Requisitos técnicos de SSO
Síntese de requisitos técnicos
O logon único (SSO) permite que um terceiro autentique um usuário antes de conceder acesso ao sistema Qualtrics. A Qualtrics suporta quatro tipos de autenticação SSO: Google OAuth 2.0, Central Authentication Service (CAS), Lightweight Directory Access Protocol (LDAP) e Security Assertion Markup Language (SAML). Cada tipo requer que o terceiro tenha um tipo específico de servidor. Por exemplo, a autenticação CAS SSO depende de terceiros que têm um servidor CAS.
Esta página abrange os requisitos técnicos que você deve cumprir. Essas configurações devem ser definidas com sua equipe de TI e depois comunicadas à equipe de suporte SSO da Qualtrics.
Google OAuth 2.0
O Google OAuth 2.0 é uma estrutura de autorização que pode ser usada para autenticar usuários na plataforma Qualtrics. Para configurar o Google OAuth 2.0 para autenticação de terceiros, os usuários que acessarão a plataforma devem ter uma conta do Google.
Os seguintes parâmetros de configuração devem ser fornecidos:
- Domínios válidos de e-mail
- São necessários domínios de e-mail específicos para autenticar os endereços de e-mail dos usuários em cada tentativa de acesso.
A Qualtrics só recebe o e-mail associado às contas do Google dos usuários ao fazer a autenticação com o Google OAuth 2.0. O e-mail é usado para preencher os campos Nome de usuário, Nome, Sobrenome e Endereço de e-mail da Qualtrics.
Assim que os domínios de e-mail válidos forem fornecidos, a Qualtrics pode organizar a configuração de uma integração do Google OAuth 2.0 com o terceiro.
Lightweight Directory Access Protocol (LDAP)
Lightweight Directory Access Protocol (LDAP) é um serviço de diretório contra o qual um terceiro pode autenticar. A Qualtrics pode ser configurada para autenticar automaticamente em relação a um servidor LDAP quando um usuário tenta fazer login na plataforma Qualtrics. Para configurar uma integração LDAP, parte-se do princípio de que o terceiro tem um servidor LDAPv3 em funcionamento.
Os seguintes parâmetros de configuração devem ser fornecidos:
- Nome do host do servidor LDAP: endereço IP ou nome do servidor.
- Porta do servidor LDAP: a porta Qualtrics será usada para se comunicar com o servidor.
- Nome distinto base (DN): por exemplo:
o=organização
- Vincular nome distinto: pesquisa baseada em Vincular DN ou Vincular usuário DN. Isto não é necessário se o servidor LDAP permitir pesquisas não autenticadas.
- Vincular senha: isso não é necessário se o servidor LDAP permitir pesquisas não autenticadas.
- Parâmetros de filtro de autenticação: por exemplo:
uid=%username%
- URL de redirecionamento de logout: a Qualtrics requer uma URL de redirecionamento de logout para limpar as sessões de login dos usuários ao efetuar logout. Se nenhum URL de redirecionamento de logout for fornecido, a Qualtrics poderá redirecionar os usuários para https://qualtrics.com ou outro URL de sua escolha. No entanto, ele não limpará a sessão de login dos usuários, e eles poderão acessar imediatamente clicando no botão Voltar ou retornando à página de acesso.
- Atributos LDAP
- Obrigatório:
- Atributo Campo de endereço de e-mail (por exemplo, e-mail)
Qdica: Este atributo deve conter valores no formato de um endereço de e-mail. Por exemplo, value@email.com.
- Atributo Campo de endereço de e-mail (por exemplo, e-mail)
- Opcional:
- Atributo Campo de primeiro nome (por exemplo, firstname)
- Atributo Campo de sobrenome (por exemplo, sn)
- Atributo de mapeamento de tipo de usuário
- Atributo de mapeamento de setor de atividade
- Atributo de mapeamento de grupo
- Atributo(s) de metadados do CX Dashboards
- Atributo(s) de inscrição automática de função de CX Dashboards
- Obrigatório:
Assim que as informações acima forem fornecidas, a Qualtrics pode organizar a configuração de uma integração LDAP com o terceiro.
