Saltar al contenido

Guía de configuración de SAML de Google para Jitterbit App Builder

Propósito del documento

Describir los pasos de configuración necesarios para configurar App Builder para usar Google como proveedor de seguridad externo SAML para manejar la autenticación de usuarios.

Introducción

SAML utiliza la terminología de IdP (Proveedor de Identidad) y SP (Proveedor de Servicios) para describir los dos sistemas participantes en una configuración SAML. En este caso, Google Workspace es el IdP y la instancia de App Builder es el SP.

Configurar la autenticación externa requiere configuración tanto en el IdP como en el SP. En ambos casos, se requieren derechos administrativos.

Importante

Los valores de ejemplo proporcionados en esta guía son representativos, pero ficticios, y no deben ser utilizados en configuraciones del mundo real.

Pasos en App Builder

Crear un proveedor de seguridad

  1. Inicie sesión en App Builder como Administrador
  2. Navegue a IDE > Proveedores de Seguridad
  3. En la sección de Autenticación de Usuarios, + Autenticación de Usuarios un nuevo Proveedor de Seguridad

  4. Complete los siguientes valores:

    • Nombre: nombre breve y descriptivo para el proveedor de seguridad. Idealmente, evite espacios. Esta cadena, en su forma exacta, se convierte en parte de la URL ACS.
    • Tipo: Autenticación Externa > SAML
    • Prioridad: acepte la sugerencia predeterminada o actualice según su preferencia
    • Habilitado: Marcar
    • Redirigir en Desafío: Marcar
    • Mostrar en el formulario de inicio de sesión: Marcar
    • Provisionamiento de Usuarios: Marcar
    • Almacenar Claims: Marcar. Esta configuración es importante al configurar inicialmente y solucionar problemas, pero se puede eliminar más tarde si se desea.

  5. Haga clic en Guardar

Pasos en Google Workspace

Nota

Tenga en cuenta que debe ser un Super Administrador de su Google Workspace para realizar estos pasos.

Configure su aplicación SAML personalizada

  1. Inicie sesión en su consola de Google Admin
  2. Desde la página de inicio de la consola de administración, vaya a Aplicaciones > Aplicaciones web y móviles
  3. Haga clic en Agregar Aplicación > Agregar aplicación SAML personalizada

  4. En la página de Detalles de la Aplicación:

    1. Ingresa el Nombre de la App de la aplicación personalizada. Por ejemplo: Instancia del Constructor de Apps. Típicamente, se especificaría Dev, QA o Prod, o el propósito de la instancia, si es diferente, como parte del Nombre de la App. Este valor se utiliza únicamente como una etiqueta dentro de Google Workspace y no se utiliza en otros lugares.
    2. (Opcional) Sube un ícono de la App. Si no subes un ícono, se crea un ícono utilizando las dos primeras letras del Nombre de la App.

    googleSAMLapp.png

    Ejemplo de configuración de una app SAML personalizada

  5. Haz clic en Continuar

  6. En la página de detalles del Proveedor de Identidad de Google, toma nota de la información de configuración requerida por el proveedor de servicios. Estos valores son específicos de la cuenta de Google Workspace y no son genéricos:

    • URL de SSO: Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • ID de Entidad: Por ejemplo: https://accounts.google.com/o/saml2?idpid=C01D02E032
    • Certificado

  7. Haz clic en Continuar. Puedes volver a estos valores más tarde haciendo clic en Descargar Metadatos.

  8. En la ventana de Detalles del Proveedor de Servicios, ingresa una URL de ACS y un ID de Entidad para tu aplicación personalizada. Ten en cuenta que las partes de la ruta de las siguientes URLs son sensibles a mayúsculas y minúsculas (es decir, la parte que sigue al FQDN).

  9. URL de ACS: La URL de la raíz de la instancia del Constructor de Apps, con lo siguiente añadido: /signin-<nombre del proveedor de servicios>

    • Por ejemplo: https://example.zudy.com/App Builder/signin-GoogleSAML
    • Nota: La URL de ACS debe comenzar con https://

  10. ID de Entidad: La raíz de la instancia del Constructor de Apps. Esto debe terminar con una barra diagonal. - Por ejemplo: https://example.zudy.com/App Builder/

  11. Marca la casilla Respuesta Firmada
  12. El formato predeterminado de Nombre ID puede dejarse como el predeterminado (correo electrónico principal).

