Base de conhecimento

O SAML (Security Assertion Markup Language) é uma maneira padronizada de trocar credenciais de autorização e autenticação entre partes diferentes. O uso mais comum para SAML é em logons únicos de navegadores da web. A partir de 2018.2, o Alteryx Server oferece suporte para SAML. Até agora, o SAML no Alteryx Server foi especificamente validado em dois provedores: PingOne e Okta. Neste artigo, revisaremos como configurar SAML no seu Alteryx Server para o Okta.   Parte 1: adicione o Alteryx ao Okta   Todo o processo começa com a configuração no lado do provedor de logon único. Este é um passo a passo de como adicionar o Alteryx como um aplicativo no Okta.   Observação: estas instruções são para a IU clássica. O console do desenvolvedor terá uma aparência diferente. Você pode alternar entre os modos de exibição no canto superior esquerdo do modo de exibição do administrador.   1. No Okta, no modo de exibição do administrador, navegue até Aplicativos e clique no botão Adicionar aplicativo.   2. Selecione Criar um novo aplicativo.     3. Selecione SAML 2.0 como o método de logon.     4. Digite um nome e logotipo (opcional) de aplicativo e clique em Avançar.    5. Na tela Configurar SAML, insira o URL de logon único como: http://NOMEDASUAGALERIA/aas/Saml2/Acs        Digite o URI de audiência (ID de entidade do provedor de serviços) como: http://NOMEDASUAGALERIA/aas/Saml2 e role para baixo.     6. Mapeie os atributos e-mail, firstName e lastName para os valores user.email, user.firstName e user.lastName respectivamente, clique em Avançar nesta página e em Finalizar na página seguinte.     7. Atribua o aplicativo para si mesmo e para quaisquer outros usuários necessários. Essa opção está em Atribuições de usuário no modo de exibição de aplicativo.       Parte 2: ajuste as configurações de sistema do Alteryx   Quando o Alteryx for adicionado ao Okta, será possível configurar SAML nas Configurações de sistema do Alteryx Server.   1. Nas Configurações de sistema do Alteryx, clique em avançar até acessar Gallery > Autenticação e selecione Autenticação SAML como seu tipo de autenticação. O campo URL base do ACS deve ser preenchido automaticamente com seu URL do Gallery.     2. Em Selecionar uma opção para obter os metadados exigidos pelo IDP, selecione "URL de metadados do IDP" ou "Certificado x509 e URL de SSO do IDP". Como qualquer uma dessas opções funciona com o Okta, sugerimos utilizar a opção "URL de metadados do IDP" porque simplifica a configuração. Se estiver interessado na configuração para a opção "Certificado X509 e URL de SSO do IDP", consulte este artigo para o PingOne.    Para o URL de metadados do IDP:   1. No Okta, clique no link Metadados do provedor de identidade, localizado logo abaixo da opção Exibir instruções de configuração na página Aplicativo > Entrar > Configurações.     2.  Esse link levará você a um arquivo XML que contém os metadados de SAML. Copie o URL que estará na guia do navegador após clicar nesse link.     3.  Cole o link do URL que você copiou no campo URL de metadados do IDP nas Configurações de sistema do Alteryx.     4. Visualize as instruções de configuração do Okta no modo de exibição de aplicativo em Entrar > Visualizar instruções de configuração, copie o URL do emissor do provedor de identidade e cole-o no campo URL do IDP nas Configurações de sistema do Alteryx.           5. Clique no botão para Verificar o IDP!       Pode surgir um pop-up alertando sobre a execução de scripts na janela pop-up. Esse é um problema conhecido, e deve ser possível contorná-lo clicando em "Sim" - talvez seja necessário clicar algumas vezes.   6. Deve aparecer uma tela de login do Okta. Forneça suas credenciais do Okta e selecione Entrar.     7. Se a sua verificação for bem-sucedida, será exibida uma mensagem no canto inferior direito da Tela de configurações do sistema. Observação: o primeiro usuário a entrar com sucesso no IDP por meio da verificação se torna o administrador padrão da Galeria (curador).     Agora você pode concluir as configurações de sistema do Alteryx clicando em Avançar nas opções de configuração restantes e, em seguida, em Finalizar.   Quando você navegar para o seu Gallery e clicar em Entrar, você deverá agora já estar conectado com suas Credenciais do Okta. Vivas!    

