O fluxo genérico SAML do EK funciona com o Azure AD / Entra ID nativamente. Se você ainda não leu, consulte a Visão Geral do SAML SSO para entender como a integração funciona antes de começar.
Pré-requisitos
- Você tem acesso de administrador ao seu tenant Azure AD / Entra ID.
- Você tem acesso de Super Admin à sua instância EK on-premise.
- Você conhece o nome de domínio totalmente qualificado (FQDN) do host do backend do EK (por exemplo,
ek-api.corp.acme.com). - Você conhece o domínio de e-mail para o qual deseja habilitar o SSO (por exemplo,
acme.com).
Parte 1 — Configurar o Azure AD
Criar uma Nova Aplicação Empresarial no Azure AD
Criar uma nova aplicação empresarial
No portal do Azure, navegue até Azure Active Directory → Enterprise applications e clique em New application. Selecione Create your own application, dê um nome (por exemplo,
EK SSO) e escolha Integrate any other application you don’t find in the gallery (Non-gallery).Abrir a configuração de SSO
Depois que a aplicação for criada, navegue até Manage → Single sign-on e selecione SAML como o método de login.
Inserir a Configuração Básica de SAML
Na seção Basic SAML Configuration, insira os seguintes valores:
| Campo | Valor |
|---|---|
| Identifier (Entity ID) | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| Reply URL (ACS URL) | https://<your-FQDN>/backend/user/generic/sso/saml/acs/admin |
| Sign-on URL | Deixe vazio |
| Relay State | default |
| Logout URL | Deixe vazio |
Configurar atributos e claims
Na seção Attributes & Claims, confirme ou adicione os seguintes mapeamentos:
| Atributos | Valor |
|---|---|
givenname | user.givenname |
surname | user.surname |
emailaddress | user.mail |
name | user.userprincipalname |
DisplayName | user.displayname |
email | user.mail |
| Unique User Identifier (Name ID) | user.userprincipalname |
Parte 2 — Recuperar os Metadados do Azure AD
Depois que a aplicação Azure AD estiver configurada, recupere a URL de metadados de federação:Ir para a seção de Certificados SAML
Na sua aplicação, navegue até Manage → Single sign-on → SAML Certificates.
Parte 3 — Registrar o Domínio no EK
Envie uma requisiçãoPOST para o endpoint de registro de domínio:
Campos Obrigatórios
| Campo | Descrição |
|---|---|
enterprise_id | O domínio de e-mail dos seus usuários (por exemplo, acme.com). |
provider | "azure" |
metadata_url | A URL de Metadados de Federação da Parte 2. |
backend_root_url | (Opcional) Necessário apenas em configurações de proxy para garantir o roteamento correto. |
Autenticação
O endpoint requer sua API Key e Secret do EK, passadas como cabeçalhosX-API-KEY e X-API-SECRET.
Em caso de sucesso, um registro é criado na tabela sso_providers no backend.
Parte 4 — Configurar o Frontend
Depois que o domínio estiver registrado, defina a variável de ambiente do frontend e reinicie o serviço do frontend.Abrir o arquivo de ambiente do frontend
No seu servidor de implantação on-premise, abra
onprem-deployment/.env.web.Adicionar a variável de ambiente
Adicione a seguinte linha, substituindo
acme.com pelo seu domínio de e-mail real:Testar a Integração
Faça login no EK com um usuário real@<domínio> para confirmar que o fluxo funciona de ponta a ponta. Se o usuário autenticar com sucesso, mas tiver o acesso negado, verifique sua configuração de Controles de Acesso SAML — consulte o guia Controles de Acesso SAML e Atribuição Automatizada de Equipe/Projeto do EK.