Configurar o Adobe Workfront com SAML 2.0 usando ADFS

IMPORTANT
O procedimento descrito nesta página se aplica apenas a organizações que ainda não foram integradas à Adobe Admin Console.
Se sua organização foi integrada à Adobe Admin Console, consulte Diferenças de administração baseadas em plataforma (Adobe Workfront/Adobe Business Platform).

Como administrador do Adobe Workfront, você pode integrar o Workfront a uma solução SAML (Security Assertion Markup Language) 2.0 para logon único ao usar os ADFS (Ative Diretory Federation Services).

Este guia tem como foco a configuração do ADFS sem provisionamento automático ou mapeamentos de atributos. Recomendamos concluir a configuração e testá-la antes de configurar qualquer provisionamento automático.

Requisitos de acesso

Expanda para visualizar os requisitos de acesso para a funcionalidade neste artigo.

Você deve ter o seguinte acesso para executar as etapas deste artigo:

table 0-row-2 1-row-2 2-row-2 layout-auto html-authored no-header
plano do Adobe Workfront Qualquer
Licença do Adobe Workfront Plano
Configurações de nível de acesso

Você deve ser um administrador do Workfront.

OBSERVAÇÃO: se você ainda não tiver acesso, pergunte ao administrador do Workfront se ele definiu restrições adicionais no seu nível de acesso. Para obter informações sobre como um administrador do Workfront pode modificar seu nível de acesso, consulte Criar ou modificar níveis de acesso personalizados.

Habilitar autenticação para o Workfront com SAML 2.0

Para habilitar a autenticação para o aplicativo web do Workfront e o aplicativo móvel do Workfront com SAML 2.0, conclua as seguintes seções:

Recuperar o arquivo de metadados de SSO do Workfront retrieve-the-workfront-sso-metadata-file

  1. Clique no ícone Menu Principal Menu Principal no canto superior direito do Adobe Workfront ou (se disponível) clique no ícone Menu Principal Menu Principal no canto superior esquerdo e clique no ícone Instalação Instalação .

  2. No painel esquerdo, clique em Sistema > Logon Único (SSO).

  3. No menu suspenso Tipo, clique em SAML 2.0 para exibir informações e opções adicionais.

  4. Copie a URL exibida após a URL de metadados.

  5. Prossiga para a seguinte seção, Configurar Objeto de Confiança de Terceira Parte Confiável.

Configurar Confiança da Terceira Parte Confiável configure-relying-party-trusts

  1. Abra o ADFS Manager usando o Windows Server 2008 R2 (a versão pode variar).

  2. Ir para Início.

  3. Clique em Ferramentas Administrativas.

  4. Clique em Gerenciamento do ADFS 2.0.

  5. Selecione ADFS e expanda Relações de Confiança.

  6. Clique com o botão direito do mouse em Confiança da Terceira Parte Confiável e selecione Adicionar Confiança da Terceira Parte Confiável para iniciar o Assistente para Adicionar Confiança da Terceira Parte Confiável.

  7. Na Página de Boas-vindas, selecione Iniciar.

  8. Na seção Selecionar Source de Data, cole a URL de metadados do Workfront.

  9. Clique em Avançar.

  10. Clique em OK para confirmar a mensagem de aviso.

  11. Na seção Especificar Nome para Exibição, adicione um Nome para Exibição e Observações para distinguir a Confiança e clique em Avançar.

  12. Selecione Permitir que todos os usuários acessem esta terceira parte confiável (Ou Nenhuma se desejar configurá-la posteriormente).

  13. Clique em Avançar.

    Você será direcionado à seção Pronto para Adicionar Confiança.

  14. Prossiga para a seguinte seção Configurar Regras de Declaração.

Configurar Regras de Declaração configure-claim-rules

  1. Clique em Avançar na seção Pronto para Adicionar Confiança e verifique se a opção Abrir a caixa de diálogo Editar Regras de Declaração está selecionada.

    Isso permitirá que você edite as Regras de reclamação em uma etapa futura.

