Administradores de software como serviço, vocês estão no lugar certo!
Administradores Self- e Managed-Hosting, visualizem as informações de SAML específicas para implantações hospedadas.
Sobre o SAML (Security Assertion Markup Language)
SAML (do inglês Security Assertion Markup Language) é um formato de dados baseado em XML e usado para autenticar e autorizar usuários entre sistemas separados. O SAML é geralmente usado como uma solução de logon único (SSO), inclusive para o Blackboard Learn. Quando instalado e configurado de forma adequada, o SAML permite que os usuários do Blackboard Learn façam logon usando o nome de usuário e senha de uma outra instituição ou aplicativo. O logon único economiza tempo para administradores e usuários, fornecendo uma integração perfeita para efetuar o logon.
As informações do usuário são passadas entre sistemas em uma declaração de SAML . O provedor de identidade é o host terceirizado da conta do usuário, e sua instância do Blackboard Learn atua como o provedor de serviços. O provedor de identidade envia atributos que o Blackboard Learn usa para criar ou atualizar uma conta para o usuário. Esses atributos podem incluir informações como nome de usuário, nome, sobrenome e endereço de e-mail e são empacotados em um token de segurança como uma declaração do SAML. O provedor de identidade envia essa declaração do SAML para o Blackboard Learn quando o usuário insere suas informações de logon usando o logon único. Se seu nome de usuário não tiver uma correspondência no sistema, o Blackboard Learn cria uma nova conta com os atributos do usuário contidos na declaração de SAML.
O Building Block de SAML simplifica a configuração do logon único. Após a ativação do Building Block, um novo tipo de autenticação aparece na lista Criar provedor no Painel do administrador > Autenticação, o que permite que você configure o serviço corretamente.
O Building Block de SAML vem com o software como serviço do Blackboard Learn e o Blackboard Learn 9.1 Q2 2016+.
O Building Block de SAML estabelece uma única conexão entre o Blackboard Learn e um provedor de identidade. Você pode criar vários itens de provedores de autenticação SAML para conectar-se a vários provedores de identidade. Além disso, o SAML não substitui completamente o fluxo de trabalho do logon do Blackboard Learn. Os usuários podem fazer logon no Blackboard Learn usando suas credenciais normalmente, se assim preferirem.
Ativar o Building Block do SAML
Se você estiver usando o Blackboard Learn em uma Implantação de SaaS, você não precisa instalar o Building Block, uma vez que ele já vem no seu sistema.
- Navegue até o Painel do administrador.
- Em Integrações, selecione Building Blocks.
- Selecione Ferramentas instaladas.
- Localize Fornecedor de autenticação — SAML na lista e defina seu status como disponível.
- No Painel do administrador, em Integrações, selecione Autenticação.
- O SAML agora é exibido na lista Criar provedor na página do Provedor de autenticação.
Definir as configurações
Você pode definir as configurações para solucionar problemas ou assegurar a segurança de sua conexão SAML.
- Navegue até o Painel do administrador.
- Em Integrações, selecione Building Blocks.
- Selecione Ferramentas instaladas.
- Localize Provedor de autenticação – SAML na lista. Abra o menu e selecione Configurações. Você tem as seguintes opções:
- Gerar certificado novamente: Selecione Gerar novamente para gerar novamente o certificado SAML. Pode ser necessário gerar o certificado outra vez para manter a conexão segura ou se o certificado expirar.
Depois de gerar o certificado novamente, é preciso recarregar os metadados do Provedor de serviços para o Provedor de identidade. Quando você selecionar Gerar novamente, o sistema solicitará que confirme a etapa.
Se você gerar um novo certificado nas configurações de B2, será necessário alternar o SAML B2 para Inativo e, então, voltar para Ativo para forçar a alteração. Depois, você pode retornar às configurações do provedor e gerar os novos metadados para importar para o IDP. Se você não alternar as configurações, o certificado antigo ainda poderá ser incluído ao gerar novos metadados. O IDP não será atualizado e, na próxima vez que o Learn o reiniciar, ele apresentará o novo certificado. A autenticação SAML será interrompida por causa dessa incompatibilidade.
