Domínio de autenticação: Como seu usuário login e é gerenciado

Para gerenciar seu usuário, a organização New Relic pode configurar um ou mais domínios de autenticação, que controlam como os usuários são adicionados a uma conta New Relic, como são autenticados e muito mais.

Domínio de autenticação explicado

Um authentication domain é um agrupamento de usuários New Relic regidos pelas mesmas configurações de gerenciamento de usuários, como a forma como eles são provisionados (adicionados e atualizados) e como são autenticados (login).

Ao criar uma organização New Relic, as configurações de autenticação padrão são:

• Fonte do usuário: seu usuário é adicionado à New Relic usando apenas nossas ferramentas de gerenciamento de usuário (não ferramentas de terceiros)
• Autenticação: o usuário log usando seu e-mail e senha

Essas configurações padrão estariam em um domínio de autenticação. Se você adicionou outro domínio de autenticação, poderá configurá-lo assim:

• Fonte do usuário: os usuários são adicionados e gerenciados a partir de um provedor de identidade de terceiros por meio do provisionamento SCIM
• Autenticação: o usuário faz login usando logon único (SSO) SAML de um provedor de identidade

Quando você adiciona usuários ao New Relic, eles são sempre adicionados a um domínio de autenticação específico. Normalmente as organizações têm um ou dois domínios de autenticação: um com os métodos manuais e outro para os métodos associados a um fornecedor de identidade. Saiba mais neste pequeno vídeo (4:26 minutos):

Requisitos

Os domínios de autenticação são para gerenciar usuários em nosso modelo de usuário mais recente. Se seus usuários estiverem em nosso modelo de usuário original, consulte Contas originais.

Requisitos para gerenciar domínios de autenticação:

• Sua organização deve ser Pro ou edição Enterprise para ter domínio de autenticação editável.

• Para visualizar ou editar domínios de autenticação, o usuário deve:

  • Tenha um tipo de usuário : usuário principal ou usuário completo da plataforma.

  • Esteja em um grupo com a configuração de administração

    Authentication domain

    .

• O provisionamento SCIM, também conhecido como gerenciamento automatizado de usuários, requer Pro ou edição Enterprise. Saiba mais sobre os requisitos.

• SAML SSO requer uma edição paga. Nosso suporte SAML SSO inclui:

  • Serviços de Federação do Active Directory (ADFS)
  • Autor0
  • Azure AD (Microsoft Azure Active Directory)
  • Google
  • Okta
  • OneLogin
  • Identidade de ping
  • Salesforce
  • Suporte genérico para sistemas SSO que usam SAML 2.0

Crie e configure um domínio de autenticação

Se você atender aos requisitos, poderá adicionar e gerenciar domínios de autenticação.

Para visualizar e configurar domínios de autenticação: no menu do usuário, acesse Administration > Authentication domains.

Se você tiver domínios existentes, eles estarão à esquerda. Observe que a maioria das organizações terá, no máximo, dois ou três domínios: um com as configurações manuais e padrão e um ou dois para as configurações associadas ao provedor de identidade.

Para criar um novo domínio na página da interface do domínio de autenticação, clique em Create authentication domain. Para mais informações sobre as opções de configuração, continue lendo.

Mudar para domínio diferente

Se você tiver registros de usuários em mais de um domínio de autenticação, poderá alternar entre os domínios.

Fonte do usuário: como seus usuários são adicionados e gerenciados

Na interface do domínio de autenticação, você pode definir uma de duas opções para a origem do seu usuário:

• Manual

  (padrão): Isso significa que seu usuário é adicionado manualmente ao New Relic a partir da interface

  User management

  .

• SCIM:

  Nosso recurso automatizado de gerenciamento de usuários permite que você use o provisionamento SCIM para importar e gerenciar usuários do seu provedor de identidade.

Notas sobre essas configurações:

• Você não pode alternar

  Source of users

  . Isso significa que se quiser alterar isso para um domínio de autenticação que já foi configurado, você precisará criar um novo.

• Quando você ativa o SCIM pela primeira vez, o token do portador é gerado e mostrado apenas uma vez. Se você precisar visualizar um token ao portador posteriormente, a única maneira de fazer isso é gerar um novo, o que invalidará o antigo e qualquer integração usando o token antigo.

Para saber como configurar o SCIM, consulte Gerenciamento automatizado de usuários.

Método de gerenciamento do tipo de usuário

Em Authentication Domain UI, se você selecionou SCIM como seu método de provisionamento de usuário, você terá duas opções de como o tipo de usuário do seu usuário é gerenciado:

• Manage user type in New Relic

  : esta é a opção padrão. Ele permite que você gerencie o tipo de usuário de seus usuários no New Relic.

