Administrador de SaaS, vocês estão no lugar certo!
Administradores com auto-hospedagem e Managed Hosting , visualizem as informações de SAML específicas para implantações de hospedagem.

Sobre o SAML (Security Assertion Markup Language)

SAML (do inglês Security Assertion Markup Language) é um formato de dados baseado em XML e usado para autenticar e autorizar usuários entre sistemas separados. O SAML é geralmente usado como uma solução de logon único (SSO), inclusive para o Blackboard Learn. Quando instalado e configurado de forma adequada, o SAML permite que os usuários do Blackboard Learn façam logon usando o nome de usuário e senha de uma outra instituição ou aplicativo. O logon único economiza tempo para administradores e usuários, fornecendo uma integração perfeita para efetuar o logon.

As informações do usuário são passadas entre sistemas em uma declaração de SAML . O provedor de identidade é o host terceirizado da conta do usuário e sua instância do Blackboard Learn atua como o provedor de serviços. O provedor de identidade envia atributos que o Blackboard Learn usa para criar ou atualizar uma conta para o usuário. Esses atributos podem incluir informações como nome de usuário, nome, sobrenome e endereço de e-mail e são empacotados em um token de segurança como uma declaração do SAML. O provedor de identidade envia essa declaração do SAML para o Blackboard Learn quando o usuário insere suas informações de logon usando o logon único. Se seu nome de usuário não tiver uma correspondência no sistema, o Blackboard Learn cria uma nova conta com os atributos do usuário contidos na declaração de SAML.

O Building Block de SAML simplifica a configuração do logon único. Após a ativação do Building Block, um novo tipo de autenticação aparecerá na lista Criar provedor no Painel do administrador > Autenticação, permitindo que você configure o serviço de forma adequada.

O Building Block de SAML vem com o Software como serviço do Blackboard Learn e o Blackboard Learn 9.1 Q2 2016+.

O Building Block de SAML estabelece uma única conexão entre o Blackboard Learn e um provedor de identidade. Você pode criar vários itens de provedores de autenticação SAML para conectar-se a vários provedores de identidade. Além disso, o SAML não substitui completamente o fluxo de trabalho do logon do Blackboard Learn. Os usuários podem fazer logon no Blackboard Learn usando suas credenciais normalmente, se assim preferirem.


Ativar o Building Block do SAML

Se você estiver usando o Blackboard Learn em uma Implantação de SaaS, você não precisa instalar o Building Block, uma vez que ele já vem no seu sistema.

  1. Navegue até o Painel de administração.
  2. Em Integrações, selecione Building Blocks.
  3. Selecione Ferramentas instaladas.
  4. Localize Fornecedor de autenticação — SAML na lista e defina seu status como disponível.
  5. No Painel do administrador, em Integrações, selecione Autenticação.
  6. O SAML agora é exibido na lista Criar provedor na página do Provedor de autenticação.

Definir as configurações

Você pode definir as configurações para solucionar problemas ou assegurar a segurança de sua conexão SAML.

  1. Navegue até o Painel de administração.
  2. Em Integrações, selecione Building Blocks.
  3. Selecione Ferramentas instaladas.
  4. Localize Provedor de autenticação – SAML na lista. Abra o menu e selecione Configurações. Você tem as seguintes opções:
    • Gerar certificado novamente: Selecione Gerar novamente para gerar novamente o certificado SAML. Pode ser necessário gerar o certificado outra vez para manter a conexão segura ou se o certificado expirar.

      Depois de gerar o certificado novamente, é preciso recarregar os metadados do Provedor de serviços para o Provedor de identidade. Quando você selecionar Gerar novamente, o sistema solicitará que confirme a etapa.

