IDP externo (explicação)
IDP é a sigla de Identity Provider. Um IDP externo é um serviço e aplicativo externo em que é possível armazenar e gerenciar informações de identidade de usuário e fornecer serviços de autenticação de usuário para outros sistemas. Você pode associar um IDP externo ao VMS XProtect.
XProtect suporta IDPs externos que são compatíveis com o Connect (OIDC) OpenID.
Autenticação do usuário
Com um IDP externo configurado, os clientes XProtect dão suporte ao uso de IDP externos como uma opção de autenticação adicional.
Quando o endereço do computador na tela de login do cliente aponta para um VMS XProtect com um IDP externo configurado, uma chamada de API será disparada e a opção de autenticação para o IDP externo ficará disponível na tela de login. A chamada de API será ativada quando o cliente for iniciado e sempre que o endereço for alterado.
A API específica que o cliente consulta é uma API pública que não requer autenticação do usuário, portanto, essas informações sempre poderão ser lidas pelo cliente.
Reivindicações
Uma reivindicação é uma declaração que uma entidade, como um usuário ou um aplicativo, faz sobre si mesma.
A alegação consiste em um nome de alegação e um valor de alegação. Por exemplo, o nome da reivindicação pode ser um nome padrão que descreve o conteúdo do valor da reivindicação, e o valor da reivindicação pode ser o nome de um grupo. Veja mais exemplos de alegações de um IDP externo: Exemplo de reivindicações de um IDP externo.
As alegações não são obrigatórias. No entanto, elas são necessárias para vincular automaticamente usuários do IDP externo a funções no VMS XProtect a fim de determinar as permissões dos usuários. As alegações são incluídas no token de ID dos usuários do IDP externo e determinam as permissões do usuário no XProtect por meio da associação com as funções.
Se as alegações relacionadas às funções do VMS XProtect não forem fornecidas para os usuários do IDP externo, os usuários do IDP externo poderão ser criados no VMS XProtect quando fizerem login pela primeira vez. Nesse caso, os usuários do IDP externo não estarão vinculados a nenhuma função. Assim, o administrador do VMS XProtect deverá adicionar manualmente os usuários às funções.
Pré-requisitos para IDPs externos
As seguintes etapas deverão ser concluídas no IDP externo antes de sua configuração no VMS.
-
O ID do cliente e o segredo para uso com o VMS XProtect deverão ter sido criados no IDP externo. Para obter mais informações, consulte Nomes de usuário exclusivos para usuários de IDP externo .
-
A autoridade de autenticação para o IDP externo deverá ser conhecida. Para obter mais informações, consulte as informações sobre a autoridade de autenticação para o IDP externo na caixa de diálogo Opções.
-
Os URIs de redirecionamento para o VMS XProtect deverão ter sido configurados no IDP. Para obter mais informações, consulte Adicionar URIs redirecionados para clientes da web.
-
Opcionalmente, as alegações relacionadas ao VMS deverão ter sido configuradas para os usuários ou grupos no IDP.
-
O VMS XProtect deverá estar totalmente configurado com certificados para garantir que toda a comunicação seja feita por meio de https criptografado. Caso contrário, a maioria dos IDPs externos não aceitará solicitações do VMS XProtect e de seus clientes, ou parte do fluxo de comunicação e troca de tokens de segurança falhará.
-
O VMS XProtect e todos os computadores clientes ou smartphones que precisem usar o IDP externo deverão ser capazes de entrar em contato com o endereço de login do IDP externo.
Ativar usuários para fazer login no VMS XProtect a partir de um IDP externo
-
No IDP externo, crie os usuários e crie alegações para identificar usuários como usuários de IDP externo no VMS XProtect. A criação de alegações não é uma etapa obrigatória, mas é assim que você habilita o vínculo automático de usuários a funções. Para obter mais informações, consulte Reivindicações.
-
No VMS XProtect, crie uma configuração que permita que o Identity Provider (que é integrado ao VMS) entre em contato com o IDP externo. Para mais informações sobre como criar uma configuração para um IDP externo, consulte Adicionar e configurar um IDP externo.
