Como eu configuro uma autenticação de provedores de terceiros para uma conta no Canvas?
O Canvas suporta uma variedade de autenticações com provedores de identidade de terceiros, que podem ser configuradas na interface do Canvas. Cada provedor requer que o administrador configure um atributo para ser associado a conta, tais como um ID (identificador), e-mail, ou nome de usuário. As integrações atualmente suportadas incluem Apple, Facebook, Github, LinkedIn, Twitter, Google Apps, Microsoft (Office 365), Clever, CAS, LDAP, OpenID e SAML. Alguns provedores requerem componentes personalizados para configuração. Todos provedores suportam autenticação única (Single Sign On SSO).
Provedores de autenticação de terceiros podem ser utilizados além da autenticação do Canvas.
Credenciais do Usuário
Uma vez que o provedor for salvo no Canvas, as credenciais login de autenticação do provedor têm que ser adicionadas a cada usuário do Canvas através de arquivos SIS CSV ou API de provedores de autenticação. (Atualmente não há suporte para adicionar credenciais de usuário através da interface do Canvas). Cada provedor de autenticação suporta parâmetros reconhecidos especificamente; alguns provedores podem reconhecer parâmetros adicionais. Parâmetros não-reconhecidos não são suportados.
Para ajuda adicional com sistemas de autenticação, incluindo suporte para Single Sign On (SSO), visualize os documentos de integração no Canvas Community.
Provisionamento em Tempo de Execução
Como parte do processo de autenticação, administradores podem aplicar o Provisionamento em Tempo de Execução (Just in Time Provisioning), que diz para o Canvas criar automaticamente uma conta para o usuário caso ele ainda não tenha uma. Atualmente, quando um usuário autentica-se no Canvas utilizando um sistema de autenticação de terceiros, o Canvas pesquisa contas de usuário a procura de um parâmetro de usuário correspondente para esse serviço. Se nenhum parâmetro for encontrado, o Canvas redireciona o usuário para o portal de autenticação do provedor com uma mensagem de que o usuário não pode ser encontrado. Quando o Provisionamento em Tempo de Execução (Just in Time Provisioning JIT) está habilitado, o Canvas automaticamente cria um usuário utilizando um ID que combine o nome de usuário utilizado com o provedor de autenticação.
O provisionamento JIT deve ser configurado via API para o provedor de autenticação específico (veja API dos Provedores de Autenticação). Não precisa ser configurado para usuários individuais via API ou SIS.
Atributos Federados
Como um complemento para o provisionamento de JIT, todos os provedores de autenticação suportam atributos federados. Quando os usuários fizerem logon no Canvas, mais informações além de apenas o ID são passadas para o Canvas, e essa informação está associada com suas contas de usuário existentes. Mais informações podem ser encontradas na API de provedores de autenticação.
Abrir Conta
Na Navegação Global (Global Navigation), clique no link Admin [1], depois clique no nome da conta [2].
Abrir Autenticação
Na Navegação da Conta (Account Navigation), clique no link Autenticação (Authentication).
Selecionar Provedor
No menu suspenso Autenticação (Authentication), selecione um serviço de autenticação.
Nota: Se sua conta fizer parte de uma conta de confiança estabelecida, você pode selecionar a instância do Trusted Canvas no menu suspenso Provedor de identidades (Identity Provider). Saiba mais sobre a configuração da autenticação da instância do Trusted Canvas.
Salvar Dados do Provedor
Insira os dados requeridos pelo serviço [1]. Alguns provedores requerem componentes personalizados para configuração.
Para habilitar Provisionamento em Tempo de Execução (Just in Time Provisioning), clique na caixa de seleção Provisionamento em Tempo de Execução (Just in Time Provisioning) [2].
Definir Atributos Federados
Para usar um atributo federado, selecione um atributo de provedor Canvas no menu suspenso [1]. Este é o atributo que você deseja usar no Canvas. Os atributos disponíveis incluem funções de admin, nome de exibição, e-mail, nome próprio, ID de integração, localidade, nome, ID de usuário do sis, nome a ser ordenado, sobrenome e fuso horário.
Clique no botão Adicionar Atributo (Add Attribute) [2].
No menu suspenso Atributo do Provedor, escolha o valor do atributo que corresponderá ao atributo Canvas selecionado. Os valores disponíveis incluem e-mail, nome de família, nome, localidade, nome e sub (identificador de assunto - ID de usuário comumente usado com as especificações Open ID Connect, Google e Microsoft).
Observe que nem todos os valores corresponderão exatamente ao atributo Canvas. Por exemplo, se você definir o e-mail como um atributo no Canvas, as opções de valor do atributo do provedor também incluirão e-mail, significando que o endereço de e-mail do provedor também será atualizado para o endereço de e-mail no Canvas. No entanto, alguns atributos Canvas podem não alinhar com os valores de atributo de provedor disponíveis.
Exigir autenticação multifator
O Canvas impõe que a MFA seja funcionalmente equivalente à caixa de seleção de UIs herdadas para que a MFA Obrigatória esteja habilitada; todas as contas que anteriormente tinham a caixa de seleção MFA Obrigatória herdada ativada têm essa opção selecionada.
Para que o Canvas imponha a MFA, selecione a opção Canvas impõe a MFA (Canvas enforces MFA) [1]. Para que as operadoras de SMS enviem senhas de uso único, clique na caixa de seleção Enviar senhas de uso único por SMS (somente para operadoras dos EUA) (Send one-time passcodes via SMS (US carriers only)) [2].
Para que o provedor imponha a MFA, selecione a opção O provedor impõe a MFA (Provider enforces MFA) [3].
Para que o usuário aceite, selecione O usuário pode aceitar a opção MFA (User can opt in to MFA) [4].
Nota: O Gerente de Sucesso do Cliente da sua instituição pode definir a MFA para o seguinte: Desativado, Opcional, Obrigatório para Administradores e Obrigatório.
Salvar Dados
Clique no botão Salvar (Save).
Gerenciar Provedor
Para alterar a posição dos seus provedores de autenticação, clique na posição do menu [1] e escolha o número de posicionamento para a nova posição. Posições afetam a URL de Descoberta (Discovery URL) quando uma conta tem Configurações de SSO (Single Sign On).
Para excluir um provedor, clique no botão Excluir (Delete) [2].
Gerenciar autenticação SAML
Se estiver usando a autenticação SAML, você pode atualizar manualmente os metadados SAML clicando no botão Atualizar metadados (Refresh Metadata).
Remover autenticação
Para remover toda configuração prévia de provedores de autenticação, clique no botão Remover Toda Autenticação (Remove Authentication).
Nota: O botão remover não afeta Configurações de SSO (Single Sign On) ou Autenticação no Canvas.
Confirmar Remoção
A remoção de todos os métodos de autenticação pode afetar a habilidade de seus alunos para fazer logon no Canvas. Para confirmar, clique no botão OK.