Aplicación personalizada

En esta sección se describe cómo configurar una aplicación personalizada de Single Sign-On (SSO) mediante OpenID Connect.

Requisitos previos

La función Specops Domain Name Protection debe estar deshabilitada; consulte Protección de nombres de dominio.

Configurar una aplicación personalizada

Estos son los pasos principales para configurar una aplicación personalizada.

Configurar un Objeto de Directiva de Grupo
Crear una aplicación de Single Sign-On

Configurar un Objeto de Directiva de Grupo

Siga estos pasos solo si selecciona Política de grupo o Ambos como modo de política al crear la aplicación de Single Sign-On.

En la Consola de Administración de Directivas de Grupo, cree un Objeto de Directiva de Grupo (GPO).
Vincule el GPO a un contenedor con usuarios que deban poder acceder a la aplicación de la organización.
En la herramienta de administración Gatekeeper, haga clic en Single Sign-on.
Haga clic en Tag GPOs, seleccione el GPO que debe estar disponible al configurar una aplicación OpenID Connect en Specops Authentication y haga clic en Aceptar.

Crear una aplicación de Single Sign-On

Inicie sesión como administrador en Specops Authentication Web.
Haga clic en Single Sign-On.
Haga clic en Añadir nuevo.
Seleccione Plantilla de Aplicación: Personalizado.
Seleccione Protocolo de Aplicación: OpenID Connect.
Haga clic en Siguiente.
En Configuración General, escriba un nombre para la aplicación y, opcionalmente, una descripción.
Si la parte confiable espera un JWT firmado desde el endpoint de información del usuario, seleccione Firmar información del usuario. Si no se selecciona, el endpoint devolverá JSON.
En Redirect URL's, agregue las URL que deben permitirse para la redirección durante la autenticación y el cierre de sesión. Estas deben ser proporcionadas por la parte confiable. Es opcional agregarlas ahora, pero se necesitará al menos una URL para que la autenticación funcione.
En Mapeo de Reclamaciones Estándar, agregue de forma opcional los claims que deben enviarse a la parte confiable durante la autenticación.
- Reclamación: Seleccione un nombre de la lista de nombres predefinidos o seleccione Personalizado... para introducir un nombre personalizado.
- Atributo AD o Valor Personalizado: Seleccione un valor de la lista de atributos de Active Directory o seleccione Custom... para introducir un nombre personalizado. Si se selecciona un atributo de AD, el claim se completará con información del usuario durante la autenticación. Si se selecciona Custom, se utilizará un valor fijo.
  
  Advertencia
  
  El claim "sub" debe asignarse a un atributo de AD que sea inmutable e identifique de manera única al usuario. Nunca asigne "sub" a, por ejemplo, el atributo "mail", ya que esto podría permitir que un usuario malintencionado acceda a la cuenta de otro usuario. De forma predeterminada, el claim "sub" se asigna a "objectGUID".
Haga clic en Siguiente: Mapeo de Reclamaciones de Grupo.

Nota

Los claims estándar agregados en Mapeo de Reclamaciones Estándar siempre se envían a la parte confiable. Los claims de grupo introducidos en Mapeo de Reclamaciones de Grupo son claims adicionales que se agregan al token OIDC para los usuarios que son miembros de los grupos de AD seleccionados.

Esta configuración no controla qué usuarios pueden acceder a la aplicación. El acceso a la aplicación se controla mediante Policy Configuration, lo que significa que los usuarios de los grupos seleccionados también deben estar incluidos en una política para poder acceder a la aplicación.
En Agregar nuevas reclamaciones de grupo, agregue opcionalmente claims para grupos de seguridad. Introduzca el nombre de un grupo en Active Directory y haga clic en Añadir.
Introduzca uno o más claims y valores de claim para el grupo y haga clic en Guardar.
Haga clic en Siguiente: Configuración de Política.

Nota

Policy Configuration determina a qué usuarios se aplica la política de la aplicación y qué reglas de autenticación se aplican a esos usuarios. Solo los usuarios incluidos en una política pueden acceder a la aplicación. Los usuarios que no estén incluidos en ninguna política no tendrán acceso.
Seleccione un Modo de política de la lista.
Si seleccionó Política de grupo o Ambos como modo de política, elija uno o varios GPO de la lista Objetos de política de grupo y haga clic en Añadir.
Haga clic en Editar Reglas de autentificación junto al GPO agregado. Configure las reglas de autenticación deseadas y haga clic en Guardar.
Si seleccionó Nube o Ambos como modo de política, haga clic en Configurar y agregue los servicios de identidad que desea incluir.
Haga clic en He terminado.
La página Credenciales de la Aplicación muestra las credenciales y las URL que pueden ser necesarias al configurar Specops Authentication como proveedor de identidad en la parte confiable.
Copie el valor de Clave Secreta Actual del Cliente en ID del Cliente y guárdelo para usarlo más adelante. Este es el valor de la clave secreta del cliente que debe introducirse en la configuración de la parte confiable.

Importante!

El valor de Clave Secreta Actual del Cliente se muestra solo una vez. Después de salir de esta página, el valor no puede volver a verse ni copiarse.
Cuando termine, haga clic en Cerrar.

Para obtener información sobre rotar y revocar una clave secreta del cliente, consulte la siguiente sección.

Rotar y revocar una clave secreta del cliente

Al rotar, se crea una nueva Clave Secreta Actual del Cliente y la clave secreta anterior permanece disponible temporalmente. Al revocar, se elimina la clave secreta antigua del cliente para que ya no pueda usarse. Use estas opciones para reemplazar la clave secreta actual del cliente o revocar permanentemente una antigua.

Haga clic en Ver Credenciales junto a la aplicación OIDC en la página Aplicaciones de inicio de sesión único configuradas.
En la página Credenciales de la Aplicación:
1. Haga clic en Rotar clave secreta para generar una nueva Clave Secreta Actual del Cliente. La que antes era la clave secreta actual del cliente pasa a ser una clave secreta antigua del cliente. Si ya existe una clave secreta antigua, se reemplaza. Ambas claves secretas siguen siendo válidas hasta que la clave secreta antigua del cliente se revoque o se reemplace mediante otra rotación.
2. Haga clic en Revocar clave secreta antigua para eliminar permanentemente la clave secreta antigua del cliente. Una vez revocada, la clave secreta antigua ya no podrá usarse y la nueva Clave Secreta Actual del Cliente seguirá activa.