  13. La información adicional de mapeo de Nombre ID se puede encontrar aquí: catálogo de apps SAML. Si es necesario, también puedes crear atributos personalizados, ya sea en la consola de administración o a través de APIs de Google Admin SDK, y mapear a esos. Los atributos personalizados deben crearse antes de configurar tu app SAML y generalmente no son necesarios para el Constructor de Apps. Ejemplo de configuración:

    customSAML.png

    Configuración de la aplicación SAML personalizada en Google Workspace

  14. Haz clic en Continuar

  15. En la página de Mapeo de Atributos, ten en cuenta que se pueden crear mapeos adicionales si es necesario y haz clic en Finalizar. Si se necesitan mapeos adicionales, se pueden configurar más tarde. Al configurar los mapeos, los valores de Atributo de la Aplicación deben coincidir con los valores de Identificador especificados en el Constructor de Aplicaciones bajo Tipos de Reclamaciones.
  16. Haz clic en Finalizar
  17. En la página de Aplicación (bajo aplicaciones web y móviles), haz clic en la flecha hacia abajo en la sección de Acceso de Usuario

  18. El acceso se puede configurar para Grupos, Unidades Organizacionales o para Todos los Usuarios en la cuenta. Para simplificar, recomendamos activar el acceso para todos. Si solo un número limitado de usuarios debe tener acceso, consulta la documentación de Google Workspace para crear y configurar Grupos y Unidades Organizacionales y para asignar acceso a la aplicación a ese nivel.

    Nota

    Cuando se configura el acceso por primera vez, Google Workspace informa que puede tardar hasta 24 horas en propagarse este cambio a todos los usuarios. Al probar, si se recibe un error que indica que el usuario no tiene acceso a la aplicación, o que no está habilitada para ellos, asegúrate de que haya pasado suficiente tiempo después de la configuración antes de volver a probar.

  19. Esto completa los pasos en Google Workspace. Para información adicional, consulta: https://support.google.com/a/answer/6087519

Pasos en el Constructor de Aplicaciones

Configurar propiedades del proveedor de seguridad y tipos de reclamaciones

  1. Regresa a la página de configuración para el Proveedor de Servicios creado en los pasos 1 a 5 de la configuración del Constructor de Aplicaciones previamente descrita
  2. En la sección de Propiedades, + Propiedad y Guardar las siguientes propiedades con los siguientes valores especificados:
    • Audiencia: la raíz de la instancia del Constructor de Aplicaciones. Por ejemplo: https://example.zudy.com/App Builder/
      • Nota: esto coincidirá con el ID de Entidad configurado en Google Workspace
    • Destinatario: Esto coincidirá con la URL ACS configurada en Google Workspace y consiste en la URL de la raíz de la instancia del Constructor de Aplicaciones, con lo siguiente añadido: /signin-<nombre del proveedor de servicios>
      • Por ejemplo: https://example.zudy.com/App Builder/signin-GoogleSAML
    • RequestRedirectEndpoint: Esta es la URL SSO de Google Workspace, consulta el paso 6 de los pasos de configuración de Google. Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
    • SigningCertificate: Esta es la cadena de texto larga del paso 6. Al copiar el certificado, asegúrate de excluir BEGIN y END y eliminar cualquier salto de línea o espacios al principio/final.
      • Ejemplo del contenido del certificado que debe ser copiado:
            MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX

Configurar tipos de reclamos del proveedor de seguridad (opcional)

  1. Regresar a la página de configuración del Proveedor de Servicios o minimizar el panel de Propiedades
  2. En la sección de Reclamos, + Reclamo y Guardar el siguiente Tipo de Reclamo. Esto es opcional, pero asegurará que el atributo de Dirección de Correo Electrónico del usuario de App Builder se complete cuando el usuario inicie sesión en App Builder utilizando el proveedor de autenticación externo.

  3. Hacer clic en + Reclamo y usar los siguientes valores:

    • Identificador: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
    • Uso: Dirección de Correo Electrónico
    • Nombre: etiqueta descriptiva. Por ejemplo: Dirección de Correo Electrónico

  4. Hacer clic en Guardar

Pruebas

En este punto, la configuración está lista para probar. Se recomienda que todas las pruebas se realicen desde nuevas ventanas de navegador en modo Incógnito o Privado, o en un navegador alternativo.

Pasos de prueba

  1. En Google Workspace, bajo Aplicaciones web y móviles, hacer clic en PROBAR INICIO DE SESIÓN SAML y revisar el resultado

  2. Navegar a la página de inicio de sesión de la instancia de App Builder y:

    1. Confirma que el nuevo método de autenticación se muestre adecuadamente
    2. Intenta iniciar sesión con el nuevo método de autenticación y revisa el resultado. Esto debe hacerse con un inicio de sesión separado al utilizado para administrar App Builder.

  3. Si se reportan errores, revisa toda la configuración y confirma que los elementos requeridos para coincidir son correctos: sensibles a mayúsculas y minúsculas y con la barra inclinada final coincidente, etc.

  4. Si se recibe un error de una página de Google que indica que la aplicación no está habilitada para el usuario, confirma que se completaron los pasos 17 y 18 y que ha pasado algún tiempo permitiendo que el acceso se propague a través de Google Workspace.
  5. Si todas las configuraciones están presentes y parecen correctas, pero la autenticación externa aún no funciona, por favor contacta al soporte de App Builder.