importar dados sobre a parte confiável a partir de um arquivo.

  5. Clique em Procurar e carregue o arquivo que foi criado na Etapa 6 da seção Blackboard SP. Clique em Avançar.

  6. Insira um nome de Exibição como yourlearnserver.blackboard.com e selecione Avançar.

  7. Clique em Eu não quero definir configurações de autenticação de vários fatores... e selecione Avançar.

  8. Clique em Permitir que todos os usuários acessem esta terceira parte confiável e selecione Avançar.

  9. Clique em Avançar na etapa Pronto para adicionar confiança em seguida selecione Fechar na etapa Encerrar.

  10. Logo após criar Confiança da terceira parte confiável, Editar regras de declaração deverá abrir, se a última caixa de seleção tiver sido marcada. Caso contrário, clique com o botão direito em Confiança da terceira parte confiável e selecione Editar Declarações.

Adicionar regras de declaração para Confiança da terceira parte confiável

Enviar atributos como declarações

A adição de regras de declaração para a confiança de terceira parte confiável envia atributos LDAP como declarações do servidor ADFS para o Blackboard. No console de gerenciamento do ADFS, clique com o botão direito em Confiança da terceira parte confiável.

Enviar nome de usuário

  1. Na guia Regras de transformação de emissão, selecione Adicionar regra.

  2. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações como o Modelo de regra de declaração e selecione Avançar.

  3. Na página Configurar regra, na caixa Nome de regra de declaração, digite Transformar nome de usuário em NomeID.

  4. No menu suspenso da Lista de Atributos, selecione Active Directory.

  5. Na caixa Mapeamento à esquerda, selecione SAM-Account-Name ou Empresa.

  6. Na caixa Mapeamento à direita, digite SamAccountName e selecione Encerrar.

Nota

O atributo código do nome precisa ter um tamanho mínimo de 6 caracteres

Enviar nome e sobrenome (opcional)

Se a opção Provisionamento JIT estiver selecionada na página Blackboard Configurações de autenticação SAML, o que significa que as contas de usuário serão criadas no Blackboard se não existirem, os atributos LDAP Nome e Sobrenome também poderão ser enviados do ADFS para o Blackboard mapeando os atributos de acordo.

  1. Na guia Regras de transformação de emissão, selecione Adicionar regra.

  2. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações como o Modelo de regra de declaração e selecione Avançar.

  3. Na página Configurar regra, na caixa Nome de regra de declaração, digite Enviar nome.

  4. No menu suspenso da Lista de Atributos, selecione Active Directory.

  5. Na caixa Mapeamento à esquerda, selecione Nome.

  6. Na caixa Mapeamento no lado direito, digite urn:oid:2.5.4.42 e selecione Concluir.

  7. Na guia Regras de transformação de emissão, selecione Adicionar regra.

  8. Na página Selecionar modelo de regra, selecione Enviar atributos LDAP como declarações como o Modelo de regra de declaração e selecione Avançar.

  9. Na página Configurar regra, na caixa Nome de regra de declaração, digite Enviar sobrenome.

  10. No menu suspenso da Lista de Atributos, selecione Active Directory.

  11. Na caixa Mapeamento à esquerda, selecione Sobrenome.

  12. Na caixa Mapeamento no lado direito, digite urn:oid:2.5.4.4 e selecione Concluir.

Transformar uma declaração de entrada

  1. Clique em Adicionar regra.

  2. Na página Selecionar modelo de regra, selecione Transformar uma declaração de entrada para o Modelo de regra de declaração e selecione Avançar.

  3. Na página Configurar regra, na caixa Nome de regra de declaração, digite Transformar e-mail em Código de nome.

  4. Tipo de declaração de entrada deve ser SamAccountName. Deve corresponder ao Tipo de declaração de saída criado na regra anterior.

  5. O Tipo de declaração de saída é o Código do nome.

  6. O Formato de código de saída é Não especificado.

  7. Confirme que Passar por todos os valores de declaração está selecionado e selecione Concluir.

  8. Clique em OK para salvar a regra e OK novamente para concluir os mapeamentos de atributo.

Exemplo de declaração de atributos

Depois de adicionar todas as regras de declaração mencionadas anteriormente para Confiança da terceira parte confiável, elas aparecerão na guia Regras de transformação de emissão.

A guia Regras de Transformação de Emissão.

Subject e AttributeStatement elementos semelhantes aos seguintes serão enviados no SAML POST do ADFS para o Blackboard depois que o usuário for autenticado:

<Subject>

    <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ">luke.skywalker</NameID>

    [SNIP]

</Subject>

 

<AttributeStatement>

    <Attribute Name="SamAccountName">

        <AttributeValue>luke.skywalker</AttributeValue>

    </Attribute>

    <Attribute Name="urn:oid:2.5.4.42">

        <AttributeValue>Luke</AttributeValue>

    </Attribute>

    <Attribute Name="urn:oid:2.5.4.4">

        <AttributeValue>Skywalker</AttributeValue>

    </Attribute>

</AttributeStatement>

Nota

Se os atributos do IdP não estiverem criptografados na resposta SAML, o complemento do rastreador SAML do navegador Firefox ou o Chrome SAML Message Decoder poderá ser usado para visualizar os atributos que estão sendo liberados do IdP e enviados ao Blackboard durante o processo de autenticação.

Definir Provedores de autenticação SAML como ativo

  1. No Blackboard, navegue até Autenticação de > de administrador do sistema.

  2. Abra o menu ao lado do nome dos Provedores de autenticação SAML e defina-o como Ativo.

O IdP do ADFS é configurado com êxito como um provedor de autenticação SAML e pode ser usado para acessar no Blackboard.

A página de acesso do Blackboard onde o IdP do ADFS é configurado com êxito como um provedor de autenticação SAML.

  1. Na página de acesso do Blackboard, selecione Fazer acesso com conta de terceiros.

  2. Selecione o Provedor de autenticação SAML.

  3. Insira as credenciais de acesso na página de acesso do ADFS.