    • Configurações de expiração da declaração: Nessa seção, é possível ajustar o Tempo para expiração (ResponseSkew) e o limite de idade da sessão SAML. Pode ser necessário editar o valor ResponseSkew se o servidor do Blackboard Learn estiver em um fuso horário diferente do servidor do Provedor de identidade. A diferença de tempo pode fazer com que as declarações SAML expirem antes que os usuários sejam autenticados corretamente. As sessões de SAML expiram no limite de tempo no limite de idade de sessão SAML. Selecione Não limitar a idade da sessão se deseja permitir que as sessões nunca expirem.
    • Configurações do algoritmo de assinatura: Escolha o tipo de algoritmo de assinatura que atende às suas necessidades de segurança ou conforme as exigências dos Provedores de identidade. Depois de selecionar o Tipo de algoritmo de assinatura, reinicie o Building Block SAML para aplicar as novas configurações.
  5. Clique em Enviar para salvar as alterações.

Criar e configurar um provedor de autenticação SAML

  1. Selecione o botão Criar Provedor e selecione o tipo de provedor de autenticação SAML.
  2. Digite um nome e uma descrição opcional para o provedor.
  3. Defina a Disponibilidade do provedor de autenticação como Ativo.
  4. Defina o Método de pesquisa do usuário como Nome de usuárioou UID em lote.
  5. Defina Restringir por nome de host como Usar o provedor para qualquer nome de host.
    • Se desejar, selecione Restringir este provedor apenas ao nome de host especificado. Digite o nome de host no campo Nomes de host restritos que aparecer.
  6. No campo Texto do link, digite o título do link como você deseja que ele apareça na página de logon do Blackboard Learn.
  7. Você também pode adicionar um ícone na página de logon, se desejar. Selecione Pesquisar para carregar um ícone para a página de logon.
  8. Clique em Salvar e configurar para continuar.

Na página de Configurações de autenticação SAML, você define as configurações de provedores de serviços e de identidade para estabelecer conexões de confiança. O provedor de identidade é o host terceirizado da conta do usuário, e sua instância do Blackboard Learn atua como o provedor de serviços.

Configurações do provedor de serviços

  1. O URL de Assertion Consumer Service é exibido no campo URL de ACS. Um provedor de identidade pode solicitar esse URL para completar as configurações da parte deles.
  2. Digite um nome para o ID de entidade. Esse ID será preenchido nos metadados do provedor de serviços.
  3. Marque a caixa de seleção Ativar SSO automático para permitir que os usuários ignorem a tela de login do Blackboard Learn se eles já tiverem feito o login em um provedor de identidade de confiança.
  4. Na seção Tipo de serviço de logout único você encontra três caixas de seleção. Selecione Publicar e Permitir ADFS LogoutResponse se o Provedor de identidade for ADFS. Quando a opção Permitir ADFS LogoutResponse estiver selecionada, a sessão de um usuário do Blackboard Learn será encerrada quando ele se desconectar do provedor de identidade.
  5. Para estabelecer uma conexão de confiança, você precisa compartilhar seus metadados com o provedor de identidade. Selecione o botão Gerar ao lado de Metadados do provedor de serviços.
  6. Compartilhe seus metadados com o provedor de identidade. Depois que eles salvarem os metadados, a conexão de confiança é estabelecida.
  7. Selecione uma Fonte de dados para esse provedor de autenticação. A fonte de dados é a fonte das contas fornecidas por esse provedor de autenticação. O valor padrão é Interno. Recomenda-se que você crie uma fonte de dados específica para usar com o provedor de autenticação SAML.

    Saiba mais sobre fontes de dados

    Esse tópico está na seção Hospedagem própria e gerenciada. Quando você terminar, use a função “voltar” do navegador para retornar para cá.

  8. Na lista Fontes de dados compatíveis, selecione as fontes de dados com as quais esse provedor de autenticação deve ser compatível. Isso é importante quando o provedor de autenticação possui contas que são compartilhadas com fontes de dados existentes.
  9. Marque a caixa de seleção para fazer o sistema criar automaticamente uma nova conta para o usuário se as informações deles não forem encontradas.
  10. Na caixa de texto Mensagem de erro, é possível inserir uma mensagem personalizada para os usuários caso a autenticação de SAML não funcione como o esperado.

