Integração do Microsoft Entra SSO com o Contentstack
Neste tutorial, você aprenderá como integrar o Contentstack ao Microsoft Entra ID. Ao integrar o Contentstack com o Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso ao Contentstack.
- Permita que seus usuários entrem automaticamente no Contentstack com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
Pré-requisitos
Para integrar o Microsoft Entra ID com o Contentstack, você precisa:
- Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
- Assinatura habilitada para logon único (SSO) do Contentstack.
Descrição do cenário
Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.
- O Contentstack suporta SSO iniciado por SP e IDP .
- O Contentstack suporta o provisionamento de usuários Just In Time .
Adicionar Contentstack da galeria
Para configurar a integração do Contentstack no Microsoft Entra ID, você precisa adicionar o Contentstack da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
- Na seção Adicionar da galeria, digite Contentstack na caixa de pesquisa.
- Selecione Contentstack no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e percorrer a configuração do SSO também. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o Microsoft Entra SSO para Contentstack
Configure e teste o Microsoft Entra SSO com Contentstack usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Contentstack.
Para configurar e testar o Microsoft Entra SSO com Contentstack, execute as seguintes etapas:
- Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
- Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
- Configure o SSO do Contentstack - para definir as configurações de logon único no lado do aplicativo.
- Create Contentstack test user - para ter um equivalente de B.Simon no Contentstack que está vinculado à representação de usuário do Microsoft Entra.
- Teste SSO - para verificar se a configuração funciona.
Configurar o Microsoft Entra SSO
Siga estas etapas para habilitar o Microsoft Entra SSO no centro de administração do Microsoft Entra.
Entre no centro de administração do Microsoft Entra como administrador de aplicativos na nuvem e navegue até aplicativos corporativos de aplicativos de identidade>>.
Agora clique em + Novo Aplicativo e procure por Contentstack e clique em Criar. Uma vez criado, agora vá para Configurar logon único ou clique no link Logon único no menu à esquerda.
Em seguida, na página Selecionar um método de logon único, selecione SAML.
Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.
Na seção Configuração Básica do SAML, você precisa executar algumas etapas. Para obter as informações necessárias para essas etapas, primeiro você precisará ir para o aplicativo Contentstack e criar o Nome SSO e a URL do ACS da seguinte maneira:
a. Faça login na sua conta Contentstack, vá para a página Configurações da Organização e clique na guia Logon Único .
b. Insira um Nome de SSO de sua escolha e clique em Criar.
Nota
Por exemplo, se o nome da sua empresa for "Acme, Inc." Digite "Acme" aqui. Esse nome será usado como uma das credenciais de login pelos usuários da organização ao entrar. O Nome SSO pode conter apenas alfabetos (em minúsculas), números (0-9) e/ou hífenes (-).
c. Quando você clica em Criar, isso gera a URL do Serviço ao Consumidor de Asserção ou a URL do ACS e outros detalhes, como ID da Entidade, Atributos e Formato NameID.
De volta à seção Configuração Básica do SAML, cole o ID da Entidade e a URL do ACS gerados no conjunto de etapas acima, nas seções Identificador (ID da Entidade) e URL de Resposta, respectivamente, e salve as entradas.
Na caixa de texto Identificador, cole o valor de ID de entidade, que você copiou de Contentstack.
Na caixa de texto URL de resposta, cole a URL do ACS, que você copiou do Contentstack.
Este é um passo opcional. Se desejar configurar o aplicativo no modo iniciado pelo SP, insira a URL de logon na seção URL de entrada:
Nota
Você encontrará a URL de um clique do SSO (ou seja, a URL de logon) quando concluir a configuração do SSO do Contentstack.
O aplicativo Contentstack espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.
Além disso, o aplicativo Contentstack espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades. Este é um passo opcional.
Nome Atributo de origem funções user.assignedroles Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.
Na seção Configurar Contentstack, copie o(s) URL(s) apropriado(s) com base em sua necessidade.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste no centro de administração do Microsoft Entra chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
- Nas propriedades do usuário , siga estas etapas:
- No campo Nome para exibição , digite
B.Simon
. - No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
- Selecione Rever + criar.
- No campo Nome para exibição , digite
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você habilitará B.Simon para usar o logon único do Microsoft Entra concedendo acesso ao Contentstack.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Contentstack.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
- Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SSO do Contentstack
Faça login no site da empresa Contentstack como administrador.
Vá para a página Configurações da Organização e clique na guia Logon Único no menu à esquerda.
