O Single Sign-On (SSO) permite que os alunos façam login em um único sistema, como o diretório da empresa, e acessem vários aplicativos sem precisar fazer login em cada um com credenciais separadas. Quando o SSO estiver habilitado para sua organização no Reach 360, você gerenciará alunos e potencialmente grupos de forma um pouco diferente. Os proprietários de contas do Reach 360 podem ativar o SSO na interface do aplicativo.

O Reach 360 usa o Security Assertion Markup Language (SAML) para autenticar os alunos e oferece suporte ao System for Cross-domain Identity Management (SCIM) para automatizar o provisionamento de alunos. Você pode usar o SAML sozinho ou com o SCIM para aumentar a automação.

Observação: você ainda pode adicionar alunos no Reach 360 seguindo as etapas listadas aqui. Lembre-se de que os alunos adicionados ao Reach 360 não são gerenciados pelo seu provedor de identidade (IdP).

Veja como o SSO pode afetar o que você faz na guia Pessoas.

• Gerenciando alunos autenticados com SAML
• Gerenciando grupos com SAML
• Gerenciando grupos e alunos provisionados com o SCIM
• Glossário

Gerenciando alunos autenticados com SAML

Se sua organização usa SAML, os alunos gerenciados pelo seu IdP não serão exibidos na guia Pessoas até que façam login pela primeira vez com suas credenciais de SSO. Você não poderá modificar seus nomes, alterar ou redefinir suas senhas no Reach 360. Esses alunos terão um ícone de ID em sua entrada.

Os atributos necessários para que um aluno seja criado no Reach 360 são:

• firstName= primeiro nome
• lastName= sobrenome
• email= endereço de e-mail
• subjectNameIdou Unique Learner Identifier = qualquer ID exclusiva do seu IdP

Você também pode enviar atributos opcionais:

• avatar= substitui a foto de perfil definida pelo aluno (deve ser passada como URL)
• groups= uma lista de grupos aos quais o aluno está atribuído no IdP que você gostaria de sincronizar com o Reach 360.

Para remover um aluno, você deve primeiro excluí-lo do seu IdP. Depois que eles forem excluídos, você poderá remover o registro deles da guia Alunos.

Gerenciando grupos com SAML

As modificações da associação ao grupo feitas em seu IdP não são processadas até que o aluno se desconecte e, em seguida, faça login novamente no Reach 360.

No Reach 360 com SSO ativado, os nomes dos grupos devem corresponder ao atributo IdP ou novos grupos serão criados. Renomeie o grupo no IdP e no Reach 360 para evitar alterações acidentais na associação ao grupo e problemas de inscrição de conteúdo quando os alunos se conectarem novamente ao Reach 360.

Para remover um grupo vinculado a um login de SSO, primeiro você deve remover a atribuição em grupo da groups reivindicação. Quando ele não estiver mais sendo enviado para os alunos, você poderá remover o grupo da guia Grupos no Reach 360. Se você não atualizar sua configuração de SSO, o grupo será reativado na próxima vez que um aluno com essa tarefa em seu IdP fizer login com SSO.

Gerenciando grupos e alunos provisionados com o SCIM

Se sua organização usa o SCIM além do SAML, você verá os alunos exibidos na guia Pessoas depois de serem adicionados ao seu IdP, mesmo que ainda não tenham feito login no Reach 360. Assim como no SAML, você não poderá modificar seus nomes, alterar ou redefinir suas senhas no Reach 360. Esses alunos terão um ícone de ID em sua entrada.

Os alunos que foram provisionados pelo SCIM só podem ser removidos por meio do seu IdP, não no Reach 360. Os alunos que foram adicionados ao Reach 360 sem provisionamento podem ser removidos normalmente.

Quando sua organização usa o SCIM, você também pode ter grupos gerenciados pelo IdP. Adicionar e excluir membros desses grupos deve ser feito em seu IdP, e você não pode adicionar alunos não gerenciados pelo IDP a eles no Reach 360.

Os atributos necessários para que um aluno seja criado no Reach 360 via SCIM são:

• name.givenName= primeiro nome
• name.familyName= sobrenome
• userName= endereço de e-mail

Você também pode enviar atributos opcionais:

• avatar= substitui qualquer foto de perfil enviada pelo aluno (deve ser passada como uma URL e deve ser enviada como um atributo que faz parte dourn:scim:schemas:extension:metadata:2.0:User schema)
• externalId= qualquer ID exclusiva do seu IdP

Nota: O intervalo de comunicação com o Reach 360 é controlado pelo seu IdP. Depois que os dados forem recebidos pelo nosso servidor SCIM, eles estarão disponíveis imediatamente no Reach 360.

Glossário

Active Directory (AD)

O Active Directory (AD) é um produto da Microsoft para gerenciar alunos, permissões e acesso a recursos de rede. Muitas organizações usam o AD para gerenciar suas equipes. Nossa solução de SSO é compatível com o AD, pois ambas oferecem suporte à comunicação SAML.

Afirmação

Uma declaração são dados enviados por um provedor de identidade (IdP) que fornece uma ou mais das seguintes declarações a um provedor de serviços (SP).

• As declarações de autenticação declaram que o aluno se autenticou com êxito e registram a hora em que o fez.
• As declarações de atributos fornecem detalhes sobre o aluno. Por exemplo, o atributo nameID fornece o nome de usuário e é necessário para autenticação. Outros atributos também podem ser configurados manualmente.
• As declarações de decisão de autorização concedem ou negam ao aluno o acesso a um recurso.

URL do Assertion Consumer Service (acsURL)

Um Assertion Consumer Service URL (acsURL) é um local ou recurso HTTPS em um provedor de serviços (SP), como o Reach 360, que aceita mensagens SAML de um provedor de identidade (IdP).

