Breve Visão Geral
A integração IDP da WalkMe pode usar um protocolo de autenticação chamado SAML para autenticar usuários com o fornecedor de IDP organizacional e obter atributos de usuário que podem ser usados posteriormente para segmentação e análise na WalkMe. Todo fornecedor de IDP que ofereça suporte ao SAML deve trabalhar com o WalkMe. O WalkMe suporta fluxo iniciado pelo SP.
O que é o SAML?
SAML, que significa "Security Assertion Markup Language", é um padrão aberto que permite que provedores de identidade (IDP) transmitam credenciais de autorização para provedores de serviços (SP). Ele permite que clientes de computação verifiquem a identidade de um usuário final com base na autenticação realizada por um servidor de autorização, bem como obtenham informações básicas de perfil sobre o usuário final.
Casos de uso
- Autenticação IDP do usuário final como pré-requisito para apresentar conteúdo do WalkMe.
- Expansão dos recursos de segmentação de conteúdo por parâmetros IDP (por exemplo, grupos, região, departamento etc.).
- Monitoramento preciso de dados em todos os sistemas.
Pré-requisitos
É necessário criar um aplicativo IDP para servir como a "ponte" entre o IDP e o Centro de Integração do WalkMe.
Um guia de instruções está disponível na Central de Administrador na tela de configuração da integração IDP.
Estas instruções são genéricas. Você precisará localizar essas informações para o seu provedor de identidade (IdP) específico.
- URL de SSO (URL de logon único ) : URL no IdP para o qual as solicitações de autenticação SAML devem ser enviadas. Isso é geralmente chamado de URL de SSO.
- Certificado de assinatura X509: Certificado necessário pelo provedor de serviços para validar a assinatura das afirmações de autenticação assinadas digitalmente pelo IdP. Deve haver um local para baixar o certificado de assinatura do IdP. Se o certificado não estiver em .pem ou .cer formatos, você deve convertê-lo em um desses formatos. mais tarde, você copiará e colará isso no WalkMe.
Os métodos para recuperar esse certificado variam, portanto, consulte a documentação do IdP se precisar de assistência adicional.
Nota:
- Antes de carregar o certificado de assinatura X.509 para o WalkMe, você deve converter o arquivo para Base64.
- Para fazer isso, use uma ferramenta online ou execute o seguinte comando no Bash:
cat cert.crt | base64.
Adicione informações sobre o provedor de serviços ao provedor de identidade para que o locatário saiba como receber e responder às solicitações de autenticação SAML. As instruções fornecidas aqui são genéricas. Você precisará encontrar as telas e campos apropriados para o provedor de identidade.
- Localize as telas no Provedor de identidade que permitem configurar o SAML. Se o IdP suportar o upload de um arquivo de metadados, você pode simplesmente fornecer o arquivo de metadados obtido na etapa acima. Se o IdP não suportar o upload de um arquivo de metadados, você poderá configurá-lo manualmente da seguinte forma.
- O IdP precisará saber para onde enviar as afirmações SAML depois de autenticar um usuário. Este é o URL do Serviço ao Consumidor de Asserções (ACS) em WalkMe. O IdP pode chamar isso URL do Serviço ao Consumidor de Asserções ou URL de callback de aplicativo .
EUA: https://papi.walkme.com/ic/idp/p/saml/callback
União Européia: https://eu-papi.walkme.com/ic/idp/p/saml/callback
SAP EUA: https://papi-us01.walkme.cloud.sap/ic/idp/p/saml/callback
SAP União Européia: https://papi-eu01.walkme.cloud.sap/ic/idp/p/saml/callback
Canadá: https://papi-ca1.walkmedap.com/ic/idp/p/saml/callback
FedRAMP: https://papi-walkmegov.com/ic/idp/p/saml/callback
- Se o IdP tiver um campo chamado Público ou ID da entidade , insira nesse campo o ID da entidade do WalkMe:
EUA: https://papi.walkme.com
União Europeia: https://eu-papi.walkme.com
SAP EUA: https://papi-us01.walkme.cloud.sap
SAP União Européia: https://papi-eu01.walkmecloud.sap
Canadá: https://papi-ca1.walkmedap.com
FedRAMP: https://papi.walkme.gov.com
- Se o IdP fornecer uma opção para vinculações, você deverá selecionar Redirecionamento HTTP para solicitações de autenticação.
