NOTE:

Para executar operações nesta página, o usuário deve ser membro do grupo NRTADMIN. Para obter mais informações sobre as operações específicas permitidas, consulte Entender os níveis.

Esta página contém informações para ajudá-lo a configurar e gerenciar a autenticação de logon único (SSO) Security Assertion Markup Language (SAML) com o iManage e atualizar sua configuração quando os certificados do provedor de identidade (IdP) estiverem próximos de expirar e precisarem ser atualizados.

Configurar o SSO SAML para seu ambiente iManage descarrega a autenticação de usuários do iManage para seu IdP e oferece os seguintes benefícios:

  • Simplifica a experiência de autenticação para seus usuários do iManage.
  • Reduz o custo de administração de contas de usuários do iManage, como gerenciamento ou redefinição de senhas de usuários do iManage.

O iManage usa SAML SSO iniciado pelo provedor de serviços, onde o iManage é o provedor de serviços. Quando um usuário do iManage tenta fazer login, uma solicitação de autenticação SAML é enviada ao IdP para autenticar o usuário.

Antes da atualização do serviço de nuvem do terceiro trimestre de 2021/versão iManage Work 10.4.0, o iManage usava SAML SSO iniciado pelo provedor de identidade. Ao migrar para o SSO SAML iniciado por SP, os clientes podem gerenciar sua configuração de SSO SAML inteiramente dentro do Control Center e de seu Provedor de Identidade. A migração do SSO SAML iniciado pelo IdP para o SAML iniciado pelo SP não afeta o processo de login dos usuários finais do iManage.

Quem deve usar isso?

  • Novos clientes que estão adotando o iManage Work e desejam implementar a autenticação SAML SSO para seus usuários
  • Clientes existentes do iManage Work que não usam SAML SSO e desejam fazer a transição para a autenticação SAML SSO para seus usuários.
  • Clientes existentes do iManage Work na Cloud que atualmente usam a autenticação SAML SSO conforme configurada e gerenciada pelo iManage e desejam gerenciar sua autenticação SAML SSO diretamente usando o iManage Control Center.

Nesta página:

Antes de começar

Antes de configurar o SSO SAML em seu ambiente iManage:

  • Confirme se pelo menos uma conta de usuário administrativo com o tipo de sistema operacional Virtualfoi criada em todas as bibliotecas do iManage. Use esta conta para configurar o SSO SAML nas seções a seguir desta página.
    Quando definidas como Virtual, essas contas usam login explícito para autenticação no iManage. Ou seja, eles usam o nome de usuário e a senha definidos no iManage Control Center e não se autenticam usando SAML SSO.
    Veja as etapas abaixo para confirmar o tipo de sistema operacional de um usuário do iManage.

    CAUTION:

    Se você não configurar pelo menos uma conta de usuário virtual em todas as bibliotecas e sua autenticação SAML SSO estiver configurada incorretamente ou seu certificado IdP expirar, todos os usuários poderão ser impedidos de fazer login no iManage.

    Confirme se esses usuários administrativos podem entrar no Work 10 Web usando o URL de login explícito:
    https://<domínio>/login/imanagework.html

  • Confirme se todas as outras contas de usuário do iManage usadas para autenticar os serviços do iManage (como a conta usada para o iManage Directory Synchronization Service, o iManage Refile Service ou o Workspace Generator) ou integrações de terceiros estão configuradas com o tipo de sistema operacional Virtual .

    Sempre mantenha essas credenciais de conta seguras.

  • Após ativar o SSO SAML no iManage Control Center, recomendamos que todas as outras contas de usuário do iManage sejam definidas com o tipo de sistema operacional Active Directory. Isso impõe a autenticação SAML SSO para esses usuários e evita que eles façam login usando login explícito. Todos os usuários importados usando o iManage Directory Synchronization Service são automaticamente configurados para o Active Directory

Para confirmar o tipo de sistema operacional de um usuário:

  1. No iManage Control Center, navegue até Acesso > Usuários.
  2. Selecione qualquer conta de usuário.
  3. Na seção Detalhes da plataforma da conta do usuário, visualize o campo Tipo de SO.

Para alterar o tipo de sistema operacional de um usuário individual para que ele seja configurado para autenticação usando SSO:

  1. SelecioneEditar para abrir a caixa de diálogo Editar detalhes da plataforma. Modifique esta configuração para Active Directory.
  2. Selecione Salvar.

    Figura: Caixa de diálogo Editar detalhes da plataforma

Entre em contato comsupport@imanage.com se precisar de ajuda para atualizar um grande número de usuários.

Requisitos do aplicativo iManage

Todos os aplicativos iManage oferecem suporte à autenticação SAML SSO, mas os seguintes requisitos se aplicam:

  • Work Desktop para Windows 10.2.4 ou posterior
  • DeskSite ou FileSite 9.3.7 ou posterior

Além disso, a autenticação usando OAuth2 é necessária para esses aplicativos. Para obter mais informações, consulte os seguintes tópicos:


AVISO: O Work Desktop para Windows não oferecerá mais suporte ao uso do controle do navegador Microsoft Internet Explorer

Etapas para configurar o SSO SAML

1. Configure o SSO do seu provedor de identidade

Para configurar seu provedor de identidade para fornecer autenticação SAML SSO para seus usuários do iManage, consulte as seguintes instruções para seu IdP:

Para todos os outros provedores de identidade, consulteConfiguração geral do IdP.