Na página Logon Único, navegue até a seção Configuração de SSO e execute as seguintes etapas:
Insira um Nome SSO válido de sua escolha e clique em Criar.
Nota
Por exemplo, se o nome da sua empresa for "Acme, Inc." Digite "Acme" aqui. Esse nome será usado como uma das credenciais de login pelos usuários da organização ao entrar. O Nome SSO pode conter apenas alfabetos (em minúsculas), números (0-9) e/ou hífenes (-).
Quando você clica em Criar, isso gera a URL do Serviço ao Consumidor de Asserção ou a URL do ACS e outros detalhes, como ID da Entidade, Atributos e Formato NameID e clique em Avançar.
Navegue até a guia Configuração do Idp e execute as seguintes etapas:
Na caixa de texto URL de Logon Único , cole a URL de Login, que você copiou do centro de administração do Microsoft Entra.
Abra o Certificado baixado (Base64) do Centro de administração do Microsoft Entra e carregue no campo Certificado .
Clique em Next.
Em seguida, você precisa criar o mapeamento de função no Contentstack.
Nota
Você só poderá visualizar e executar esta etapa se o mapeamento de função IdP fizer parte do seu plano Contentstack.
Na seção Gerenciamento de usuários da página Configuração de SSO do Contentstack, você verá Modo estrito (autorizar o acesso aos usuários da organização somente por meio do login SSO) e Tempo limite da sessão (definir a duração da sessão para um usuário conectado por meio do SSO). Abaixo dessas opções, você também verá a opção Configurações avançadas .
Clique em Configurações avançadas para expandir a seção Mapeamento de função IdP para mapear funções IdP para Contentstack. Este é um passo opcional.
Na seção Adicionar mapeamento de função, clique no link + ADICIONAR MAPEAMENTO DE FUNÇÃO para adicionar os detalhes de mapeamento de uma função IdP, que inclui os seguintes detalhes:
No Identificador de Função do IdP, insira o identificador de grupo/função do IdP (por exemplo, "desenvolvedores"), que você pode usar o valor do seu manifesto.
Para as Funções da Organização, selecione Administrador ou Função de Membro para o grupo/função mapeado.
Para as Permissões de Nível de Pilha (opcional), atribua pilhas e as funções de nível de pilha correspondentes a essa função. Da mesma forma, você pode adicionar mais mapeamentos de função para sua organização Contentstack. Para adicionar um novo mapeamento de função, clique em + ADICIONAR MAPEAMENTO DE FUNÇÃO e insira os detalhes.
Mantenha o Delimitador de Funções em branco, pois a ID do Microsoft Entra geralmente retorna funções em uma matriz.
Por fim, marque a caixa de seleção Habilitar mapeamento de função IdP para habilitar o recurso e clique em Avançar.
Nota
Para obter mais informações, consulte o guia SSO do Contentstack.
Antes de habilitar o SSO, é recomendável que você precise testar as configurações de SSO definidas até agora. Para tal, efetue os seguintes passos:
- Clique no botão Testar SSO e ele o levará para a página Login via SSO do Contentstack, onde você precisa especificar o nome do SSO da sua organização.
- Em seguida, clique em Continuar para ir para a sua página de login do IdP.
- Inicie sessão na sua conta e, se conseguir iniciar sessão no seu IdP, o seu teste será bem-sucedido.
- Na conexão bem-sucedida, você verá uma mensagem de sucesso da seguinte maneira.
Depois de testar suas configurações de SSO, clique em Habilitar SSO para habilitar o SSO para sua organização Contentstack.
Uma vez habilitado, os usuários podem acessar a organização por meio do SSO. Se necessário, você também pode desativar o SSO nesta página.
Criar usuário de teste do Contentstack
Nesta seção, um usuário chamado Brenda Fernandes é criado no Contentstack. O Contentstack suporta provisionamento de usuário just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no Contentstack, um novo será criado após a autenticação.
SSO de teste
Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.
SP iniciado:
Clique em Testar esta aplicação no centro de administração do Microsoft Entra. Isso redirecionará para a URL de logon do Contentstack, onde você poderá iniciar o fluxo de login.
Vá diretamente para o URL de início de sessão do Contentstack e inicie o fluxo de início de sessão a partir daí.
IDP iniciado:
- Clique em Testar este aplicativo no centro de administração do Microsoft Entra e você deve estar automaticamente conectado ao Contentstack para o qual você configurou o SSO.
Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Quando você clica no bloco Contentstack em Meus Aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá ser automaticamente conectado ao Contentstack para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.
Próximos passos
Depois de configurar o Contentstack, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.