Configurações do provedor de identidade

  1. Se você selecionar Apontar o provedor de identidade, carregue o arquivo de metadados dos provedores de identidade que eles compartilharam com você. Você tem a opção de inserir o URL dos metadados do provedor de identidade, mas é recomendado carregar o arquivo de metadados. Apenas uma dessas versões de metadados é mantida no sistema.
  2. Se você selecionar Federação da identidade, um campo surgirá para poder inserir o URL do serviço de descoberta.

Após a configuração, também será necessário registrar os metadados do provedor de serviços para a Comunidade da federação, como InCommon, Federação do Reino Unido etc.

Associar atributos de SAML

  1. Configure os Atributos de SAML para que possam se associar de forma apropriada com as definições de atributos do provedor de identidade. Se um atributo for deixado em branco, o Building Block do SAML ignorará o atributo ao analisar a resposta SAML.
  2. Selecione Enviar para salvar as informações.

Funções da instituição

A função da instituição de um usuário no sistema do Blackboard Learn é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:

Função principal de instituição (SAML)Funções da instituição do Blackboard Learn
AlunoAluno
PessoalPessoal
UniversidadeUniversidade

Funções de curso

A função de um usuário em um curso é determinada de acordo com as informações recebidas do provedor de identidade. As funções são mapeadas da seguinte forma:

Matrículas em curso (SAML)Funções de curso do Blackboard Learn
AlunoAluno
InstrutorInstrutor
ContentDeveloperCriador de curso
MembroAluno
GerenteAluno
AdministradorAluno
TeachingAssistantAssistente de ensino
MentorInstrutor

Vários valores de atributos

Se você espera que a resposta do provedor de identidade inclua vários valores para um atributo, formate sua resposta SAML conforme segue.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>[email protected]:TEST_COURSE_003
</saml2:AttributeValue>
<saml2:AttributeValue>[email protected]:TEST_COURSE_004
</saml2:AttributeValue>
</saml2:Attribute>


Testar a conexão

Teste a conexão para garantir que esteja funcionando corretamente. Faça o logout do Learn e faça o logon novamente usando o link do SAML. Digite as credenciais de sua conta para que o site externo faça o logon. Você retornará ao Blackboard Learn quando realizar o logon com sucesso.

Faça logoff do Blackboard Learn e aparecerá uma mensagem perguntando se você deseja encerrar todas as sessões relacionadas ou continuar. Se não fizer nada, o sistema encerrará todas as sessões em dois minutos. Caso deseje continuar sua sessão, precisará conectar-se novamente para sua segurança.

Solucionar problemas

Se você ou seus usuários se depararem com erros, consulte as dicas de solução de problemas a seguir.

  • Se um erro for exibido antes do redirecionamento para a página de logon do provedor de identidade, os metadados do provedor de identidade poderão ser inválidos.
  • Se um erro for exibido depois que você fizer o logon na página do provedor de identidade, os motivos possíveis são:
    • O mapeamento de atributos entre o provedor de serviços e o provedor de identidade está incorreto ou o provedor de identidade não retornou um ID de usuário remoto válido.
    • A resposta SAML do provedor de identidade não foi validada pelo provedor de serviços. Isso pode ter sido causado por:
      • O provedor de identidade assina a resposta SAML com um certificado que não é emitido por uma autoridade de certificação válida e o armazenamento de chaves do provedor de serviços não possui esse certificado.
      • O relógio do sistema do provedor de serviços está incorreto.
  • Para saber mais informações sobre erros, abra o arquivo bb-services-log.txt ou o painel de log visual e procure por palavras-chave como unsuccessfulAuthentication ou BbSAMLExceptionHandleFilter
  • Você pode usar o console do desenvolvedor do Chrome ou o plugin SAML Tracer para Firefox para localizar a resposta SAML.