Após configurar seu IdP e fazer download do arquivo de metadados XML federado do seu IdP, continue para Habilitar SSO SAML.

2. Habilitar SSO SAML

As etapas a seguir descrevem como importar o arquivo de metadados XML federado e ativar o SSO SAML para seus usuários do iManage no Control Center.

TIP:

Para evitar interrupções em caso de configuração incorreta, recomendamos que você execute estas etapas durante uma janela de manutenção ou quando poucos usuários estiverem usando o iManage Work.

  1. Faça login no iManage Work usando a conta virtual administrativa conforme descrito em Antes de começar a usar a página de login explícito:
    https://<domínio>/login/imanagework.html
  2. Abrir iManage Control Center No menu do perfil de usuário do iManage Work, selecione Centro de Controle.

    Figura: Acessando o iManage Control Center

  3. Navegue até Rede e segurança > Autenticação e SSO.
  4. Na seção Autenticação, selecioneEditar. A caixa de diálogo Editar configurações de autenticação é exibida.

    Figura: Caixa de diálogo Editar configurações de autenticação

  5. SelecioneHabilitado.

  6. Selecione Provedor de serviços (recomendado).
    Se você já tiver o SSO SAML habilitado em seu ambiente iManage Work, a opção Provedor de identidade (Legacy)será selecionada por padrão. Em um ambiente local, esta opção usa as configurações armazenadas em seu Servidor de Trabalho. Em um ambiente iManage Cloud, isso usa configurações definidas pela equipe de operações do iManage Cloud.
    Esta opção é fornecida como uma forma de reverter para a configuração SAML SSO configurada anteriormente. Isso só deverá ser selecionado se, depois de ativar o Provedor de serviços (recomendado), os usuários não conseguirem fazer login no iManage Work. Para obter mais informações, consulte Solução de problemas.

    NOTE:

    A opção Provedor de identidade (Legacy) terá suporte até o final de 2022, quando a opção não será mais exibida no iManage Control Center.

  7. Selecione Próximo. A caixa de diálogo Configurar logon único (SSO) SAML é exibida e exibe as informações do seu ambiente iManage.

    NOTE:

    Se você ainda não executou as etapas em Configurar o SSO do seu provedor de identidade, leia e execute essas etapas antes de continuar.

  8. Selecione Próximo.
  9. Na seção Configurar SAML SSO, selecione Importar arquivo XML.

    Figura: Caixa de diálogo Configurar logon único (SSO) SAML

  10. Selecione Importar arquivo XML.
  11. Quando solicitado, localize o arquivo XML de metadados que você baixou do seu IdP em Configurar o SSO do seu provedor de identificação e selecione Abrir.

    O arquivo é importado para o Control Center e os valores para Identificar URL de SSO do provedor, URL de logout e Data de expiração do certificado são exibidos com base nas informações no arquivo XML de metadados.

  12. Antes de continuar, confirme se a data de expiração do certificado exibida no iManage Control Center corresponde à que você configurou no seu IdP e se não expirou. Ter um certificado expirado ou carregado incorretamente impedirá que os usuários do iManage façam login com sucesso usando o SSO.

  13. Selecione Salvar.

    O SSO SAML agora está configurado em seu ambiente iManage Cloud.

  14. Continue para Validar se os usuários podem fazer login no iManage Work.

3. Validar que os usuários podem fazer login no iManage Work

Após o SSO SAML ser configurado e habilitado no iManage Control Center, os usuários poderão começar a fazer login no iManage Work. Dependendo do provedor de identidade que você está usando, pode levar vários minutos para ficar ativo.

Se os usuários não conseguirem fazer login, consulte Solução de problemas.

Atualize seu certificado IdP

Após configurar o SSO SAML, você deverá monitorar a expiração do seu certificado IdP. Quando o certificado estiver próximo de expirar, você deverá gerar um novo arquivo XML de metadados federados do seu IdP e importá-lo para o iManage Control Center. Este arquivo inclui o novo certificado.

Para visualizar a data de expiração do seu certificado de assinatura atual no iManage Control Center, navegue até Rede e segurança > Autenticação e SSO e visualize o campo Data de expiração do certificado.

O iManage Control Center exibe uma mensagem se o certificado expirar nos próximos 45 dias ou se já tiver expirado.

Figura: Mensagem de aviso exibida quando um certificado expirar

IMPORTANT:

É sua responsabilidade seguir estas etapas sempre que o certificado for alterado em seu IdP ou se estiver definido para expirar em breve. Se o seu certificado de assinatura SAML for alterado ou expirar sem importá-lo para o iManage Control Center, os usuários não conseguirão fazer login no iManage. Se isso ocorrer, somente usuários com Tipo de SO definido como Virtual poderão fazer login usando login explícito.