• Manage user type with SCIM

  : ativar isso significa que

  you can no longer manage user type from New Relic

  . Você só poderá alterá-lo e gerenciá-lo no seu provedor de identidade.

Mais sobre essas duas opções:

Observe que se você estiver usando nosso modelo de usuário original, as atualizações funcionarão de maneira diferente.

Autenticação: como seu usuário log

O método de autenticação é a forma como o usuário do New Relic login no New Relic. Todos os usuários em um domínio de autenticação possuem um único método de autenticação. Existem duas opções de autenticação:

• Nome de usuário/senha (padrão): seus usuários login por e-mail e senha.
• SSO SAML: seu usuário login por meio de logon único (SSO) SAML usando seu provedor de identidade. Para saber como configurar isso, continue lendo.

Configurar a autenticação SAML SSO

Antes de ativar o SSO SAML usando as instruções abaixo, aqui estão alguns pontos que você deve entender e considerar:

• Considere ler uma introdução ao New Relic SSO e SCIM.
• Considere revisar os requisitos de SSO SAML.
• Considere assistir a um vídeo sobre como configurar o SSO SAML.
• Observe que seu usuário habilitado para SSO não receberá notificação de verificação por e-mail da New Relic porque as informações de login e senha são gerenciadas pelo seu provedor de identidade.
• Consulte a documentação do serviço do seu provedor de identidade, pois eles podem conter instruções específicas da New Relic.

1. Se você estiver configurando o provisionamento do SCIM:

   • Se você usa Azure, Okta ou OneLogin, siga estes procedimentos primeiro: Azure | OneLogin | Ok.
   • Se você usar um provedor de identidade diferente, siga os procedimentos SAML abaixo e use nossa API SCIM para ativar o SCIM.

2. Se você only quiser ativar o SSO SAML e não o SCIM, e se usar Azure, Okta ou OneLogin, siga estas instruções para configurar o aplicativo relevante:

   Aplicativo Azure

   O Azure AD fornece uma galeria de aplicativos, que inclui diversas integrações para o Azure AD, incluindo aquelas que a New Relic oferece. Adicione o aplicativo New Relic SCIM/SSO à sua lista de aplicativos.

   1. Acesse o centro de administração do Azure Active Directory e entre, se necessário. aad.portal.azure.com/

   2. Clique em

      All services

      no menu esquerdo.

   3. No painel principal, clique em

      Enterprise applications

      .

   4. Clique em

      +New application

      .

   5. Encontre nosso aplicativo SCIM/SSO digitando

      New Relic

      na caixa de pesquisa de nome e clique no aplicativo

      New Relic by organization

      (não em

      New Relic by account

      ).

   6. Clique em

      Add

      .

   Aplicativo Okta

   Adicione o aplicativo New Relic SCIM/SSO aos seus aplicativos Okta.

   1. Acesse okta.com/ e faça login com uma conta que tenha permissões de administrador.

   2. Na página inicial do Okta, clique em

      Admin

      .

   3. No administrador do Okta

      Dashboard

      , escolha a página

      Applications

      .

   4. Clique em

      Browse app catalog

      , pesquise e selecione "New Relic por organização".

   5. Na página New Relic por organização, clique em

      Add

      .

   6. Na página Adicionar New Relic por organização, marque as duas caixas de seleção

      Application visibility "Do not display..."

      e clique em

      Done

      . Tornaremos o aplicativo visível mais tarde, após a conclusão da configuração e o início do provisionamento.

   7. Abra o aplicativo recém-criado no Okta e vá para a guia

      Assignments

      . É aqui que você pode adicionar usuários e grupos para autenticação.

   8. A partir daí, vá para a guia

      Sign On

      . Em

      Advanced Sign-on Settings

      , você verá

      Authentication Domain ID

      , que precisará editar neste campo na Etapa 9 das instruções gerais abaixo. À direita, clique em

      View SAML setup instructions

      . Em

      Step 7

      destas instruções, você pode encontrar os URLs necessários para as etapas 6 e 7 nas instruções gerais abaixo.

   Aplicativo OneLogin

   Adicione o aplicativo New Relic SCIM/SSO aos seus aplicativos OneLogin.

   1. Acesse o site OneLogin e faça login com uma conta que tenha permissões de administrador.

   2. Na página inicial do OneLogin, clique em

      Administration

      .

   3. Na página Administração do OneLogin, escolha o menu

      Applications

      .

   4. Na página do aplicativo OneLogin, clique em

      Add app

      .