Central Authentication Service (CAS)
O Serviço de Autenticação Central (CAS) fornece serviço empresarial de início de sessão único e é suportado pelo CAS JA-SIG. Mais informações sobre CAS podem ser encontradas em https://www.apereo.org/projects/cas. O sistema Qualtrics pode agir como um cliente CAS, permitindo que o usuário autentique via CAS e faça login no sistema Qualtrics. Para configurar o CAS SSO, presume-se que o terceiro tenha um servidor CAS em funcionamento usando o protocolo CAS 2.0 ou mais recente.
Os seguintes parâmetros de configuração devem ser fornecidos:
- Nome do host do servidor CAS: nome do servidor.
- Porta do servidor CAS: a porta Qualtrics será usada para se comunicar com o servidor.
- URI para o sistema CAS no host
- URL de redirecionamento de logout: a Qualtrics requer uma URL de redirecionamento de logout para limpar as sessões de login dos usuários ao efetuar logout. Se nenhum URL de redirecionamento de logout for fornecido, a Qualtrics poderá redirecionar os usuários para https://qualtrics.com ou outro URL de sua escolha. No entanto, ele não limpará a sessão de login dos usuários e os usuários poderão fazer login imediatamente clicando no botão Voltar ou acessar a página de login novamente.
Os parâmetros a seguir variam de acordo com o uso ou não de uma versão do CAS que suporte SAML 1.1.
- Se não houver suporte para SAML 1.1: o nome de usuário CAS será usado para preencher os campos de nome de usuário, endereço de e-mail, nome e sobrenome da Qualtrics.
- Se SAML 1.1 for suportado: Os seguintes parâmetros de configuração também devem ser fornecidos:
- Obrigatório:
- Atributo Campo de endereço de e-mail (por exemplo, e-mail)
Qdica: Este atributo deve conter valores no formato de um endereço de e-mail. Por exemplo, value@email.com.
- Atributo Campo de endereço de e-mail (por exemplo, e-mail)
- Opcional:
- Atributo Campo de primeiro nome (por exemplo, firstname)
- Atributo Campo de sobrenome (por exemplo, sn)
- Atributo de mapeamento de tipo de usuário
- Atributo de mapeamento de setor de atividade
- Atributo de mapeamento de grupo
- Atributo(s) de metadados do CX Dashboards
- Atributo(s) de inscrição automática de função de CX Dashboards
- Obrigatório:
Depois que as informações acima forem fornecidas, a Qualtrics poderá organizar a integração do CAS com o terceiro.
Security Assertion Markup Language (SAML)
Security Assertion Markup Language (SAML) é um padrão baseado em XML para a troca de dados de autenticação e autorização entre domínios de segurança, ou um provedor de identidade (produtor de asserções) e um provedor de serviços (um consumidor de asserções). O sistema Qualtrics pode ser configurado para ser autenticado automaticamente por meio de um provedor de identidade (IdP) de terceiros usando SAML quando um usuário faz login no sistema Qualtrics. Para configurar uma integração SAML, parte-se do princípio de que o terceiro tem uma implementação SAML 2.0 ou Shibboleth 2.0 em funcionamento e pode suportar logins iniciados pelo provedor de serviços (SP).
O Qualtrics suporta fluxos de trabalho iniciados pelo provedor de identidade e SP para logons SAML. O mais comum dos dois é uma troca iniciada pelo SP, em que os usuários iniciam o fluxo em https://brandID.datacenter.qualtrics.com, ou o URL Vanity da organização. A troca iniciada pelo IdP é usada principalmente quando os usuários se autenticam em uma rede interna, em que os usuários iniciam o fluxo em um portal de aplicativo interno.
Os seguintes parâmetros de configuração devem ser fornecidos:
- Metadados do provedor de identidade (IdP) (no formato XML como link ou anexo)
- Tags obrigatórios:
- EntityDescriptor
- Descritor da chave
- SingleSignOnService
- Vinculações HTTP POST e HTTP Redirect dentro do SingleSignOnService são suportadas. No entanto, o HTTP Post deve ser usado se você precisar que nossa AuthnRequest seja assinada.
