Share via

Integração do SSO do Microsoft Entra ao Contentstack

  • Artigo

Neste tutorial, você aprenderá a integrar o Contentstack à Microsoft Entra ID. Ao integrar o Contentstack à Microsoft Entra ID, você pode:

  • Controlar na Microsoft Entra ID quem tem acesso ao Contentstack.
  • Permitir que os usuários sejam conectados automaticamente ao Contentstack com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para integrar a Microsoft Entra ID ao Contentstack, você precisa:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Assinatura habilitada para SSO (logon único) do Contentstack.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O Contentstack oferece suporte a SSO iniciado por SP e IDP.
  • O Contentstack dá suporte ao provisionamento de usuário just-in-time.

Para configurar a integração do Contentstack à Microsoft Entra ID, você precisa adicionar o Contentstack por meio da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Contentstack na caixa de pesquisa.
  4. Selecione Contentstack no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você poderá adicionar um aplicativo ao locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para Contentstack

Configure e teste o SSO do Microsoft Entra com o Contentstack usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Contentstack.

Para configurar e testar o SSO do Microsoft Entra com o Contentstack, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra – para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configure o SSO do Contentstack – para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do Contentstack – para ter um equivalente a B. Fernandes no Contentstack que esteja vinculado à representação de usuário da Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar SSO do Microsoft Entra no Centro de administração do Microsoft Entra.

  1. Inicie sessão no centro de administração do Microsoft Entra como um Administrador de aplicativos de nuvem e navegue até Identidade>Aplicativos>Aplicativos empresariais.

  2. Agora clique em + Novo aplicativo e procure por Contentstack e clique em Criar. Uma vez criado, agora vá para Configurações de Logon Único ou clique no link Logon Único no menu esquerdo.

    Screenshot shows the new application creation.

  3. Depois, na página Selecionar um método de logon único, escolha SAML.

    Screenshot shows how to select a single sign-on method.

  4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Screenshot shows how to edit Basic SAML Configuration.

  5. Na seção Configuração Básica do SAML, você precisa realizar algumas etapas. Para obter as informações necessárias para essas etapas, primeiro você precisará ir para o aplicativo Contentstack e criar o Nome do SSO e a URL do ACS da seguinte maneira:

    a. Faça login na sua conta do Contentstack, vá para a página de Configurações da Organização e clique na guia Logon Único.

    Screenshot shows the steps for Basic SAML Configuration.

    b. Insira um Nome de SSO de sua escolha e clique em Criar.

    Screenshot shows how to enter or create name.

    Observação

    Por exemplo, se o nome da sua empresa for “Acme, Inc.” insira “acme” aqui. Esse nome será usado como uma das credenciais de login pelos usuários da organização durante o login. O Nome de SSO pode conter apenas letras (em minúsculas), números (0-9) e/ou hifens (-).

    c. Quando você clicar em Criar, isso gerará a URL do Serviço do Consumidor de Declaração ou a URL do ACS e outros detalhes, como ID da Entidade, Atributos e Formato de NameID.

    Screenshot shows generating the values to configure.

  6. De volta à seção Configuração Básica do SAML, cole a ID da Entidade e a URL do ACS geradas no conjunto de etapas acima, nas seções Identificador (ID da Entidade) e URL de Resposta, respectivamente, e salve as entradas.

    1. Na caixa de texto Identificador, cole o valor da ID da Entidade que você copiou do Contentstack.

      Screenshot shows how to paste the Identifier value.

    2. Na caixa de texto URL de resposta, cole a URL do ACS que você copiou do Contentstack.

      Screenshot shows how to paste the Reply URL.

  7. Esta é uma etapa opcional. Se você deseja configurar o aplicativo no modo iniciado por SP, insira a URL de Logon na seção de URL de Logon:

    Screenshot shows how to paste the Sign on URL.

    Observação

    Você encontrará a URL de um clique do SSO (ou seja, a URL de logon) quando concluir a configuração de SSO do Contentstack. Screenshot shows how to enable the access page.

  8. O aplicativo Contentstack espera as declarações SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados à configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    Screenshot shows the image of attributes configuration.

  9. Além do indicado acima, o aplicativo Contentstack espera que mais alguns atributos sejam passados novamente na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos. Esta é uma etapa opcional.

    Nome Atributo de Origem
    funções user.assignedroles

    Observação

    Clique aqui para saber como configurar a Função no Microsoft Entra ID.

  10. Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, localize Certificado (Base64) e escolha Baixar para baixar o certificado e salvá-lo no computador.

    Screenshot shows the Certificate download link.

  11. Na seção Configurar o Contentstack, copie as URLs apropriadas de acordo com suas necessidades.

    Screenshot shows to copy configuration URLs.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes no Centro de administração do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que B.Fernandes use o logon único do Microsoft Entra concedendo acesso ao Contentstack.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>aplicativos empresariais>Contentstack.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do Contentstack

  1. Faça logon em seu site de empresa do Contentstack como administrador.

  2. Vá para a página Configurações da Organização e clique na guia Logon Único no menu à esquerda.

  3. Na página Logon Único navegue até a seção Configuração de SSO e siga estas etapas:

    1. Digite um Nome de SSO válido de sua escolha e clique em Criar.

      Screenshot shows settings of the configuration.