Adicionando um provedor de identidade
1. Na guia Integrações do Provedor de Identidade (IDP) da Central do Administrador, clique no botão "+ Adicionar provedor de identidade"
2. Selecione o tipo de protocolo SAML
3. Forneça as definições de configuração apropriadas para a ligação
Fazer download do arquivo de metadados
- Você pode carregar as informações da WalkMe em seu sistema por meio de um arquivo de metadados, em vez de copiar e colar cada peça individual
Campos obrigatórios:
- Nome IDP - nome da conexão
- URL de logon único - o URL de logon único do provedor de identidade obtido do assistente de configuração do provedor.
- Certificado de assinatura X509 - Carregue o certificado baixado do seu provedor.
Opcional - Configurações de criptografia:
Para aumentar a segurança das transações, você pode assinar ou criptografar suas solicitações e respostas no protocolo SAML.
Primeiro, precisamos gerar e baixar um certificado que será exclusivo para sua conta.
A chave pública será compartilhada com você para que você possa carregá-la no seu provedor de IDP.
- AuthnRequest - assine a solicitação de autenticação SAML usando a chave privada.
- Criptografia de afirmação - receba afirmações criptografadas de um provedor de identidade. Para fazer isso, você deve fornecer o certificado de chave pública ao IDP. O IDP criptografa a afirmação SAML usando a chave pública e a envia para o WalkMe, que a descriptografa usando a chave privada.
4. Clique em "Salvar e Avançar" quando estiver pronto
- Observe que não exigimos um URL de logout
5. Escolha um identificador de usuário final exclusivo para identificar usuários
- Você precisa apenas de um identificador; não exigimos informações adicionais de grupo ou outros atributos
6. Selecione as propriedades desejadas e verifique se o tipo de dados correto foi escolhido:
-
- String
- Número
- Data
Observação: o campo Identificador de usuário sempre será convertido para o tipo String.
Dica:
- Para garantir que o tipo de dados selecionado seja adequado, passe o mouse sobre o ícone "i" e verifique o valor dessa propriedade.
- Se o tipo de dados selecionado não for adequado para a propriedade, um ícone laranja "!" será exibido recomendando voltar para o tipo de dados identificado.
Você também pode renomear qualquer propriedade selecionada, exibir seu valor e nome originais e reverter para seu valor original se ele for substituído.
7. Selecione os sistemas aos quais você deseja atribuir a integração IDP
- Para cada sistema, você pode ativar separadamente a integração IDP nos ambientes desejados
8. Use a botão para Impor SSO
Nota:
- O IDP deve fornecer a identificação de usuário mais precisa, mas os números podem não ser precisos quando Impor SSO estiver desativado.
- Quando Impor SSO está desativado, os usuários podem usar aplicativos sem autenticar com o provedor de IDP, e um WalkMe Id será gerado e usado como identificador de usuário.
- Os usuários podem "ignorar" a autenticação do IDP usando aplicativos que não exigem autenticação ou fazendo logon no aplicativo diretamente por meio de usuário/senha, sem passar pelo fluxo de logon do IDP.
9. Clique em "Concluir"
10. Uma mensagem será exibida informando se seu IDP foi adicionado com sucesso ou não
Nota:
- Após atribuir sistemas, a configuração de UUID para os sistemas atribuídos é definida automaticamente como IDP e as configurações são publicadas, portanto, nenhuma ação adicional é necessária.
- A única maneira de alterar o UUID é desatribuir o sistema do fornecedor (consulte a seção "Gerenciar atribuição de sistema" abaixo).
- Agora você pode segmentar o conteúdo usando os atributos importados no Insights e no Editor em IDP > de atributos do Usuário com as condições de filtro adequadas de acordo com o tipo de campo de dados definido.
- Leia mais aqui.
Dica:
- Para validar se os usuários estão sendo identificados pela integração e se todos os atributos solicitados foram coletados, é recomendável visualizar a página de Usuários em Insights em insights.walkme.com, onde todos os dados do usuário são exibidos.
- Os usuários são adicionados à tabela somente após o término da sessão, portanto, após configurar o IDP, levará algum tempo para que os usuários sejam adicionados.
Gerenciando um provedor de identidade
Ao passar o mouse sobre a linha de um provedor de identidade, você terá várias opções:
- Excluir
- Gerenciar atribuição de sistema
- Propriedades de importação
- Editar
- Expandir
Excluir
- Clique no ícone de lixeira para "excluir" um provedor de identidade
Observação importante:
- Não é possível excluir completamente um provedor de identidade sem entrar em contato com o Suporte.
- Antes de ser possível excluir, o provedor de identidade deve ser desvinculado de qualquer sistema usando a tela Gerenciar atribuição de sistema.