Para atualizar seu certificado de assinatura IdP:

  1. No seu IdP, baixe o novo arquivo XML de metadados federados para sua configuração de SSO. Se necessário, carregue o certificado de assinatura atualizado na configuração SSO do seu IdP antes de baixar o arquivo XML de metadados federados.
  2. No iManage Control Center, navegue até Rede e segurança > Autenticação e SSO.
  3. Na seção Configurar SAML SSO , selecione Importar arquivo XML. A caixa de diálogo Configurar logon único (SSO) SAML é exibida.

    Figura: Caixa de diálogo Configurar logon único (SSO) SAML

  4. Selecione Importar arquivo XML.
  5. Quando solicitado, localize o arquivo XML de metadados que você baixou do seu IdP que contém seu novo certificado e selecione Abrir .

    O arquivo é importado para o Control Center e detalhes como data de expiração do certificado são exibidos.

  6. Selecione Salvar.

    Confirme se o campo Data de expiração do certificado exibe a nova data.

Solução de Problemas

Depois de ativar o SSO SAML, se os usuários não conseguirem fazer login no iManage Work usando SSO ou receberem o seguinte erro:

Figura: Erro de login SAML: invalid_response

Execute as etapas a seguir para resolver o problema.

  1. Verifique a configuração do SSO no seu IdP. Revise as instruções detalhadas e as informações de solução de problemas nas seguintes páginas de configuração do IdP:
     Azure AD
     Microsoft AD FS
     Okta
     PingFederate
     Shibboleth
  2. Confirme se a data de validade do certificado mostrada no iManage Control Center não expirou.
  3. Confirme se o seu serviço de provedor de identidade está disponível. Se estiver offline, entre em contato diretamente com seu provedor de identidade.
  4. Se não conseguir determinar a causa do problema, você poderá reverter temporariamente para a configuração de SSO SAML do provedor de identidade configurada anteriormente no iManage Control Center. Consulte Revertendo sua configuração.
    Assim que seus usuários conseguirem fazer login novamente após reverter sua configuração, entre em contato com o suporte do iManage (cloudsupport@imanage.com ou support@imanage.com) se precisar de ajuda para solucionar problemas de configuração de SSO SAML.
  5. Para quaisquer outros problemas, entre em contato com o suporte do iManage (cloudsupport@imanage.com ou support@imanage.com).

Revertendo sua configuração

Se, após habilitar SSO SAML, seus usuários não conseguirem fazer login no iManage, você poderá reverter seu sistema para usar a configuração de SSO do IdP configurada anteriormente.

  1. Na páginaAutenticação e SSO do iManage Control Center, na seção Autenticação , selecione Editar .
  2. Selecione a opção Identificar provedor (Legacy).
  3. Selecione Salvar.
  4. SelecioneReverter para confirmar esta operação.
  5. Verifique se os usuários agora conseguem fazer login no iManage Work.

Se os usuários ainda não conseguirem fazer login, entre em contato com o suporte do iManage (cloudsupport@imanage.com ou support@imanage.com) para obter assistência.

Perguntas frequentes

P: Como saberei quando meu certificado está prestes a expirar?

A: A data de expiração do seu certificado é mostrada no campo Data de expiração do certificado na página Autenticação e SSO no Control Center. O iManage Control Center também inclui uma mensagem de aviso quando a data de expiração do certificado estiver dentro de 45 dias ou se tiver expirado. Para obter informações, consulte Atualizar seu certificado IdP.

P: Como o SAML SSO afeta os usuários do iManage definidos com OS Type = virtual no iManage Control Center?

A: Os usuários configurados como usuários virtuais devem usar seu nome de usuário e senha definidos no iManage Work. Eles podem fazer login no iManage Work usando o URL de login explícito: https://<domínio>/login/imanagework.html
Se você tiver contas de serviço definidas como Tipo de SO = Active Directory, defina-as como Tipo de SO = Virtual antes de ativar SAML SSO.

P: Acabei de ativar o SSO SAML do provedor de serviços e agora meus usuários administrativos não conseguem fazer login usando seu nome de usuário e senha, conforme definido no iManage Control Center.

A: Confirme se esses usuários estão definidos como Tipo de Sistema Operacional como Virtualem seu perfil de usuário no iManage Control Center. Para obter mais informações, consulte Antes de começar.

P: Nossa empresa possui um URL de serviço utilitário disponível em nosso ambiente iManage Work na Cloud. Devo configurar o SAML SSO para este URL de serviço utilitário?

A: Um URL de serviço utilitário geralmente é usado para descarregar ferramentas ou serviços de terceiros que precisam de acesso ao seu ambiente iManage Work. Como prática recomendada, não configure o SSO SAML para suas URLs de serviço de utilitário, pois isso resultaria em problemas de login para seus usuários. Se precisar fazer login neste sistema, você deverá acessá-lo com o URL de login explícito: https://<domínio>/login/imanagework.html