      Observação

      Por exemplo, se o nome da sua empresa for “Acme, Inc.” insira “acme” aqui. Esse nome será usado como uma das credenciais de login pelos usuários da organização durante o login. O Nome de SSO pode conter apenas letras (em minúsculas), números (0-9) e/ou hifens (-).

    2. Quando você clica em Criar, isso gerará a URL do Serviço do Consumidor de Declaração ou a URL do ACS e outros detalhes, como ID da Entidade, Atributos e Formato de NameID e clique em Avançar.

      Screenshot shows the configuration values.

  4. Navegue até a guia Configuração de Idp e execute as seguintes etapas:

    Screenshot shows the login values from Identity.

    1. Na caixa de texto URL de Logon único, cole o URL de logon que você copiou do centro de administração do Microsoft Entra.

    2. Abra o Certificado (Base64) baixado do centro de administração do Microsoft Entra e carregue-o no campo Certificado.

    3. Clique em Avançar.

  5. Em seguida, você precisa criar o mapeamento de funções no Contentstack.

    Observação

    Você só poderá exibir e executar essa etapa se o Mapeamento de Função do IdP fizer parte do seu plano do Contentstack.

  6. Na seção Gerenciamento de Usuários da página Configuração de SSO do Contentstack, você verá Modo Estrito (autorizar o acesso a usuários da organização somente por meio de logon de SSO) e Tempo Limite de Sessão (definir a duração da sessão para um usuário conectado por meio de SSO). Abaixo dessas opções, você também verá a opção Configurações avançadas.

    Screenshot shows User Management section.

  7. Clique em Configurações avançadas para expandir a seção Mapeamento de funções do IdP para mapear funções do IdP para Contentstack. Esta é uma etapa opcional.

  8. Na seção Adicionar mapeamento de funções, clique no link + ADICIONAR MAPEAMENTO DE FUNÇÕES para adicionar os detalhes de mapeamento de uma função do IdP que inclui os seguintes detalhes:

    Screenshot shows how to add the mapping details.

    1. No Identificador de Função do IdP, insira o identificador de grupo ou função do IdP (por exemplo, “desenvolvedores”), em que você pode usar o valor do manifesto.

    2. Para as Funções da Organização, selecione a função Administrador ou Membro para o grupo ou função mapeada.

    3. Para as Permissões de Nível de Pilha (opcional), atribua pilhas e as funções de nível de pilha correspondentes a essa função. Da mesma forma, você pode adicionar mais mapeamentos de funções à sua organização do Contentstack. Para adicionar um novo mapeamento de funções, clique em + ADICIONAR MAPEAMENTO DE FUNÇÕES e insira os detalhes.

    4. Deixe o Delimitador de Funções em branco, pois o Microsoft Entra ID geralmente retorna funções em uma matriz.

    5. Por fim, marque a caixa de seleção Habilitar mapeamento de função do IdP para habilitar o recurso e clique em Avançar.

    Observação

    Para obter mais informações, consulte o Guia de SSO do Contentstack.

  9. Antes de habilitar o SSO, é recomendável testar as configurações de SSO definidas até agora. Para isso, execute as seguintes etapas:

    1. Clique no botão Testar SSO e ele o levará para a página de Login via SSO do Contentstack, onde você precisa especificar o nome do SSO da sua organização.
    2. Em seguida, clique em Continuar para ir para a página de login do IdP.
    3. Inicie sessão na sua conta e, se conseguir iniciar sessão no seu IdP, o teste é bem-sucedido.
    4. Na conexão bem-sucedida, você verá uma mensagem de êxito da seguinte maneira.

    Screenshot shows the successful test connection.

  10. Depois de testar as configurações de SSO, clique em Habilitar SSO para habilitar o SSO para sua organização do Contentstack.

    Screenshot shows the enable testing section.

  11. Após a habilitação, os usuários poderão acessar a organização via SSO. Se necessário, você também poderá Desabilitar o SSO nesta página.

    Screenshot shows disabling the access page.

Criar um usuário de teste do Contentstack

Nesta seção, um usuário chamado Brenda Fernandes é criado no Contentstack. O Contentstack dá suporte ao provisionamento de usuário just-in-time, que está habilitado por padrão. Não há itens de ação para você nesta seção. Se um usuário ainda não existir no Contentstack, um novo será criado após a autenticação.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

Iniciado por SP:

  • Clique em Testar este aplicativo no Centro de administração do Microsoft Entra. Isso redirecionará você à URL de Logon do Contentstack, na qual poderá iniciar o fluxo de logon.

  • Acesse diretamente a URL de Logon do Contentstack e inicie o fluxo de logon nela.

Iniciado por IdP:

  • Clique em Testar este aplicativo no Centro de administração do Microsoft Entra e você será conectado automaticamente ao Contentstack para o qual configurou o SSO.

Use também os Meus Aplicativos da Microsoft para testar o aplicativo em qualquer modo. Ao clicar no bloco contentstack em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IDP, você será conectado automaticamente ao Contentstack para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Próximas etapas

Depois de configurar o Contentstack, você poderá impor o controle de sessão, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.