O SAML (Security Assertion Markup Language) é uma maneira padronizada de trocar credenciais de autorização e autenticação entre partes diferentes. O uso mais comum para SAML é em logons únicos de navegadores da web. A partir de 2018.2, o Alteryx Server oferece suporte para SAML. Até agora, o SAML no Alteryx Server foi especificamente validado em dois provedores: PingOne e Okta. Neste artigo, revisaremos como configurar SAML no seu Alteryx Server para o PingOne.   Parte 1: adicione o Alteryx ao PingOne   Todo o processo começa com a configuração no lado do provedor de logon único. Este é um passo a passo de como adicionar o Alteryx como um aplicativo no PingOne.   Na janela de configuração do PingOne, em Aplicativos > Meus aplicativos, clique em Adicionar aplicativo e selecione Novo aplicativo SAML.     2. Preencha com o nome, a descrição e os detalhes do Alteryx. Em seguida, clique em Continuar para a próxima etapa.     3. Na próxima tela, baixe o arquivo de metadados SAML e mantenha-o aberto. Você precisará dele durante a configuração do sistema no lado do Alteryx Server.         Preencha o campo Serviço do consumidor de declaração com: https://SEUURLDOGALLERY/aas/Saml2/Acs         Preencha o campo ID da entidade com: https://SEUURLDOGALLERY/aas/Saml2    Clique em Continuar para a próxima etapa.   4. No Mapeamento de atributos do SSO, inclua os Atributos do aplicativo e-mail, firstName, e lastName, e defina o Atributo de identificação ponte ou valor literal de cada um para E-mail, Nome, e Sobrenome, respectivamente. Defina os três atributos mapeados de SSO como "Obrigatório".     Selecione Salvar e Publicar.     Parte 2: ajuste as Configurações de sistema do Alteryx   Quando o Alteryx for adicionado ao PingOne, será possível configurar SAML nas Configurações de sistema do Alteryx Server.   Nas Configurações de sistema do Alteryx, clique em avançar até acessar Gallery > Autenticação e selecione Autenticação SAML como seu tipo de autenticação.   2.  Existem duas opções para obter os metadados exigidos pelo IDP (Identity Provider), entretanto, como o PingOne está configurado atualmente apenas para autorizar Certificado x509 e URL de SSO do IDP, essa é a opção que deverá ser selecionada.     3. Deixe o campo URL base do ACS com o valor preenchido automaticamente.       O URL do IDP será o "entityID" listado nos metadados do SAML exportados do PingOne (Parte 1, Passo 3)     O URL de SSO do IDP será o atributo "SingleSignOnService Binding Location" no mesmo documento de metadados.     O certificado x509 pode ser copiado e colado a partir do documento de metadados SAML.     Observe: se a opção copiar/colar contiver retornos de carro, o serviço de autenticação falhará. Esse é um problema conhecido.  Tente primeiro copiar/colar o certificado em um editor, como um bloco de notas, para remover a formatação.   4. Quando todos esses campos tiverem sido preenchidos, clique no botão para Verificar o IDP!     5. Deve aparecer um login do PingOne. Forneça suas credenciais do PingOne e selecione Entrar.     6. Se a sua verificação for bem-sucedida, será exibida uma mensagem no canto inferior direito da Tela de configurações do sistema. Observação: o primeiro usuário a entrar com sucesso no IDP por meio da verificação se torna o administrador padrão da Galeria (curador).     Agora você pode concluir as configurações de sistema do Alteryx clicando em Avançar nas opções de configuração restantes e, em seguida, em Finalizar. Quando você navegar para o seu Gallery e clicar em Entrar, você deverá agora já estar conectado com suas Credenciais do PingOne. Vivas!  

