Configuración de los Servicios de Federación de Active Directory Mediante el Inicio de Sesión Único SAML
App Builder puede integrarse con los Servicios de federación de Active Directory (AD FS) mediante el protocolo de inicio de sesión único (SSO) SAML. El protocolo SSO SAML define las siguientes funciones operativas:
Actor | Papel |
---|---|
App Builder | Proveedor de servicios (SP) |
AD FS | Proveedor de identidad (IdP) / Servicio de token de seguridad (STS) |
Usuario | Navegador |
La configuración implica los siguientes procedimientos:
- Crear an App Builder proveedor de seguridad para AD FS
- Cree una relación de confianza entre usuarios de confianza de AD FS para App Builder
Requisitos
Para continuar, necesitará lo siguiente:
- Acceso de administrador a AD FS.
- Acceso de administrador a App Builder.
- App Builder será necesario conectarse a AD FS a través de HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz de confianza: App Builder no se podrá recuperar el documento de metadatos si el certificado no es confiable o no es válido.
- App Builder deberá estar disponible a través de HTTPS. El proveedor de seguridad Requerir HTTPS debe estar habilitado (o se deben tomar otras medidas para garantizar que App Builder solo se puede acceder a través de HTTPS).
- Las máquinas cliente deberán configurarse para confiar en AD FS. De lo contrario, AD FS solicitará al usuario que inicie sesión.
Las instrucciones a continuación harán referencia a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
App Builder URL | https://example.com/App Builder/ | App Builder Debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas.TABLEROWEND |
Nombre del proveedor | ADFS | Cada uno App Builder se le asigna un nombre lógico al proveedor de seguridad. Dado que el nombre del proveedor aparecerá en la URL del servicio de consumidor de aserciones (consulte a continuación), evite espacios, puntuación y caracteres especiales. |
URL del servicio de consumidor de aserciones | https://example.com/App Builder/signin-Okta | App Builder aprovisiona automáticamente un extremo de Assertion Consumer Service (ACS) para los proveedores de seguridad de inicio de sesión único (SSO) SAML. AD FS hace referencia a la URL de ACS como la " URL del servicio SSO SAML 2.0 de usuario autenticado". Tenga en cuenta que el nombre del proveedor aparece en la URL. |
URI de audiencia | https://example.com/App Builder/ | Aunque la URI de audiencia es arbitraria, AD FS y App Builder debe utilizar el mismo valor. Considere utilizar el App Builder URL. |
URL del documento de metadatos de federación | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | La URL del documento de metadatos de federación se puede recuperar desde AD FS. Para ello, inicie la consola de administración de AD FS. Seleccione AD FS → Servicio → Extremos. Localice el extremo de tipo Metadatos de federación. |
Crear an App Builder proveedor de Seguridad para AD FS
Para crear el proveedor de seguridad, comience iniciando sesión en App Builder como administrador:
- Navegue hasta el IDE
- Seleccione el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
- Nombre:
Security Provider Name
(ver arriba) Ejemplo: ADFS - Tipo: * SAML*
- Habilitado: Marcar
- Aprovisionamiento de usuarios: Marque para habilitar el aprovisionamiento de usuarios Just-in-Time (JIT)
- Suministra membresía de grupo: verifica si AD FS se ha configurado para pasar la membresía de grupo de usuarios
- Mostrar en el formulario de inicio de sesión: Marcar
- Nombre:
-
Haga clic en el botón Guardar
- En el panel Propiedades, haga clic en + Propiedad
-
Proporcione lo siguiente:
- Parámetro: Punto final de metadatos
-
Valor:
Federation Metadata Document URL
(ver arriba).Ejemplo:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Haga clic en el ícono Guardar (Marcar marca de verificación)
- En el panel Propiedades, haga clic en + Propiedad
-
Proporcione lo siguiente:
- Parámetro: Audiencia
-
Valor:
Audience URI
(ver arriba).Ejemplo:
https://example.com/App Builder/
-
Haga clic en el ícono Guardar (Marcar marca de verificación)
Además, todas las reclamaciones asignadas en AD FS deberán asignarse en App Builder por ejemplo, para mapear la reclamación de correo:
- En el panel Reclamar, haga clic en + Reclamar
-
Proporcione lo siguiente:
-
Identificador: Nombre del tipo de reclamo.
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Uso: Uso del tipo de reclamo.
Ejemplo: Dirección de Correo
-
-
Haga clic en el ícono Guardar (Marcar como favorito)
Cree una Relación de Confianza Entre Usuarios de Confianza de AD FS para App Builder
Cada instancia de App Builder debe estar registrado en AD FS como una relación de confianza de usuario autenticado. Los detalles completos de la creación, configuración y mantenimiento de relaciones de confianza de usuario autenticado quedan fuera del alcance de este documento. Para obtener información adicional que describa cómo crear una relación de confianza de usuario autenticado en AD FS, consulte el siguiente artículo de TechNet:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Para crear un fideicomiso de parte confiante se requiere la siguiente información:
-
URL del servicio SSO SAML 2.0 de la parte confiante: corresponde a la
Assertion Consumer Service URL
.Ejemplo:
https://example.com/App Builder/signin-ADFS
-
Identificador de confianza del usuario autenticado: corresponde al
Audience URI
propiedad.Ejemplo:
https://example.com/App Builder/
También puede proporcionar asignaciones de notificaciones opcionales. El siguiente artículo de TechNet describe cómo crear reglas de notificaciones de confianza de usuario autenticado de AD FS:
https://technet.microsoft.com/en-us/library/dd807115.aspx
Las reclamaciones que se suelen mapear incluyen:
- Dirección de Correo -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía grupal -http://schemas.xmlsoap.org/claims/Group
Ver Reclamaciones para obtener información adicional sobre reclamaciones.
Solución de Problemas
Imprimir la Configuración de Confianza de Usuario Autenticado de AD FS
Ejecute el siguiente comando de PowerShell desde el servidor AD FS para imprimir la configuración de confianza del usuario autenticado:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS
El argumento Identificador corresponde a la Assertion Consumer Service URL
(como se describe arriba).
Falta de Pertenencia al Grupo
De forma predeterminada, ADFS no incluye notificaciones de grupo en las aserciones SAML. Los administradores deben crear una o más reglas de notificaciones para incluir la pertenencia a grupos. Es posible crear una única regla de notificaciones que incluya la pertenencia a todos los grupos. Sin embargo, si se utiliza la regla "Reclamo de grupo" integrada de ADFS, se requiere una regla independiente para cada grupo.
El siguiente artículo describe cómo incluir la pertenencia a un grupo que coincida con una expresión regular (por ejemplo, grupos que comienzan con "App Builder"): http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx
El siguiente artículo describe cómo utilizar expresiones regulares en las reglas de transformación de reclamaciones:
http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx
Error "la Condición AudienceRestrictionCondition No Era Válida Porque la Audiencia Especificada No Está Presente en AudienceUris".
Este error indica que la URL de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. Si no se configura, se utilizará de forma predeterminada la URL actual, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.