DNN SAML Single Sign-On (SSO) com Keycloak como IDP

• Após a ativação bem-sucedida da licença, o painel de controle do plugin será aberto conforme mostrado abaixo.

• No painel de controle do plugin, clique em Metadados do Provedor de Serviços Botão no menu superior. Isso abrirá a página de metadados do provedor de serviços.
• Selecione a opção desejada. Formato NameID Selecione a opção desejada no menu suspenso (por exemplo, Endereço de e-mail ou Não especificado), com base na configuração do seu provedor de identidade, e clique em Economize botão para atualizar as configurações.
• O formato NameID define qual identificador de usuário (como e-mail ou nome de usuário) será enviado durante o processo de login SAML.

• Desloque-se até o Compartilhar metadados SAML seção.

Você pode obter os metadados do provedor de serviços SAML usando qualquer um dos dois métodos descritos abaixo para configurá-los em seu provedor de identidade.

A] Usando URL de metadados SAML ou arquivo de metadados

• Nesta página, você encontrará o URL dos metadados, bem como a opção para baixar o arquivo XML de metadados SAML.
• Copie o URL dos metadados ou faça o download do arquivo de metadados para configurá-los no seu provedor de identidade.
• Você pode consultar a captura de tela abaixo:

B] Carregar metadados manualmente

• Nesta página, você pode copiar manualmente os metadados do provedor de serviços, como: ID da entidade SP, URL do ACS, URL de logout do SP e compartilhe-o com seu provedor de identidade para configuração.
• Você pode consultar a captura de tela abaixo:

Etapas para configurar o Keycloak IdP

• Em sua Keycloak Administrador console, selecione o reino que você deseja usar.
• Clique em Clientes no menu à esquerda e clique em Criar cliente botão para criar um novo cliente/aplicativo.

• Selecionar SAML as Tipo de cliente, Insira SP-EntityID / Emissor como o ID do cliente do Metadados do Provedor de Serviços guia, que você obterá de Etapa 2B, entrar Nome da sua aplicação e insira Descrição.

• Clique no Seguinte botão.
• Forneça os detalhes conforme mencionado abaixo:

URL raiz	Deixe em branco ou forneça URL base da guia Metadados do Provedor de Serviços
URIs de redirecionamento válidos	As URL do ACS (Serviço de Asserção ao Consumidor) na aba Metadados do Provedor de Serviços do plugin

• Clique em Economize botão.

• De acordo com o relatório Configurações guia sob Recursos SAML seção, configure o Keycloak fornecendo os detalhes necessários:

Forçar vinculação POST	OFF
Formato de ID do nome da força	OFF
Formato de ID do nome	E-mail

• De acordo com o relatório As chaves guia, desabilite o Assinatura do cliente necessária alternancia.

• Clique no Economize botão.
• In Avançado guia, sob Configuração de endpoint SAML de granulação fina, insira os seguintes detalhes:

URL de vinculação POST do serviço de consumidor de asserção	As URL do ACS (Serviço de Asserção ao Consumidor) na aba Metadados do Provedor de Serviços do plugin
URL de vinculação de redirecionamento do serviço de logout (Opcional)	As URL de logout único na aba Metadados do Provedor de Serviços do plugin

• Clique em Economize botão.

Adicionar mapeadores

Baixar arquivo de configuração

Você configurou com sucesso o Keycloak como IdP (provedor de identidade) SAML para habilitar o login SSO do Keycloak em seu site DNN.

• Clique no Adicionar novo IDP botão para configurar um novo Provedor de Identidade.

• Na guia Configurações do Plugin, selecione Manto-chave como seu provedor de identidade da lista exibida.

• Após selecionar seu IdP na lista, a página Configurações do Provedor de Identidade será aberta. Nela, você pode clicar em... Carregar metadados do IdP botão para configurar o Provedor de Identidade automaticamente usando metadados ou inserir manualmente os detalhes necessários do Provedor de Identidade em Configurações do Provedor de Identidade.

Abaixo, detalhamos duas maneiras de configurar os metadados do seu provedor de identidade SAML no plugin.

A] Carregar metadados usando o botão Carregar metadados do IDP:

• Clique Escolher Ficheiro para carregar o arquivo XML de metadados usando o Carregar arquivo XML opção e, em seguida, clique em Escolher arquivoComo alternativa, forneça o URL de metadados no Insira a URL dos metadados seção e clique Buscar metadados para recuperar automaticamente a configuração do provedor de identidade.
• Você pode consultar a captura de tela abaixo:

B] Configure os metadados do provedor de identidade manualmente:

• Alternativamente, na guia Configurações do Provedor de Identidade, você pode preencher manualmente os campos obrigatórios, como por exemplo: Nome do IdP, ID da entidade do IdP e URL de Single Sign-On e clique Salvar configurações.

• Após carregar os detalhes dos metadados, volte ao Painel de Controle. Passe o cursor sobre o Selecionar ações Selecione a opção desejada no menu suspenso ao lado do Provedor de Identidade configurado e clique. Configuração de Teste.

• Após a configuração bem-sucedida, você obterá os nomes e valores dos atributos na janela de configuração de teste.