- Configurações de expiração da declaração: Nessa seção, é possível ajustar a Data de validade (ResponseSkew) e o limite de duração da sessão SAML . Pode ser necessário editar o valor ResponseSkew se o servidor do Blackboard Learn estiver em um fuso horário diferente do servidor do Provedor de identidade. A diferença de tempo pode fazer com que as declarações SAML expirem antes que os usuários sejam autenticados corretamente. As sessões de SAML expiram no limite de tempo no limite de idade de sessão SAML. Selecione Não limitar a duração da sessão se quiser que as sessões nunca expirem.
- Configurações do algoritmo de assinatura: Escolha o tipo de algoritmo de assinatura que atende às suas necessidades de segurança ou conforme as exigências dos Provedores de identidade. Depois de selecionar o Tipo de algoritmo de assinatura, reinicie o Building Block SAML para aplicar as novas configurações.
- Gerar certificado novamente: Selecione Gerar novamente para gerar novamente o certificado SAML. Pode ser necessário gerar o certificado outra vez para manter a conexão segura ou se o certificado expirar.
- Clique em Enviar para salvar as alterações.
Criar e configurar um provedor de autenticação SAML
- Selecione o botão Criar Provedor e selecione o tipo de provedor de autenticação SAML.
- Digite um nome e uma descrição opcional para o provedor.
- Defina a Disponibilidade do provedor de autenticação como Ativo.
- Defina o Método de pesquisa do usuário como Nome de usuário ou Código de identificação do lote.
- Defina Restringir por nome de host como Usar o provedor para qualquer nome de host.
- Se desejar, selecione Restringir este provedor apenas ao nome de host especificado. Digite o nome de host no campo Nomes de host restritos que aparecer.
- No campo Texto do link, digite o título do link como você deseja que ele apareça na página de logon do Blackboard Learn.
- Você também pode adicionar um ícone na página de logon, se desejar. Selecione Pesquisar para carregar um ícone para a página de logon.
- Clique em Salvar e configurar para continuar.
Na página de Configurações de autenticação SAML, você define as configurações de provedores de serviços e de identidade para estabelecer conexões de confiança. O provedor de identidade é o host terceirizado da conta do usuário, e sua instância do Blackboard Learn atua como o provedor de serviços.
Configurações do provedor de serviços
- O URL de Assertion Consumer Service é exibido no campo URL de ACS. Um provedor de identidade pode solicitar esse URL para completar as configurações da parte deles.
- Digite um nome para o Código de entidade. Esse ID será preenchido nos metadados do provedor de serviços.
- Marque a caixa de seleção Ativar SSO automático para permitir que os usuários ignorem a tela de logon do Blackboard Learn se eles já tiverem feito o logon em um provedor de identidade de confiança.
- Na seção Tipo de serviço de logout único, você encontra três caixas de seleção. Selecione Publicar e Permitir ADFS LogoutResponse se o provedor de identidade for ADFS. Quando a opção Permitir ADFS LogoutResponse for selecionada, a sessão de um usuário do provedor de identidade será encerrada quando ele se desconectar do Blackboard Learn.
- Para estabelecer uma conexão de confiança, você precisa compartilhar seus metadados com o provedor de identidade. Selecione o botão Gerar ao lado de Metadados do provedor de serviços.
- Compartilhe seus metadados com o provedor de identidade. Depois que eles salvarem os metadados, a conexão de confiança é estabelecida.
- Selecione uma Fonte de dados para esse provedor de autenticação. A fonte de dados é a fonte das contas fornecidas por esse provedor de autenticação. O valor padrão é Interno. Recomenda-se que você crie uma fonte de dados específica para usar com o provedor de autenticação SAML.
Saiba mais sobre fontes de dados
Esse tópico está na seção Hospedagem própria e gerenciada. Quando você terminar, use a função “voltar” do navegador para retornar para cá.
- Na lista Fontes de dados compatíveis, selecione as fontes de dados com as quais esse provedor de autenticação deve ser compatível. Isso é importante quando o provedor de autenticação possui contas que são compartilhadas com fontes de dados existentes. Se o usuário existir e estiver associado a uma fonte de dados sem marcação, o usuário não será autenticado com sucesso.
