Adicionar um Provedor de identidade
-
Visite a ferramenta ou o site do provedor de identidade da sua organização e crie um novo aplicativo.
-
No Brightspace, em Ferramentas de administração, selecione Administração de SAML.
-
Clique em Adicionar provedor de identidade.
-
Na página Adicionar novo provedor de identidade, colete a URL de metadados do Brightspace clicando em Copiar.
Observação: a URL de metadados do Brightspace geralmente contém todas as informações necessárias. No entanto, se seu aplicativo exigir o conteúdo da URL de metadados, clique em Ver metadados detalhados e colete ID da entidade/Emissor, Assertion Consumer Service (ACS)/URL de resposta ou Todos os metadados do Brightspace (metadados XML completos).
-
Adicione essas informações ao seu novo aplicativo no site do provedor de identidade.
-
No Brightspace, defina o Nome de exibição para identificar facilmente a finalidade do provedor de identidade registrado. Os nomes de exemplo incluem Login do aluno, Login do corpo docente ou Login principal, embora qualquer nome possa ser usado.
-
Clique em Importar do seu provedor de identidade para exibir a entrada URL de metadados do aplicativo do provedor de identidade (opcional) e o botão Importar da URL.
-
Se você tiver um URL de metadados acessível publicamente disponível no seu provedor de identidade, clique em Importar da URL. Isso preenche previamente os seguintes campos:
-
ID da entidade/emissor
-
URL do serviço de logon único (redirecionamento HTTP)
-
Certificados de assinatura X.509
-
Se você não tiver um URL de metadados acessível publicamente disponível no seu provedor de identidade, preencha manualmente os seguintes campos com as informações do seu provedor de identidade:
-
ID da entidade/emissor
-
URL do serviço de logon único (redirecionamento HTTP)
-
Certificado de assinatura X.509
-
Defina a opção Mapeamento de ID de usuário/nome.
Observação: o campo Mapeamento de ID de usuário/nome é usado para criar um mapeamento entre a conta de usuário do provedor de identidade do usuário final e a respectiva conta de usuário do Brightspace. Entre as opções, incluem-se: Nome de usuário, ID definido da organização, Endereço de e-mail, Nome de usuário ou ID definido da organização. Dependendo da opção escolhida, você deve definir o uso do formato apropriado. O nome de usuário e/ou o ID definido da organização exigem que o formato Subject NameId não especificado seja usado. O endereço de e-mail requer que o formato emailAddress Subject NameId seja usado.
-
Preencha o campo opcional para URL de redirecionamento para logout (opcional). Esse URL é usado para redirecionar o usuário final ao fazer logout do Brightspace. A D2L recomenda o uso da URL da página inicial da organização.
-
Preencha o campo opcional para URL de redirecionamento para login com falha (opcional). Este URL é usado para redirecionar o usuário final quando uma tentativa de login SSO falha. Isso substitui a página padrão de erro de login com falha da D2L.
-
Clique em Salvar.
Validar Provedor de identidade
Depois que um provedor de identidade tiver sido registrado, a página Registro concluído será exibida. Essa página inclui uma visão geral do provedor de identidade que foi criado durante as etapas Adicionar provedor de identidade. Verifique se todas as informações estão corretas. Se necessário, clique em Editar configuração para fazer as alterações necessárias.
Testar um provedor de identidade
-
Na página Registro concluído, clique em Testar seu novo provedor de identidade.
-
Copie a URL de login e tente carregar a página a partir do seu navegador.
-
Confirme se você está conseguindo fazer login na página correta.
Se for necessário fazer alterações em um provedor de identidade registrado existente, na página Administração de SAML, clique no nome do provedor de identidade que você precisa editar. As tarefas comuns de atualização incluem atualizar a URL de redirecionamento de logout ou de redirecionamento de login com falha ou adicionar manualmente um novo certificado de assinatura X.509.
A página Gerenciar provedor de identidade exibe uma visão geral do provedor de identidade registrado, juntamente com opções para Editar configuração, Adicionar novo certificado e Excluir provedor de identidade.
Ao selecionar Editar configuração, é possível executar as seguintes tarefas:
-
Editar o Nome de exibição
-
Editar a URL do serviço de logon único (redirecionamento HTTP)
-
Alterar o mapeamento de ID de usuário/nome selecionado
-
Adicionar, editar, remover a URL de redirecionamento de logout
-
Adicionar, editar, remover a URL de redirecionamento de login com falha
Certifique-se de salvar todas as alterações quando as atualizações forem concluídas.
Observação: se um URL de metadados publicamente acessível foi fornecido para registrar inicialmente o provedor de identidade, ele não pode ser atualizado nem removido. Isso é intencional.
Observação: se um erro foi cometido ao inserir manualmente o emissor/ID da entidade, isso não pode ser alterado. O ID da entidade é o identificador exclusivo do provedor de identidade do cliente, portanto, a ação apropriada é excluir o provedor de identidade registrado e iniciar o processo de registro novamente com o ID de entidade correto.
Selecionar Adicionar certificado permite adicionar um novo certificado de assinatura X.509. Para qualquer provedor de identidade que tenha sido registrado manualmente (não preenchido previamente, aproveitando um URL de metadados acessível publicamente), são necessárias renovações periódicas de certificados para manter a funcionalidade SAML SSO. O registro de um novo certificado de assinatura X.509 para um provedor de identidade registrado existente também pode ser realizado na página Gerenciar provedor de identidade.
A adição de um novo certificado de assinatura X.509 pode ser realizada clicando em Adicionar novo certificado na página Gerenciar provedor de identidade ou clicando no botão Adicionar novo certificado no subtítulo Gerenciar certificados.
-
Na página Adicionar novo certificado, cole as informações do certificado no campo Certificado de assinatura X.509.
-
Verifique se as datas Válido a partir de e todas as outras informações estão corretas e clique em Salvar.
Para qualquer provedor de identidade que tenha sido registrado manualmente (não preenchido previamente, aproveitando um URL de metadados acessível publicamente), a limpeza periódica de certificados expirados é uma prática recomendada.
Observação: se o provedor de identidade for registrado usando um URL de metadados publicamente acessível, todos os certificados expirados serão excluídos pela tarefa recorrente noturna.
-
Na página Gerenciar provedor de identidade, clique no certificado para acessar a página Exibir certificado.
-
Clique em Excluir certificado e confirme a exclusão clicando em Continuar.
Se a sua organização estiver mudando de um provedor de identidade para outro (por exemplo, ADFS para Azure) ou se você registrou incorretamente o provedor de identidade (por exemplo, um ID de entidade incorreto), durante o registro inicial pode ser necessário excluir um provedor de identidade existente.
-
Na página Gerenciar provedor de identidade, clique em Excluir provedor de identidade.
-
Uma confirmação é exibida, clique em Excluir para concluir a exclusão do Provedor de identidade e de todos os Certificados de assinatura X.509 registrados associados a ele.
Observação: uma vez excluído, um provedor de identidade não pode ser restaurado.
Solução de problemas
Na parte inferior da página Registro concluído está a área de Questões comuns na solução de problemas, que contém os requisitos detalhados necessários para que o SSO funcione com base no Mapeamento de ID de usuário/nome selecionado.
Se surgirem problemas ao testar um Provedor de identidade registrado, na página principal de administração de SAML há um cartão Solucionar problemas ativando os logs de SAML. Clicar em Ativar logs captura mensagens adicionais de depuração, informações e de aviso relacionadas ao SAML SSO e podem ser visualizadas no log do sistema.
A quantidade de tempo padrão especificada é de 24 horas, mas isso pode ser substituído ou desativado.