Crear una aplicación de Single Sign-On
Para crear una aplicación Single Sign-On personalizada:
- Inicie sesión como administrador en la Web de Specops Authentication.
- Haga clic en Single Sign-On.
- Haga clic en Añadir nuevo.
- Seleccione Plantilla de Aplicación: Personalizado.
- Seleccione Protocolo de Aplicación: SAML.
- Haga clic en Siguiente.
- En Configuración General, escriba un nombre para la aplicación y opcionalmente una descripción para la aplicación.
- En Fuente de Configuración, seleccione una de las siguientes opciones:
- Seleccione URL de metadatos para cargar la configuración desde una URL de metadatos proporcionada por su proveedor de servicios. Esta es la opción recomendada. A diferencia de URL de metadatos en Manual, que importa y guarda los metadatos una vez, esta opción carga la configuración desde la URL cada vez que un usuario inicia sesión con Specops SSO.
- Seleccione Manual para importar y guardar los metadatos una vez o configurar los valores manualmente.
- En Importación de Metadatos, seleccione una de las siguientes fuentes para proporcionar los metadatos a importar. Luego haga clic en Cargar metadatos:
- URL de metadatos - ingrese una URL de metadatos proporcionada por su proveedor de servicios.
- Archivo de metadatos (.xml) - cargue un archivo de metadatos.
- Entrada XML - pegue el contenido de los metadatos en el campo.
- Para configurar los valores manualmente, continúe con el siguiente paso.
- En Importación de Metadatos, seleccione una de las siguientes fuentes para proporcionar los metadatos a importar. Luego haga clic en Cargar metadatos:
- Para Entity ID, ingrese el identificador único utilizado para identificar al proveedor de servicios.
- Para URL del Servicio de Consumidor de Aserciones (ACS), ingrese la URL donde se publicará la respuesta de autenticación al proveedor de servicios.
- Para URL de cierre de sesión único (SLO) del SP, ingrese la URL del Proveedor de Servicios donde Specops Authentication (IdP) debe publicar las respuestas de cierre de sesión, si el proveedor de servicios admite el cierre de sesión único. Nota que las solicitudes de SLO deben estar firmadas. Continúe con el siguiente paso y considere las Reglas de Validación de SLO y Firma.
-
En Alcance de firma de solicitud, haga lo siguiente:
- Para Alcance de firma, seleccione qué solicitudes entrantes de SP deben estar firmadas:
- Ninguna
- Solo solicitudes de autenticación
- Solicitud de cierre de sesión
- Solicitudes de autenticación y cierre de sesión
- Para Certificado(s) de Firma, ingrese el certificado público X.509 del Proveedor de Servicios (PEM o Base64) utilizado para verificar las solicitudes firmadas.
- Para Alcance de firma, seleccione qué solicitudes entrantes de SP deben estar firmadas:
-
En Name ID, seleccione un Atributo AD Name ID que se mapeará al NameId, y un Formato de Reclamación Name ID.
Advertencia
"Name ID" necesita ser mapeado a un atributo de AD que sea inmutable e identifique de manera única al usuario. Nunca mapear "Name ID" a, por ejemplo, el atributo "EmailAddress" ya que esto podría permitir a un usuario malicioso acceder a la cuenta de otro usuario. El "Name ID" se mapea a "objectGUID" por defecto.
-
En Mapeo de Reclamaciones Estándar, opcionalmente haga clic en Agregar Mapeo para agregar las declaraciones que deben enviarse al proveedor de servicios durante la autenticación.
- Reclamación: Seleccione un nombre de la lista de nombres predefinidos o seleccione Personalizado... para ingresar un nombre personalizado.
- Atributo AD o Valor Personalizado: Seleccione un valor de la lista de atributos de Active Directory o seleccione Personalizado... para ingresar un nombre personalizado. Si se selecciona un atributo de AD, la declaración se completará del usuario durante la autenticación. Si se selecciona Custom, se utiliza un valor fijo.
-
Haga clic en Siguiente: Mapeo de Reclamaciones de Grupo.
Nota
Las declaraciones estándar agregadas en Mapeo de Reclamaciones Estándar siempre se envían al proveedor de servicios. Las declaraciones de grupo ingresadas en Mapeo de Reclamaciones de Grupo son declaraciones adicionales agregadas a la aserción SAML para usuarios que son miembros de los grupos de AD seleccionados.
Esta configuración no controla qué usuarios pueden acceder a la aplicación. El acceso a la aplicación se controla a través de la Configuración de Políticas, lo que significa que los usuarios en los grupos seleccionados también deben estar incluidos en una política para acceder a la aplicación.
-
En Agregar nuevas reclamaciones de grupo, opcionalmente agregue declaraciones para grupos de seguridad. Ingrese el nombre de un grupo en Active Directory y haga clic en Añadir.
- Ingrese una o más declaraciones y valores de declaración para el grupo y haga clic en Guardar.
- Continúe con Configure the Authentication Policy.
SLO and Signing Validation Rules
Al configurar URL de cierre de sesión único (SLO) del SP y Alcance de firma de solicitud, considere las siguientes reglas:
- Si se configura URL de cierre de sesión único (SLO) del SP, se requiere un valor de Certificado(s) de Firma.
-
Si Alcance de firma está configurado en:
-
Solicitud de cierre de sesión o Solicitudes de autenticación y cierre de sesión:
Se requieren valores de Certificado(s) de Firma y URL de cierre de sesión único (SLO) del SP.
-
Solo solicitudes de autenticación:
Se requiere un valor de Certificado(s) de Firma y URL de cierre de sesión único (SLO) del SP debe estar vacío.
Los puntos finales de cierre de sesión no son compatibles con la aplicación y la URL de cierre de sesión no se publica en los metadatos.
-
-
Para Certificado(s) de Firma, el certificado agregado debe ser un certificado X.509 codificado en Base64 válido con una clave pública RSA.