Configuración de Active Directory Federation Services utilizando SAML para inicio de sesión único en Jitterbit App Builder
App Builder puede integrarse con Active Directory Federation Services (AD FS) utilizando el protocolo SAML de Inicio de Sesión Único (SSO). El protocolo SAML SSO define los siguientes roles operativos:
Actor | Rol |
---|---|
App Builder | Proveedor de Servicios (SP) |
AD FS | Proveedor de Identidad (IdP) / Servicio de Token de Seguridad (STS) |
Usuario | Navegador |
La configuración implica los siguientes procedimientos:
- Crear un proveedor de seguridad de App Builder para AD FS
- Crear una Confianza de Parte Dependiente de AD FS para App Builder
Requisitos
Para proceder, necesitarás lo siguiente:
- Acceso de administrador a AD FS.
- Acceso de administrador a App Builder.
- App Builder necesitará conectarse a AD FS a través de HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz de confianza: App Builder no podrá recuperar el documento de metadatos si el certificado no es de confianza o es de alguna manera inválido.
- App Builder deberá estar disponible a través de HTTPS. El proveedor de seguridad Requerir HTTPS debe estar habilitado (o se deben tomar otras medidas para asegurar que App Builder solo sea accesible a través de HTTPS).
- Las máquinas cliente deberán estar configuradas para confiar en AD FS. De lo contrario, AD FS pedirá al usuario que inicie sesión.
Las instrucciones a continuación se referirán a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
URL de App Builder | https://example.com/Vinyl/ | App Builder debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal final. La ruta es sensible a mayúsculas y minúsculas. |
Nombre del Proveedor | ADFS | A cada proveedor de seguridad de App Builder se le asigna un nombre lógico. Dado que el nombre del proveedor aparecerá en la URL del Servicio de Consumidor de Afirmaciones (ver más abajo), evita espacios, puntuación y caracteres especiales. |
URL del Servicio de Consumidor de Afirmaciones | https://example.com/Vinyl/signin-Okta | App Builder provisiona automáticamente un punto final de Servicio de Consumidor de Afirmaciones (ACS) para proveedores de seguridad de Inicio de Sesión Único (SSO) SAML. AD FS se refiere a la URL de ACS como la "URL del servicio SSO SAML 2.0 de la parte dependiente". Ten en cuenta que el Nombre del Proveedor aparece en la URL. |
URI de Audiencia | https://example.com/Vinyl/ | Aunque el URI de audiencia es arbitrario, AD FS y App Builder deben usar el mismo valor. Considera usar la URL de App Builder. |
URL del Documento de Metadatos de Federación | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | La URL del Documento de Metadatos de Federación se puede recuperar de AD FS. Para hacerlo, lanza la consola de administración de AD FS. Selecciona AD FS → Servicio → Puntos finales. Localiza el punto final de tipo Metadatos de Federación. |
Crear un proveedor de seguridad de App Builder para AD FS
Para crear el proveedor de seguridad, comienza iniciando sesión en App Builder como administrador:
- Navega a la IDE
- Selecciona el botón Proveedores de Seguridad
- En el panel de Autenticación de Usuario, haz clic en el botón + Autenticación de Usuario
-
Proporciona lo siguiente:
- Nombre:
Nombre del Proveedor de Seguridad
(ver arriba) Ejemplo: ADFS - Tipo: SAML
- Habilitado: Marca
- Provisionamiento de Usuario: Marca para habilitar el provisionamiento de usuario Just-in-Time (JIT)
- Proporciona Membresía de Grupo: Marca si AD FS ha sido configurado para pasar la membresía de grupo de usuario
- Mostrar en el Formulario de Inicio de Sesión: Marca
- Nombre:
-
Haz clic en el botón Guardar
- En el panel de Propiedades, haz clic en + Propiedad
-
Proporciona lo siguiente:
- Parámetro: MetadataEndpoint
-
Valor:
URL del Documento de Metadatos de Federación
(ver arriba).\Ejemplo:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Haz clic en el ícono de Guardar (Marca)
- En el panel de Propiedades, haz clic en + Propiedad
-
Proporciona lo siguiente:
- Parámetro: Audience
-
Valor:
URI de la Audiencia
(ver arriba).Ejemplo:
https://example.com/Vinyl/
-
Haz clic en el ícono de Guardar (Marca)
Además, cualquier reclamo mapeado en AD FS deberá ser mapeado en App Builder. Por ejemplo, para mapear el reclamo de correo electrónico:
- En el panel de Reclamo, haz clic en + Reclamo
-
Proporciona lo siguiente:
-
Identificador: Nombre del tipo de reclamo.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Uso: Uso del tipo de reclamo.
Ejemplo: Dirección de Correo Electrónico
-
-
Haz clic en el ícono de Guardar (Marca)
Crear una confianza de parte confiable de AD FS para App Builder
Cada instancia de App Builder debe estar registrada dentro de AD FS como una confianza de parte confiable. Los detalles completos sobre cómo crear, configurar y mantener las confianzas de parte confiable están fuera del alcance de este documento. Para obtener información adicional que describa cómo crear una confianza de parte confiable de AD FS, consulta el siguiente artículo de TechNet:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Crear una confianza de parte dependiente requiere la siguiente información:
-
URL del servicio SSO SAML 2.0 de la parte dependiente: Corresponde a la
Assertion Consumer Service URL
.Ejemplo:
https://example.com/Vinyl/signin-ADFS
-
Identificador de confianza de la parte dependiente: Corresponde a la propiedad
Audience URI
.Ejemplo:
https://example.com/Vinyl/
También se pueden proporcionar asignaciones de reclamos opcionales. El siguiente artículo de TechNet describe cómo crear reglas de reclamos de confianza de parte dependiente de AD FS:
https://technet.microsoft.com/en-us/library/dd807115.aspx
Los reclamos comúnmente mapeados incluyen:
- Dirección de correo electrónico -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía de grupo -
http://schemas.xmlsoap.org/claims/Group
Consulte Claims para obtener información adicional sobre los reclamos.
Solución de problemas
Imprimir la configuración de confianza de parte dependiente de AD FS
Ejecute el siguiente comando de PowerShell desde el servidor de AD FS para imprimir la configuración de confianza de parte dependiente:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS
El argumento Identifier corresponde a la Assertion Consumer Service URL
(como se describió anteriormente).
Membresía de grupo faltante
Por defecto, ADFS no incluye reclamos de grupo en las afirmaciones SAML. Los administradores deben crear una o más reglas de reclamos para incluir la membresía de grupo. Es posible crear una única regla de reclamos que incluya toda la membresía de grupo. Sin embargo, utilizando la regla de "Reclamo de Grupo" incorporada de ADFS, se requiere una regla separada para cada grupo.
El siguiente artículo describe cómo incluir la membresía de grupo que coincida con una expresión regular (por ejemplo, grupos que comienzan con "App Builder"):
El siguiente artículo describe cómo usar expresiones regulares en las reglas de transformación de reclamos:
Error "La condición AudienceRestrictionCondition no era válida porque la audiencia especificada no está presente en AudienceUris."
Este error indica que la URI de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya establecido explícitamente. Si no se establece, se predeterminará a la URL actual, que puede variar según el usuario. El valor es sensible a mayúsculas y minúsculas.