 As credenciais são a forma como controlamos quem tem acesso a quê em um computador ou uma rede. As credenciais são uma forma de impedir que as pessoas acessem dados, pastas ou conteúdo que não deveriam.     Os fluxos de trabalho em uma Galeria são executados no computador servidor onde o Gallery está hospedado. Por padrão, todos os fluxos de trabalho são executados como a conta de serviço. A conta de serviço em um computador terá as permissões da conta base configuradas pela sua equipe de TI.   Se um fluxo de trabalho precisar de mais permissões do que as concedidas para a conta de serviço para executar corretamente, há três opções disponíveis: Executar como usuário (Run as User Credentials), Credenciais do nível de inscrição (Studio/Subscription Credentials) ou Credenciais de fluxo de trabalho (Workflow Credentials).   As credenciais para os fluxos de trabalho do Gallery são um sistema de substituição baseado em prioridade. Se nada mais for definido, por padrão, o Gallery executará todos os fluxos de trabalho como a conta de serviço. Se a opção "Executar como credenciais" estiver definida, o Gallery utilizará como padrão a execução como as credenciais e assim por diante. Isso está ilustrado na pirâmide de credenciais abaixo.     Todas as credenciais de fluxo de trabalho devem ter a permissão para fazer logon como um trabalho em lote ou permissão para logon local no computador servidor. Sem essas permissões, a autenticação falhará. Para obter mais detalhes, consulte nossa documentação de ajuda sobre Executar como permissões.   Configurar credenciais na sua Galeria privada "Executar como usuário", que se encontra em Configurações do sistema > Operador > Executar como, é onde você pode alterar o padrão de como os fluxos de trabalho são executados, da conta de serviço para uma conta de sua escolha.       Quando essa opção estiver definida, todos os fluxos de trabalho da Galeria serão executados por padrão sob essas credenciais.   Os níveis de inscrição e de fluxo de trabalho sobrepõem-se às credenciais de serviço e "Executar como". O próximo estágio é a inscrição, que também é referida como Estúdio no Alteryx Gallery.   As credenciais do nível de inscrição são definidas pelo administrador da Galeria no Modo de exibição de administrador, em Inscrições. A opção "Credenciais padrão de fluxo de trabalho" está no final das Configurações de inscrição. O administrador da Galeria pode alterar as credenciais padrão de fluxo de trabalho selecionando a opção Alterar conta.     Nesta janela de seleção, será possível selecionar entre quaisquer credenciais de fluxo de trabalho criadas no Gallery (as credenciais de fluxo de trabalho são criadas na guia Credenciais de fluxo de trabalho, como demonstrado mais abaixo neste artigo).     As credenciais de inscrição são úteis para permissões em nível de departamento (por exemplo, as credenciais de fluxo de trabalho da equipe de Recursos Humanos concedem permissões diferentes das credenciais do departamento de TI).   As credenciais de fluxo de trabalho representam o nível mais alto das credenciais, portanto, sobrepõem-se todas as outras configurações de credenciais de fluxo de trabalho. As credenciais de fluxo de trabalho são adicionadas no Modo de exibição de administrador no Gallery, na opção Credenciais de fluxo de trabalho.     Há duas coisas importantes a serem observadas nessa página. A primeira é a opção para alterar a Configuração de credenciais para fluxos de trabalho.     Essa configuração tem três opções: usar credenciais padrão, exigir credenciais do usuário e permitir que os usuários selecionem a opção de credenciais.   A opção "Usar credenciais padrão" é selecionada por padrão. Essa opção executa todos os fluxos de trabalho como o "Executar como usuário" definido nas configurações do sistema ou, se disponível, como as Credenciais de inscrição.   A opção "Exigir credenciais do usuário" permite que os usuários insiram suas próprias credenciais sempre que executarem um fluxo de trabalho.     "Permitir que os usuários selecionem as opção de credenciais" autoriza os usuários a especifiquem os requisitos de credenciais para um fluxo de trabalho ao publicarem um fluxo de trabalho do Designer no Gallery. Existem três opções: "O usuário não é solicitado a especificar credenciais", "O usuário deve especificar suas próprias credenciais" ou "Sempre executar este fluxo de trabalho com estas credenciais".     O segundo aspecto a observar na guia Credenciais de fluxo de trabalho é a opção Adicionar novas credenciais, que permite adicionar novas credenciais à sua Galeria. Essas credenciais podem ser aplicadas a fluxos de trabalho ou usadas como credenciais de Estúdio.      Após criar as credenciais no Gallery, é preciso compartilhá-las com Usuários e Estúdios para uso. É possível editar com quem as credenciais são compartilhadas clicando na credencial…     ...e navegando até a guia Usuários e Estúdios.     Pensando na solução de problemas, nas versões do Alteryx Server >= 2018.1, é possível saber com quais credenciais um fluxo de trabalho foi executado na guia Resultados dos fluxos de trabalho.        Isso pode ser útil ao tentar descobrir por que um fluxo de trabalho não foi executado – talvez ele não tivesse as permissões necessárias.   Em resumo...   Conforme descrito anteriormente neste artigo, as credenciais para os fluxos de trabalho do Gallery são um sistema de substituição baseado em prioridade. Serão utilizadas as credenciais mais altas disponíveis. Se nenhuma opção de credencial for definida, o Gallery utilizará por padrão a conta de serviço, o que pode causar problemas porque as contas de serviço geralmente têm permissões limitadas.   Para obter mais informações, consulte a Documentação de Ajuda do Gallery.