Saltar al contenido

¡Transforma tus conexiones en dinero para el final del año con nuestro nuevo Programa de Indicación de Clientes! Descubre más

Esta documentación es para la versión 4 y posteriores de App Builder, el nuevo nombre de Vinyl. Accede a la documentación de Vinyl aquí.

Configuración de los servicios de federación de Active Directory mediante el inicio de sesión único SAML en Jitterbit App Builder

App Builder se integra con los Servicios de Federación de Active Directory (AD FS) mediante el protocolo de inicio de sesión único (SSO) SAML. El protocolo SSO SAML define los siguientes roles operativos:

Actor Papel
App Builder Proveedor de servicios (SP)
AD FS Proveedor de identidad (IdP) / Servicio de token de seguridad (STS)
Usuario Navegador

La configuración implica los siguientes procedimientos:

  1. Cree un proveedor de seguridad de App Builder para AD FS
  2. Crear una relación de confianza de usuario autenticado de AD FS para App Builder

Requisitos

Para continuar, necesitará lo siguiente:

  • Acceso de administrador a AD FS.
  • Acceso de administrador a App Builder. App Builder deberá conectarse a AD FS mediante HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz de confianza: App Builder no podrá recuperar el documento de metadatos si el certificado no es de confianza o no es válido. El App Builder debe estar disponible mediante HTTPS. Debe estar habilitado el proveedor de seguridad HTTPS (o se deben tomar otras medidas para garantizar que el App Builder solo sea accesible mediante HTTPS). Las máquinas cliente deberán configurarse para confiar en AD FS. De lo contrario, AD FS solicitará al usuario que inicie sesión.

Las instrucciones a continuación se referirán a las siguientes propiedades:

Ejemplo Notas
URL del App Builder https://example.com/App Builder/ El App Builder debe ser accesible mediante HTTPS. La URL debe incluir la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas.
Nombre del proveedor ADFS Cada proveedor de seguridad de App Builder recibe un nombre lógico. Dado que el nombre del proveedor aparecerá en la URL del servicio de consumidor de aserciones (ver más abajo), evite espacios, puntuación y caracteres especiales.
URL del Servicio de Consumidor de Aserciones https://example.com/App Builder/signin-Okta App Builder aprovisiona automáticamente un extremo del Servicio de Consumidor de Aserciones (SAML) para los proveedores de seguridad de inicio de sesión único (SSO) SAML. AD FS se refiere a la URL del ACS como la "URL del servicio SSO SAML 2.0 del usuario de confianza". Tenga en cuenta que el nombre del proveedor aparece en la URL.
URI de audiencia https://example.com/App Builder/ Aunque la URI de audiencia es arbitraria, AD FS y App Builder deben usar el mismo valor. Considere usar la URL de App Builder.
URL del documento de metadatos de federación https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml La URL del documento de metadatos de federación se puede obtener de AD FS. Para ello, abra la consola de administración de AD FS. Seleccione AD FS → Servicio → Extremos. Localice el extremo de tipo Metadatos de federación.

Crear un proveedor de seguridad de App Builder para AD FS

Para crear el proveedor de seguridad, comience iniciando sesión en App Builder como administrador:

  1. Navegue hasta el IDE
  2. Seleccione el botón Proveedores de seguridad
  3. En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario

  4. Proporcione lo siguiente:

    • Nombre: Security Provider Name (ver arriba) Ejemplo: ADFS
    • Tipo: * SAML*
    • Habilitado: Marcar
    • Aprovisionamiento de usuarios: Marque para habilitar el aprovisionamiento de usuarios Just-in-Time (JIT)
    • Suministra membresía de grupo: verifica si AD FS se ha configurado para pasar la membresía de grupo de usuarios
    • Mostrar en el formulario de inicio de sesión: Marcar

  5. Haga clic en el botón Guardar

  6. En el panel Propiedades, haga clic en + Propiedad

  7. Proporcione lo siguiente:

    • Parámetro: Punto final de metadatos

    • Valor: Federation Metadata Document URL(ver arriba).

      Ejemplo: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Haga clic en el icono Guardar (Marcar).

  9. En el panel Propiedades, haga clic en + Propiedad.

  10. Indique lo siguiente:

    • Parámetro: Audiencia

    • Valor: Audience URI(ver arriba).

      Ejemplo: https://example.com/App Builder/

  11. Haga clic en el icono Guardar (Marcar)

Además, cualquier notificación asignada en AD FS deberá asignarse también en App Builder. Por ejemplo, para asignar la notificación de correo:

  1. En el panel Reclamación, haga clic en + Reclamación

  2. Proporcione lo siguiente:

    • Identificador: Nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso del tipo de reclamación.

      Ejemplo: * Dirección de Correo *

  3. Haga clic en el icono Guardar (Marcar)

Crear una relación de confianza entre usuarios de AD FS y App Builder

Cada instancia de App Builder debe registrarse en AD FS como una relación de confianza de usuario autenticado. Los detalles completos sobre la creación, configuración y mantenimiento de relaciones de confianza de usuario autenticado no se abordan en este documento. Para obtener más información sobre cómo crear una relación de confianza de usuario autenticado en AD FS, consulte el siguiente artículo de TechNet:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Para crear un fideicomiso de parte confiante se requiere la siguiente información:

  • URL del servicio SSO SAML 2.0 de la parte confiada: corresponde a la Assertion Consumer Service URL.

    Ejemplo: https://example.com/App Builder/signin-ADFS

  • Identificador de confianza del usuario autenticado: Corresponde al Audience URIPropiedad.

Ejemplo: https://example.com/App Builder/

También puede proporcionar asignaciones de notificaciones opcionales. El siguiente artículo de TechNet describe cómo crear reglas de notificaciones de confianza para usuarios autenticados de AD FS:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Las reclamaciones comúnmente mapeadas incluyen:

  • Dirección de Correo - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress- Membresía grupal - http://schemas.xmlsoap.org/claims/GroupVer Reclamaciones para obtener más información sobre las reclamaciones.

Solución de problemas

Ejecute el siguiente comando de PowerShell desde el servidor AD FS para imprimir la configuración de confianza del usuario autenticado:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS

El argumento Identificador corresponde a Assertion Consumer Service URL(como se describe arriba).

Falta de pertenencia al grupo

De forma predeterminada, ADFS no incluye notificaciones de grupo en las aserciones SAML. Los administradores deben crear una o más reglas de notificación para incluir la pertenencia a grupos. Es posible crear una única regla de notificación que incluya toda la pertenencia a grupos. Sin embargo, al usar la regla integrada "Notificación de grupo" de ADFS, se requiere una regla independiente para cada grupo.

El siguiente artículo describe cómo incluir la membresía de grupo que coincida con una expresión regular (por ejemplo, grupos que comienzan con "App Builder"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

El siguiente artículo describe cómo utilizar expresiones regulares en las reglas de transformación de reclamaciones:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Error "La AudienceRestrictionCondition no era válida porque la audiencia especificada no está presente en AudienceUris".

Este error indica que la URI de la audiencia no coincide. Asegúrese de que la propiedad Audience se haya configurado explícitamente. De lo contrario, se usará la URL actual de forma predeterminada, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.