Mapeamento de Atributos

• Após testar a configuração, mapeie os atributos do seu aplicativo com os atributos do Provedor de Identidade (IdP).

• De Selecionar ações menu suspenso, escolha Editar configuração Para abrir as configurações de Mapeamento de Atributos.
• Mapeie o necessário Atributos do IdP (tais como Nome de usuário, E-mail, Nome e Sobrenome) recebidos na resposta SAML em seus respectivos campos.

• Depois que os atributos forem mapeados, clique em Economize para aplicar alterações.

Mapeamento de função padrão

• Navegue até a Mapeamento de função padrão Na seção, selecione a função que deseja atribuir aos usuários após o login SSO bem-sucedido. Função padrão suspenso.
• Escolha a função apropriada (por exemplo, Usuários Registrados, Assinantes ou Administradores) e clique em Economize para aplicar as alterações.

Configurações avançadas do IDP

Se desejar configurar opções avançadas adicionais, role para cima e clique em Configurações avançadas do IdP botão no menu superior.

Mapeamento de atributos personalizados

• Se você quiser passar atributos adicionais do seu IdP, insira o Nome do Atributo e o Valor do Atributo correspondente em Mapeamento de atributos personalizados.
• De Valor do atributo No menu suspenso, selecione um dos atributos recebidos nos resultados da Configuração de Teste, por exemplo: NameID.
• Esses atributos correspondem aos valores enviados pelo seu Provedor de Identidade (IdP).

• De acordo com o relatório Nome do Atributo No campo, insira o nome do atributo de usuário do DNN; ele será mapeado para o valor dos atributos do IdP durante o login SSO.
• Você pode adicionar vários mapeamentos se seu aplicativo exigir vários atributos, clicando em + botão.
• Após definir todos os mapeamentos necessários, clique em Salvar mapeamento de atributos para armazenar a configuração.

• O plugin traduzirá os atributos SAML recebidos do seu Provedor de Identidade (IdP) para os nomes de atributos personalizados configurados aqui para o seu site DNN.

Mapeamento avançado de funções

• De acordo com o relatório Mapeamento avançado de funções seção, insira o Nome do Atributo do Grupo exatamente como configurado em seu provedor de identidade para obter as informações do grupo de usuários.
• Introduzir o Nome do papel recebido do Provedor de Identidade e mapeá-lo para o apropriado. Valor da função No campo Valor da função, insira as funções definidas no seu site DNN.
• Por exemplo: mapeie o grupo IdP Group1 ou Group10 recebido no atributo UserGroups para a função correspondente configurada em seu site DNN.
• Após adicionar os mapeamentos necessários, clique em Salvar mapeamento de funções Para salvar a configuração com sucesso.

Restrição de domínio

• Essa funcionalidade pode ser usada para restringir o acesso do usuário ao site com base no domínio do atributo "Email" mapeado.
• De acordo com o relatório Atributo de e-mail No campo, insira o nome do atributo que contém o endereço de e-mail do usuário, conforme recebido do seu Provedor de Identidade (IdP).

• De acordo com o relatório Nome de domínio No campo, insira o(s) domínio(s) que deseja permitir ou restringir, separados por vírgulas caso esteja adicionando vários domínios.
• permitir que o Alternar restrição Com base na sua necessidade de configurar o acesso por meio de listas negras ou brancas.
• Após concluir a configuração, clique em Economize Para salvar as configurações com sucesso.

Redirecionamentos após SSO e SLO

• De acordo com o relatório Redirecionamento de login Nesta seção, insira o URL do endpoint para onde os usuários devem ser redirecionados após um login SSO bem-sucedido.
• De acordo com o relatório Redirecionamento de logout Na seção, especifique o URL do endpoint para onde os usuários devem ser redirecionados após um logout bem-sucedido (SLO) e clique em Economize Para atualizar a configuração.

Modificar solicitação SAML

• De acordo com o relatório Modificar solicitação SAML Na seção, insira o que é necessário. Nome do parâmetro e Valor do parâmetro, Clique no + botão para adicionar o parâmetro e, em seguida, clique Economize para aplicar as mudanças.

Configurações adicionais

• Permitir Cadastro automático de usuário Criar automaticamente uma nova conta de usuário no DNN caso o usuário ainda não exista durante o login SSO.
• Permitir Substituir atributo de e-mail Atualizar o endereço de e-mail do usuário no DNN com o atributo de e-mail recebido do Provedor de Identidade (IdP).
• Permitir Encontrar usuário por e-mail para permitir que o plugin identifique e associe usuários existentes no DNN usando seus endereços de e-mail.
• Permitir SSO Multiportal Se você deseja permitir o Single Sign-On em vários portais DNN usando o mesmo Provedor de Identidade (IdP), clique aqui. Economize para atualizar as configurações.

• Passe o mouse sobre o Selecionar ações Selecione a opção desejada no menu suspenso ao lado do Provedor de Identidade configurado e clique. Copiar link SSO.
• Use este link SSO para iniciar o Single Sign-On (SSO) para usuários que acessam seu portal DNN.

• O usuário acessa o site do DNN inserindo as credenciais do Keycloak.