- Marque a caixa de seleção para fazer o sistema criar automaticamente uma nova conta para o usuário se as informações deles não forem encontradas.
- Na caixa de texto Mensagem de erro, é possível inserir uma mensagem personalizada para os usuários caso a autenticação de SAML não funcione como o esperado.
Configurações do provedor de identidade
- Se você selecionar Apontar o provedor de identidade, carregue o arquivo de metadados dos provedores de identidade que eles compartilharam com você. Você tem a opção de inserir o URL dos metadados do provedor de identidade, mas é recomendado carregar o arquivo de metadados. Apenas uma dessas versões de metadados é mantida no sistema.
- Se você selecionar Federação da identidade, um campo surgirá para poder inserir o URL do serviço de descoberta.
Após a configuração, também será necessário registrar os metadados do provedor de serviços para a Comunidade da federação, como InCommon, Federação do Reino Unido etc.
Associar atributos de SAML
- Configure os Atributos de SAML para que possam se associar de forma apropriada com as definições de atributos do provedor de identidade. Se um atributo for deixado em branco, o Building Block do SAML ignorará o atributo ao analisar a resposta SAML.
- Selecione Enviar para salvar as informações.
Funções na instituição
A função na instituição de um usuário no sistema do Blackboard Learn é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:
| Função principal de instituição (SAML) | Funções na instituição do Blackboard Learn |
|---|---|
| Aluno | Aluno |
| Pessoal | Pessoal |
| Universidade | Universidade |
Funções de curso
A função de um usuário em um curso é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:
| Matrículas em curso (SAML) | Funções de curso do Blackboard Learn |
|---|---|
| Aluno | Aluno |
| Instrutor | Instrutor |
| ContentDeveloper | Criador de cursos |
| Membro | Aluno |
| Gerente | Aluno |
| Administrador | Aluno |
| TeachingAssistant | Assistente de ensino |
| Mentor | Instrutor |
Vários valores de atributos
Se você espera que a resposta do provedor de identidade inclua vários valores para um atributo, formate sua resposta SAML conforme segue.
Learner@batchUid:TEST_COURSE_003
Learner@batchUid:TEST_COURSE_004
Testar a conexão
Teste a conexão para garantir que esteja funcionando corretamente. Faça o logout do Learn e faça o logon novamente usando o link do SAML. Digite as credenciais de sua conta para que o site externo faça o logon. Você retornará ao Blackboard Learn quando realizar o logon com sucesso.
Ao fazer logout do Blackboard Learn, uma mensagem será exibida para perguntar se você deseja fechar todas as sessões relacionadas ou continuar. Se não fizer nada, o sistema encerrará todas as sessões em dois minutos. Caso deseje continuar sua sessão, precisará conectar-se novamente para sua segurança.
Solucionar problemas
Se você ou seus usuários se depararem com erros, consulte as dicas de solução de problemas a seguir.
- Se um erro for exibido antes do redirecionamento para a página de logon do provedor de identidade, os metadados do provedor de identidade poderão ser inválidos.
- Se um erro for exibido depois que você fizer o logon na página do provedor de identidade, os motivos possíveis são:
- O mapeamento de atributos entre o provedor de serviços e o provedor de identidade está incorreto ou o provedor de identidade não retornou um código de usuário remoto válido.
- A resposta SAML do provedor de identidade não foi validada pelo provedor de serviços. Isso pode ter sido causado por:
- O provedor de identidade assina a resposta SAML com um certificado que não é emitido por uma autoridade de certificação válida e o armazenamento de chaves do provedor de serviços não possui esse certificado.
- O relógio do sistema do provedor de serviços está incorreto.
- Para saber mais sobre erros, abra o arquivo bb-services-log.txt ou o painel de registro visual e procure palavras-chave como unsuccessfulAuthentication ou BbSAMLExceptionHandleFilter
- Você pode usar o console do desenvolvedor do Chrome, o plug-in SAML Tracer para Firefox ou o SAML Message Decoder para Firefox para localizar a resposta SAML.