-
Do VMS XProtect, estabeleça a autenticação de usuários mapeando as alegação do usuário do IDP externo às funções XProtect. Para obter mais informações sobre como mapear alegações para funções, consulte Mapear alegações de um IDP externo para funções em XProtect.
-
Faça login em um cliente do XProtect usando um IDP externo para autenticação do usuário, consulte Faça login por meio de um IDP externo.
URIs redirecionados
O URI redirecionado especifica a página à qual o usuário é enviado após uma autenticação bem-sucedida. No seu IDP externo, você tem que adicionar o endereço do servidor de gerenciamento seguido pelo caminho de retorno de chamada que definiu no XProtect Management Client. Por exemplo, o https://management-server-computer.company.com/idp/signin-oidc
Dependendo de como o VMS XProtect for acessado, como a rede, os servidores e o Active Directory da Microsoft estiverem configurados, talvez seja necessário ter vários URIs de redirecionamento. Veja alguns exemplos abaixo:
Exemplos
Servidor de gerenciamento com ou sem o domínio no URL:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
Servidor móvel com ou sem o domínio no URL:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
Se o servidor móvel estiver configurado para ser acessado pela Internet, você também deverá adicionar o endereço público e as portas.
Nomes de usuário exclusivos para usuários de IDP externo
Nomes de usuários são criados automaticamente para usuários que fazem login no Milestone XProtect por meio de um IDP externo.
O IDP externo fornece um conjunto de alegações para criar automaticamente um nome para o usuário em XProtect e em XProtect um algoritmo é usado para escolher um nome a partir de um IDP externo que seja exclusivo no banco de dados de VMS.
Exemplo de alegações de um IDP externo:
A alegação consiste em um nome e um valor de alegação. Por exemplo:
Nome da alegação | Valor da alegação |
|---|---|
| nome | Raz Van |
| 123@domain.com | |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@domain.com |
| vmsRole | Operador |
| locale | pt-BR |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | América/Los_Angeles |
| email_verified | Verdadeiro |
Usando o número de sequência da reivindicação para criar nomes de usuário em XProtect
No XProtect, a prioridade de busca para criar um usuário no VMS XProtect pelo número de sequência das reivindicações na tabela abaixo. O primeiro nome de reivindicação disponível será usado no VMS XProtect:
Nome da alegação | Número sequencial | Descrição |
|---|---|---|
| UserNameClaimType | 1 | Mapeamento configurado com uma declaração para definir o nome de usuário. A alegação é definida no campo Alegação a ser usada para criar nome de usuário na guia IDP externo em Ferramentas > Opções. |
| preferred_username | 2 | Alegação que pode vir do IDP externo. Uma alegação padrão que é normalmente usada para isso em Oidc (OpenID Connect). |
| nome | 3 | |
| given_name family_name | 4 | Nome e sobrenome em uma combinação como Bob Johnson. |
| 5 | ||
| Primeira reivindicação disponível + #(primeiro número disponível) | 6 | Por exemplo, Bob# 1 |
Definindo reivindicações específicas para criar nomes de usuário no XProtect
Os administradores do XProtect podem definir uma alegação específica a partir do IDP externo que deve ser usada para criar um nome de usuário no VMS XProtect. Quando um administrador define uma alegação a ser usada para a criação do nome de usuário no VMS XProtect, o nome da alegação deve ser escrito exatamente como o nome da alegação que vem do IDP externo.
-
A alegação a ser usada para o nome de usuário pode ser definida no campo Alegação a ser usada para criar nome de usuário na guia IDP externo em Ferramentas > Opções.
Excluindo usuários do IDP externo
Os usuários criados em XProtect por um login em IDP externo são excluídos da mesma forma que um usuário básico e o usuário pode ser excluído a qualquer momento depois que o usuário é criado.
Se um usuário for excluído no XProtect e o usuário fizer login novamente a partir de um IDP externo, um novo usuário será criado em XProtect. No entanto, os dados associados ao usuário no XProtect, como exibições e funções privadas, são perdidos e essas informações precisam ser criadas novamente para o usuário no XProtect.
Se um IDP externo for excluído no Management Client, quaisquer usuários conectados ao VMS via IDP externo também serão excluídos.