Aplicación Personalizada

Esta instrucción explica cómo crear y configurar una aplicación OpenID Connect y comenzar con la autenticación de Specops Single Sign-On.

Configuración

Estos son los pasos principales de configuración:

Configurar un Objeto de Directiva de Grupo
Crear una aplicación OpenID Connect para Single Sign-On

Configurar un Objeto de Directiva de Grupo

Siga estos pasos solo si selecciona Directiva de Grupo o Ambos como el modo de política al crear la aplicación OpenID Connect.

En la Consola de Administración de Directivas de Grupo, cree un Objeto de Directiva de Grupo (GPO).
Vincule el GPO a algún contenedor con usuarios que deberían poder acceder a la aplicación de la organización.
En la Herramienta de Administración de Gatekeeper, haga clic en Single Sign-on.
Haga clic en Tag GPOs, seleccione el GPO que debería estar disponible para usar al configurar una aplicación OpenID Connect en Specops Authentication, y haga clic en OK.

Crear una aplicación OpenID Connect para Single Sign-On

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Single Sign-On.
Haga clic en Add new.
Seleccione Application Type: Custom.
En General Settings, escriba un nombre para la aplicación y opcionalmente una descripción para la aplicación.
Si la parte confiable espera un JWT firmado desde el endpoint de información del usuario, seleccione Sign user info. Si no se selecciona, el endpoint de información del usuario devolverá JSON.
En Redirect URL's, agregue URLs que deberían permitirse para redirección durante la autenticación y cierre de sesión. Estas deberían ser proporcionadas por la parte confiable. Es opcional agregarlas ahora, pero se necesitará al menos una URL para que la autenticación funcione.
En Standard Claim Mapping, agregue claims que deberían enviarse a la parte confiable durante la autenticación.
- Claim: Seleccione un nombre de la lista de nombres predefinidos o seleccione Custom... para ingresar un nombre personalizado.
- AD Attribute or Custom Value: Seleccione un valor de la lista de atributos de Active Directory o seleccione Custom... para ingresar un nombre personalizado. Si se selecciona un atributo de AD, el claim se completará desde el usuario durante la autenticación. Si se selecciona Custom, se utiliza un valor fijo.
Advertencia

El claim "sub" necesita ser mapeado a un atributo de AD que sea inmutable e identifique de manera única al usuario. Nunca mapee "sub" a, por ejemplo, el atributo "mail" ya que esto podría permitir a un usuario malintencionado acceder a la cuenta de otro usuario. El claim "sub" se mapeará a "objectGUID" por defecto.
Haga clic en Save and Continue.
Seleccione un Policy mode de la lista.
Si seleccionó Directiva de Grupo o Ambos como modo de política, elija uno o más GPOs de la lista Group Policy Objects, y haga clic en Add.
Haga clic en Edit Authentication Rules junto al GPO agregado. Configure sus reglas de autenticación deseadas y haga clic en Save.
Si seleccionó Cloud o Ambos como modo de política, haga clic en Configure y agregue los servicios de identidad que desea incluir.
Haga clic en I'm done.
La página de Credenciales de la Aplicación contiene credenciales y URLs que pueden ser necesarias al configurar Specops Authentication como un proveedor de identidad en la parte confiable. Copie el Client Secret y asegúrese de guardarlo para su uso posterior. Haga clic en Continue.

Nota

La clave secreta del cliente se muestra solo una vez y no se puede ver ni copiar nuevamente después de salir de esta página.