O que é o SSO?
Antes de entender o que é o Single Sign-On, devemos passar pelo modo como a autenticação tradicional funciona.
- Um serviço apresentará ao usuário uma página de login na qual o usuário deve enviar um conjunto de credenciais de login, ou seja, nome de usuário e senhas. Alguns serviços podem solicitar mais informações de autenticação, como uma senha única.
- As credenciais enviadas pelo usuário são validadas em relação àquelas presentes no banco de dados no serviço.
A autenticação tradicional é bastante intuitiva; tudo é gerenciado dentro do serviço, fornecendo uma maneira simples para os usuários autenticarem. No entanto, se um usuário precisar acessar vários aplicativos com um conjunto diferente de credenciais de login para cada aplicativo, isso se tornará incómodo para o usuário. O usuário deve lembrar várias credenciais e cumprir políticas de senha diferentes.
O Single Sign-On é um recurso que permite acessar o Zoho e aplicativos de terceiros com um único envio de credenciais do usuário. Os usuários não precisam lembrar de uma variedade de nomes de usuário e senhas para cada aplicativo que precisam acessar. O Zoho usa o SAML para obter o SSO com aplicativos de terceiros.
O que é o SAML?
SAML significa Security Assertion Markup Language. É uma especificação padrão da indústria para autorização federada. A autorização federada permite que os usuários obtenham acesso aos aplicativos sem transferir ou armazenar as credenciais do usuário.
Fluxo do Usuário SSO
Papéis
- Provedor de identidade (IdP)
- Um provedor de identidade mantém um diretório de credenciais do usuário.
- Um IdP autentica um usuário e envia informações de autorização sobre o usuário para o provedor de serviços.
- Provedor de Serviços (SP)
- Um site que hospeda serviços ou aplicativos para usuários.
- Um provedor de serviços depende do IdP para autenticar um usuário.
Fluxo iniciado pelo IdP
- O usuário deseja acessar um serviço Zoho.
- O usuário efetua login no IdP e escolhe o aplicativo Zoho.
- O IdP criará uma resposta de asserção SAML assinada, que é enviada ao endpoint de URL do ACS (Assertion Consumer Service) no Zoho.
- Zoho validará a resposta de asserção SAML. Após a validação bem-sucedida, o usuário terá acesso a qualquer serviço Zoho para o qual esteja autorizado.
Nota: URL do ACS – Este URL é o URL de destino do Zoho, no qual a resposta do SAML deve ser enviada pelo IdP.
Nota: ID da entidade – o emissor que emite o pedido de SAML Zoho.com
SP fluxo iniciado
- O usuário deseja entrar em um serviço Zoho.
- Zoho gera uma solicitação de autenticação SAML e a envia para o IDP por meio da ligação HTTP-Redirect.
- O IdP autenticará o usuário e formará uma resposta de asserção SAML assinada, que é enviada ao endpoint de URL do ACS no Zoho.
- Zoho validará a resposta de asserção SAML. Se o usuário estiver autorizado a usar o serviço Zoho, será concedido acesso.
Configurar SSO
O SSO via SAML envolve Zoho confiando nas asserções fornecidas pelo seu IdP para conceder acesso aos seus usuários. Essa confiança deve ser estabelecida configurando o SAML no seu IdP e no Zoho.
- Faça login como administrador em seu IdP e obtenha o URL de login, o URL de logoff e o certificado codificado em base 64 .
- Faça login no Zoho como administrador e envie esses detalhes na guia Autenticação SAML , em Preferências .
- Depois de salvar a configuração, você poderá baixar um arquivo de metadados do Zoho. O arquivo de metadados conterá o URL do ACS , o URL de logoff do provedor de serviços , o ID da entidade e o certificado Zoho (se a resposta de logoff estiver ativada).
- Carregue este arquivo de metadados no seu IdP para concluir a configuração.