ID da entidade

O ID da entidade é uma sequência exclusiva de letras e números, geralmente na forma de uma URL, que identifica o provedor de serviços (SP). O ID da entidade também é chamado de URI do público e geralmente é o mesmo URL do Assertion Consumer Service URL (acsURL).

Identificador global exclusivo (GUID)

Um identificador global exclusivo (GUID) é uma sequência de letras, números e traços que identifica uma entidade. No contexto do SSO do Reach 360, o GUID se refere ao seu ID de assinatura do Reach 360.

Gerenciamento de identidade e acesso (IAM)

O Gartner tem uma ótima definição de gerenciamento de identidade e acesso (IAM):

O gerenciamento de identidade e acesso (IAM) é a disciplina de segurança que permite que as pessoas certas acessem os recursos certos, na hora certa, pelos motivos certos.

O IAM aborda a necessidade essencial de garantir o acesso adequado aos recursos em ambientes tecnológicos cada vez mais heterogêneos e atender aos requisitos de conformidade cada vez mais rigorosos. Essa prática de segurança é uma tarefa crucial para qualquer empresa. Está cada vez mais alinhado aos negócios e requer habilidades comerciais, não apenas conhecimentos técnicos.

As empresas que desenvolvem recursos maduros de IAM podem reduzir seus custos de gerenciamento de identidade e, mais importante, tornar-se significativamente mais ágeis no suporte a novas iniciativas de negócios.

Provedor de identidade (IdP)

Um provedor de identidade (IdP) é um serviço que armazena e gerencia um diretório de contas de alunos ou identidades digitais. As organizações usam IDPs para gerenciar seus alunos e conceder acesso aos recursos da rede. Exemplos de IdP incluem Okta, Azure e Ping.

No contexto do SSO, um IdP responde às solicitações de autenticação de um provedor de serviços (SP), como o Reach 360, para inscrever os alunos em um serviço, como sua conta do Reach 360.

Provisionamento Just-in-Time (JIT)

O provisionamento Just-in-Time (JIT) cria automaticamente contas de usuário em uma solução de SSO na primeira vez que um usuário se autentica com seu provedor de identidade (IdP).

Protocolo leve de acesso a diretórios (LDAP)

O Okta resume muito bem o Lightweight Directory Access Protocol (LDAP):

O Lightweight Directory Access Protocol (LDAP) é um protocolo da Internet que programas corporativos, como e-mail, CRM e software de RH, usam para autenticar o acesso e encontrar informações de um servidor.

A solução Reach 360 SSO usa SAML em vez de integração com LDAP.

Metadados

Metadados são informações fornecidas por um provedor de identidade (IdP) a um provedor de serviços (SP), ou vice-versa, no formato XML.

• Os metadados do SP fornecem o Assertion Consumer Service URL (acsURL), a restrição de público, o formato NameID e os certificados x.509 (usados pelo IdP para verificar assinaturas do SP e criptografar solicitações SAML do IdP para o SP, se necessário).
• Os metadados do IdP fornecem o URL do SSO, o ID da entidade e os certificados x.509 exigidos pelo SP para verificar a assinatura da declaração do IdP e, se a criptografia das solicitações SAML for necessária, criptografar mensagens do SP para o IdP.

Autenticação multifatorial (MFA)

A autenticação multifator (MFA), também chamada de autenticação de dois fatores (2FA), exige que os alunos passem por uma segunda camada de segurança ao fazer login em um aplicativo ou sistema. Uma forma comum de MFA pede que os alunos insiram um código de verificação, que eles recebem por mensagem de texto ou por um aplicativo autenticador.

O MFA não é compatível com o Reach 360. Recomendamos habilitar a MFA por meio de seu IdP para obter uma camada extra de segurança.

OAuth

O OAuth, ou Autorização Aberta, é um padrão para dar aos alunos acesso a aplicativos de terceiros sem expor suas senhas. A solução Reach 360 SSO não envolve OAuth.

OpenAM

O OpenAM é um sistema de gerenciamento de acesso de código aberto usado por algumas organizações para fornecer serviços de SSO a seus alunos. O serviço Reach 360 SSO é compatível com o OpenAM, pois ambos oferecem suporte à comunicação SAML.

Linguagem de marcação de asserção de segurança (SAML)

O Security Assertion Markup Language (SAML) é um padrão aberto baseado em XML para trocar dados de autenticação entre um provedor de identidade (IdP) e um provedor de serviços (SP), como o Reach 360.

Nossa solução de SSO usa o SAML 2.0 para autenticar os alunos no Reach 360 com base nas identidades da empresa, para que os alunos não precisem gerenciar um conjunto separado de credenciais para o Reach 360.

Login único (SSO)

O login único (SSO) permite que os alunos entrem em um único sistema, como o diretório da empresa, e acessem vários aplicativos sem fazer login em cada um com credenciais separadas. O SSO aumenta a produtividade e permite que as organizações apliquem seus próprios requisitos de segurança de senhas.

Provedor de serviços (SP)

Um provedor de serviços (SP) é uma empresa que oferece um serviço, como hospedagem de conteúdo. Um SP se comunica com um provedor de identidade (IdP) para inscrever os alunos no serviço. O Reach 360 é o SP nesse contexto.

Sistema para gerenciamento de identidade entre domínios (SCIM)

O SCIM é um padrão aberto para a automação do provisionamento e desprovisionamento de alunos. Por exemplo, uma empresa pode usar o SCIM para adicionar automaticamente seus alunos a um serviço de assinatura na nuvem e sincronizar os perfis da empresa com o serviço em nuvem.