  2. Clique em Fechar.

  3. Clique em Adicionar regra.

  4. Selecione Enviar Atributo LDAP como Declarações.

  5. Clique em Avançar para exibir a etapa Configurar Regra de Declaração.

  6. Especifique os seguintes requisitos mínimos para configurar a regra de declaração: (Isso irá para a ID da Federação na configuração do usuário e é usado para distinguir quem está fazendo logon.)

    table 0-row-2 1-row-2 2-row-2 3-row-2 html-authored no-header
    Nome da regra de reclamação Especifique um nome para a regra de reclamação. Por exemplo, "Workfront".
    Repositório de atributos Selecione Ative Diretory no menu suspenso.
    Atributo LDAP Pode ser qualquer tipo de atributo. Recomendamos usar SAM-Account-Name para este atributo.
    Tipo de Declaração de Saída Você deve selecionar ID de Nome como o tipo de declaração de saída
  7. (Opcional) Para estabelecer o provisionamento automático, adicione as seguintes declarações adicionais no Atributo LDAP e no Tipo de Declaração de Saída:

    • Nome
    • Sobrenome
    • Endereço de e-mail
  8. Clique em Concluir e em OK na próxima tela.

  9. Clique com o botão direito do mouse na nova Terceira Parte Confiável e selecione Propriedades.

  10. Selecione a Guia Avançado. E em Algoritmo de hash seguro, selecione SHA-1 ou SHA-256.

    note note
    NOTE
    A opção selecionada em Algoritmo de hash seguro deve corresponder ao campo Algoritmo de hash seguro no Workfront em Configuração > Sistema > Logon único (SSO).
  11. Prossiga para a seguinte seção Fazer upload do arquivo de metadados e testar a conexão.

Fazer upload do arquivo de metadados e testar a conexão upload-the-metadata-file-and-test-the-connection

  1. Abra um navegador e navegue até https://<yourserver>/FederationMetadata/2007-06/FederationMetadata.xml .

    Isso deve baixar um arquivo de metadados FederationMetadata.xml.

  2. Clique em Escolher Arquivo em Preencher campos a partir dos Metadados do Provedor de Identidade e selecione o arquivo FederationMetadata.xml.

  3. (Opcional) Se as informações do certificado não foram preenchidas com o arquivo de metadados, você pode fazer upload de um arquivo separadamente. Selecione Escolher Arquivo na seção Certificado.

  4. Clique em Testar Conexão. Se configurada corretamente, você deverá ver uma página semelhante à mostrada abaixo:

    note note
    NOTE
    Se quiser configurar o mapeamento de atributos, certifique-se de copiar os atributos da Conexão de Teste para o Atributo de Diretório. Para obter mais informações, consulte Mapeamento de atributos de usuário.
  5. Selecione Isenção de administrador para permitir que os administradores do Workfront façam logon usando as credenciais da Workfront com a URL de desvio.

    Os indicadores que apontam para <yourdomain>.my.workfront.com/login ignoram o redirecionamento.

  6. Selecione a caixa Habilitar para habilitar a configuração.

  7. Clique em Salvar.

Sobre a atualização de usuários para SSO

Seguindo este guia, o Nome de Usuário do SSO será seu Nome de Usuário do Ative Diretory.

Como administrador do Workfront, você pode atualizar usuários em massa para o SSO. Para obter mais informações sobre como atualizar usuários para SSO, consulte Atualizar usuários para logon único.

Como administrador do Workfront, você também pode atribuir manualmente uma ID da Federação editando o perfil do usuário e preenchendo o campo ID da Federação. Para obter mais informações sobre como editar um usuário, consulte Editar perfil de usuário.

NOTE
Ao editar os perfis dos usuários para incluir uma Federation ID, selecionar Permitir Apenas Autenticação SAML 2.0 remove a capacidade de fazer logon no Workfront usando a URL de bypass (<yourdomain>.my.workfront.com/login).
recommendation-more-help
5f00cc6b-2202-40d6-bcd0-3ee0c2316b43