Gerenciar atribuição de sistema
- Clique no ícone "+" para abrir a tela Gerenciar atribuição de sistema
- Selecione ou desmarque os sistemas que você deseja atribuir ao provedor de identidade
- Você também pode usar o botão para Impor SSO
- Clique no botão "Salvar alterações" quando terminar.
Nota:
- Os usuários não podem gerenciar a atribuição de sistema para fornecedores que não tenham propriedades importadas. As propriedades terão de ser importadas primeiro.
- Após atribuir sistemas, a configuração de UUID para os sistemas atribuídos é definida automaticamente como IDP e as configurações são publicadas, portanto, nenhuma ação adicional é necessária.
Propriedades de importação
- Clique no ícone da lista e, em seguida, no botão "Importar propriedades" para editar ou adicionar propriedades importadas adicionais
Esses atributos serão usados para segmentação de conteúdo e relatórios no Insights.
Nota:
- Para fazer isso, é necessário autenticar com um usuário atribuído ao aplicativo WalkMe no lado do provedor.
Editar
- Clique no ícone de lápis para editar as configurações do provedor de identidade
- Você poderá editar todos os campos preenchidos na configuração inicial do provedor de identidade
Nota:
- Os usuários não podem gerenciar a atribuição de sistema para fornecedores que não tenham propriedades importadas. As propriedades terão de ser importadas primeiro.
Expandir / Recolher Visualização
- Use o ícone de seta para abrir e reduzir a visualização expandida
- Quando expandido, você verá todos os sistemas atribuídos a um provedor de identidade e se Impor SSO foi ativado ou não
Melhores práticas
Configuração "Forçar SSO"
- Quando ativado - a autenticação IDP deve ocorrer antes de abrir a página da Web para o usuário final. Se o token IDP não for reconhecido, o usuário final será redirecionado para a página de login do IDP.
- Sempre que o usuário final falhar na autenticação no IDP devido a motivos como, por exemplo, IDP estava inativo, o cliente esqueceu credenciais ou o usuário final não foi atribuído ao aplicativo do IDP, o SSO será desativado por 1 hora e o identificador de usuário será automaticamente reduzido para o método "WalkMe ID" como alternativa ou a WalkMe não será carregada, dependendo da configuração do cliente.
- Após 1 hora - se o token IDP ainda não for reconhecido, o usuário final será redirecionado novamente para a página de login do IDP; caso contrário, o login no IDP não será necessário. É importante garantir que isso esteja absolutamente claro para o cliente. Caso contrário, NÃO ative essa opção.
- Quando desativado - a autenticação do IDP é tentada durante o carregamento da página, mas se não houver token ativo para o IDP, o usuário final não será redirecionado para o IDP. O identificador de usuário será reduzido automaticamente para o método "WalkMe ID" ou o WalkMe não será carregado, dependendo da configuração do cliente.
Limitações
- Importante: alterar o identificador de usuário afeta a maneira como o WalkMe identifica os usuários finais e pode redefinir as configurações de "Reproduzir uma vez".
Observe que, se sua implementação já estiver ativa, alterar o Identificador de usuário afeta a maneira como o WalkMe identifica os usuários finais. Isso pode resultar na redefinição das regras de Reprodução automática (ou seja, configurações de Reprodução única) ou os usuários verem suas tarefas de integração concluídas anteriormente marcadas como incompletas, devido à alteração do identificador exclusivo de usuário (UUID). Não há como contornar essa limitação, pois cada usuário está sendo reconhecido como um novo usuário, vinculado ao seu novo valor UUID.
- O navegador Safari não suporta IDP
- O usuário deve ter permissões de administrador para o Centro de administração
- O IDP deve estar configurado no sistema necessário
- Os usuários finais devem usar o IDP para autenticar nesse sistema
- Se a sua empresa tiver CSP (Content Security Policy), ela bloqueará chamadas para o provedor IDP
- Para contornar isso, a URL correta deve ser adicionada nas configurações CSP da configuração da extensão
- Após atribuir sistemas, a configuração de UUID para os sistemas atribuídos é automaticamente definida como IDP e as configurações são publicadas, de modo que nenhuma ação adicional é necessária
- Para que as alterações do IDP entrem em vigor, os sistemas do cliente devem ser atualizados para a versão mais recente da WalkMe (isso pode ser feito publicando uma configuração)
- Para contas Enterprise, você deve marcar "Atualizar para a versão mais recente do WalkMe" ao publicar
Web móvel:
- A Web móvel será ativada automaticamente após a conclusão da configuração do IDP
- Se a Web móvel for adicionada depois que o IDP/OneID já tiver sido ativado, os usuários precisarão desativar e reativar o IDP para suporte à Web móvel