   5. No campo de pesquisa na página OneLogin Find Applications, digite "New Relic por organização" (não "New Relic por conta") e clique no aplicativo quando ele aparecer nos resultados da pesquisa.

   6. Na página

      Add New Relic by organization

      , clique em

      Save

      .

   • Se estiver implementando SAML usando um provedor de identidade diferente não mencionado acima, você precisará tentar integrar usando as instruções SAML abaixo. Observe que seu provedor de identidade deve usar o protocolo SAML 2.0 e exigir asserções SAML assinadas.

3. Em seguida, você irá para nossa interface de domínio de autenticação. No menu do usuário, clique em Administration e, em seguida, clique em Authentication domains. Se você ainda não tiver um, crie um novo domínio para ser usado pelo seu usuário de autenticação SAML.

4. Em Authentication, clique em Configure. Em Method of authenticating users, selecione SAML SSO.

5. Se estiver usando o aplicativo Okta, OneLogin ou Azure AD, você poderá pular esta etapa. Em Provided by New Relic, temos algumas informações específicas da New Relic. Você precisará colocá-los nos campos relevantes do serviço do seu provedor de identidade. Se você não tiver certeza de para onde eles vão, consulte a documentação do seu provedor de identidade.

6. Em Provided by you, insira Source of SAML metadata. Este URL é fornecido pelo seu provedor de identidade e pode ter outro nome. Deve estar em conformidade com os padrões de metadados SAML V2.0. Se o seu provedor de identidade doesn't suportar configuração dinâmica, você poderá fazer isso usando Upload a certificate. Este deve ser um certificado x509 codificado em PEM.

7. Em Provided by you, defina o SSO target URL fornecido pelo seu provedor de identidade. Você pode encontrar isso acessando Source of SAML metadata e encontrando o URL de vinculação do POST. Parece: https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml.

8. Se o seu provedor de identidade tiver um URL de redirecionamento para logout, insira-o em Logout redirect URL; caso contrário, deixe em branco.

9. Se estiver usando um aplicativo de provedor de identidade, você precisará inserir o ID do domínio de autenticação no aplicativo. Esse ID é encontrado na parte superior da página da interface do domínio de autenticação da New Relic.

10. Opcional: na interface do domínio de autenticação do New Relic, você pode ajustar outras configurações, como duração da sessão do browser e método de atualização do usuário. Você pode ajustar essas configurações a qualquer momento.

11. Se estiver habilitando apenas SAML, você precisará criar grupos. (Se você ativou o SCIM, você já concluiu esta etapa.) Os grupos são o que dão ao seu usuário acesso às contas da New Relic. Sem serem atribuídos a grupos, seus usuários são provisionados no New Relic, mas não têm acesso a contas ou funções. Para aprender como fazer isso:

• Saiba como funciona o acesso ao grupo de usuários
• Leia o tutorial de gerenciamento de usuários.

12. Somente Okta: retorne ao aplicativo New Relic do Okta e, na página

    Add New Relic by organization

    , desmarque as duas caixas de seleção

    Application visibility "Do not display..."

    e clique em

    Done

    .

Para verificar se foi configurado corretamente, veja se o seu usuário consegue log no New Relic por meio do seu provedor de identidade e garantir que ele tenha acesso às suas contas.

Outras configurações relacionadas ao usuário

Para gerenciar configurações relacionadas à sessão e se o usuário pode atualizar automaticamente ou não:

1. Na interface

   User management

   , selecione um domínio de autenticação no switcher.

2. Clique no ícone de engrenagem

   .

3. Edite as configurações, descritas com mais detalhes abaixo.

Configurações relacionadas à sessão

As configurações relacionadas à sessão incluem:

• Período de tempo que o usuário pode permanecer logado
• Quantidade de tempo ocioso antes que a sessão de um usuário expire (saiba mais sobre os limites de sessão)

Configurações de atualização do usuário

As configurações relacionadas a como os usuários atualizam para um tipo de usuário superior incluem:

• Automatic approval

  : Isso permite que os usuários possam atualizar imediatamente para um tipo de usuário superior por conta própria, sem aprovação. Isso permite que esses usuários possam responder mais rapidamente aos problemas.

• Require review

  : com esta opção, o usuário administrador com a configuração de administração

  Authentication domain

  recebe um e-mail quando um usuário solicita uma atualização e pode aprovar ou negar essas solicitações na UI

  User management

  .

  • Um usuário está limitado a seis solicitações de atualização em uma janela deslizante de 24 horas. Por exemplo, se você fizer suas 6 solicitações de upgrade entre 8h e 10h, será necessário esperar até as 8h do dia seguinte antes de fazer outra solicitação de upgrade.