- SingleLogoutService
- Este campo é usado para redirecionar os usuários para uma URL que limpará as sessões de login dos usuários no logout. Se nenhum URL SingleLogoutService for fornecido, a Qualtrics poderá redirecionar os usuários para https://qualtrics.com ou outro URL de sua escolha. No entanto, ele não limpará a sessão de login dos usuários e os usuários poderão fazer login imediatamente clicando no botão Voltar ou acessar a página de login novamente.
- Tags obrigatórios:
- Atributos SAML
- Obrigatório:
- Atributo Campo de nome de usuário (ou seja, samAccountName)
- O atributo deve conter valores que sejam únicos, que não modifiquem e que não sejam confidenciais.
- Atributo Campo de endereço de e-mail (por exemplo, e-mail)
Qdica: Este atributo deve conter valores no formato de um endereço de e-mail. Por exemplo, value@email.com.
- Atributo Campo de nome de usuário (ou seja, samAccountName)
- Opcional:
-
- Atributo Campo de primeiro nome (por exemplo, firstname)
- Atributo de campo Sobrenome (por exemplo, sn)
- Atributo de mapeamento de tipo de usuário
- Atributo de mapeamento de setor de atividade
- Atributo de mapeamento de grupo
- Atributo(s) de metadados do CX Dashboards
-
- Obrigatório:
Assim que as informações acima forem fornecidas, a Qualtrics pode organizar a configuração de uma integração Shibboleth/SAML com o terceiro.
Como obter e descriptografar uma resposta SAML
Uma resposta SAML é enviada pelo provedor de identidade para o provedor de serviços após autenticação SAML bem-sucedida. A resposta SAML contém todas as informações transmitidas pelo provedor de identidade, como atributos, certificados, vinculações etc. Esta informação é valiosa ao solucionar problemas com autorização ou ao longo do processo de logon.
Há muitas ferramentas disponíveis para ajudar a obter uma resposta SAML. Abaixo está um método que deve estar disponível na maioria dos navegadores, mas sinta-se livre para usar qualquer método.
- Abra uma nova guia em seu navegador.
- Abra as Ferramentas de desenvolvedor.
Qdica: Elas podem estar localizadas em diferentes locais, dependendo do navegador que está sendo usado. As capturas de tela nesta página fazem referência à aparência de um navegador Chrome.
- Selecione a ficha Network.
- Selecione Preservar log.
- Insira o URL de login nesta guia do navegador e faça login via SSO.
- Em Nome, você desejará selecionar o item que diz “padult-sp”.
- Em Cabeçalhos, na parte inferior em Cabeçalhos de formulário, você verá um bloco de caracteres rotulados como resposta SAML.
Qdica: Se nossa equipe de suporte tiver solicitado uma resposta SAML, você poderá parar nesta etapa.
- A resposta SAML está atualmente codificada em Base64. Para decodificar a resposta SAML em um formato legível, você pode utilizar qualquer decodificador Base64 encontrado online.
Qdica: Confira estas ferramentas para codificar base64 e decodificar base64.
Como ler uma resposta SAML
Há algumas informações importantes em uma resposta SAML que podem ajudá-lo a solucionar problemas.
- Destino: corresponde ao URL do Serviço de consumidor de asserção do provedor de serviços e geralmente é encontrado próximo ao topo da resposta SAML.
- Emissor: corresponde ao ID da entidade do provedor de identidade e geralmente é encontrado próximo ao topo da resposta SAML.
- Certificado X509: corresponde ao certificado de assinatura do provedor de identidade e geralmente é encontrado no meio da resposta SAML.
- Público: corresponde ao ID da entidade do provedor de serviços e é geralmente encontrado no meio da resposta SAML.
- Instrução de atributo: contém todos os nomes e valores de atributo enviados pelo provedor de identidade e é geralmente encontrado na parte inferior da resposta SAML.