Configuración de los servicios de federación de Active Directory mediante WS-Federation en Jitterbit App Builder
App Builder se integra con los Servicios de Federación de Active Directory (AD FS) mediante el protocolo WS-Federation Passive. Este protocolo define los siguientes roles operativos:
Actor | Papel |
---|---|
App Builder | Parte que confía |
AD FS | Proveedor de identidad (IdP) / Servicio de token de seguridad (STS) |
Usuario | Solicitante pasivo |
La configuración implica los siguientes procedimientos:
- Cree un proveedor de seguridad de App Builder para AD FS
- Crear una relación de confianza de usuario autenticado de AD FS para App Builder
Requisitos
Para continuar, necesitará lo siguiente:
- Acceso de administrador a AD FS.
- Acceso de administrador a App Builder. App Builder deberá conectarse a AD FS mediante HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz de confianza: App Builder no podrá recuperar el documento de metadatos si el certificado no es de confianza o no es válido. El App Builder debe estar disponible mediante HTTPS. Debe estar habilitado el proveedor de seguridad HTTPS (o se deben tomar otras medidas para garantizar que el App Builder solo sea accesible mediante HTTPS). Las máquinas cliente deberán configurarse para confiar en AD FS. De lo contrario, AD FS solicitará al usuario que inicie sesión.
Las instrucciones a continuación se referirán a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
URL del App Builder | https://example.com/App Builder/ | El App Builder debe ser accesible mediante HTTPS. La URL debe incluir la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas. |
Nombre del proveedor | ExampleADFS | Cada proveedor de seguridad de App Builder recibe un nombre lógico. Dado que el nombre del proveedor aparecerá en la URL del protocolo pasivo (ver más abajo), evite espacios, puntuación y caracteres especiales. |
URL de protocolo pasivo | https://example.com/App Builder/signin-ExampleADFS | App Builder aprovisiona automáticamente un extremo de protocolo pasivo para los proveedores de seguridad de WS-Federation. Tenga en cuenta que el nombre del proveedor aparece en la URL. |
URL del documento de metadatos de federación | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | La URL del documento de metadatos de federación se puede obtener de AD FS. Para ello, abra la consola de administración de AD FS. Seleccione AD FS → Servicio → Extremos. Localice el extremo de tipo Metadatos de federación. |
Audiencia | https://example.com/App Builder/signin-ExampleADFS | Se recomienda usar un valor de Audiencia para limitar el alcance de la autenticación. Considere usar la URL del protocolo pasivo. |
Wtrealm | https://example.com/App Builder/signin-ExampleADFS | Aunque Wtrealm es arbitrario, AD FS y App Builder deben usar el mismo valor. Considere usar la URL del protocolo pasivo. |
Crear un proveedor de seguridad de App Builder para AD FS
Para crear el proveedor de seguridad, comience iniciando sesión en App Builder como administrador:
- Navegue hasta el IDE
- Seleccione el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
-
Nombre:
Security Provider Name
(ver arriba)Ejemplo: ExampleADFS
-
Tipo: WS-Federation
- Habilitado: Marcar
- Aprovisionamiento de usuarios: Marcar para habilitar el aprovisionamiento de usuarios Just-in-Time (JIT).
- Suministra pertenencia a grupos: Verificar si AD FS se ha configurado para transferir la pertenencia a grupos de usuarios.
- Mostrar en el formulario de inicio de sesión: Marcar
-
-
Haga clic en el botón Guardar
- En el panel Propiedades, haga clic en el botón + Propiedad
-
Indique lo siguiente:
- Parámetro: Dirección de metadatos
-
Valor:
Federation Metadata Document URL
(ver arriba).Ejemplo:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Haga clic en el icono Guardar (Marcar).
- En el panel Propiedades, haga clic en el botón + Propiedad.
-
Introduzca la siguiente información:
- Parámetro: Wtrealm
-
Valor:
Wtrealm
(ver arriba).Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Haga clic en el icono Guardar (Marcar).
- En el panel Propiedades, haga clic en el botón + Propiedad.
-
Indique lo siguiente:
- Parámetro: Público
-
Valor: Público (ver arriba).
Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Haga clic en el icono Guardar (Marcar)
Además, cualquier notificación asignada en AD FS deberá asignarse también en App Builder. Por ejemplo, para asignar la notificación de correo:
- En el panel Reclamaciones, haga clic en el botón + Reclamación
-
Proporcione lo siguiente:
-
Identificador: Nombre del tipo de reclamo.\
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Uso: Uso del tipo de reclamación.\
Ejemplo: * Dirección de Correo *
-
-
Haga clic en el icono Guardar (Marcar)
Crear una relación de confianza entre usuarios de AD FS y App Builder
Cada instancia de App Builder debe registrarse en AD FS como una confianza de usuario autenticado. Los detalles completos sobre la creación, configuración y mantenimiento de confianzas de usuario autenticado no se abordan en este documento. Para obtener más información sobre cómo crear una confianza de usuario autenticado en AD FS, consulte el siguiente artículo de TechNet:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Para crear un fideicomiso de parte confiante se requiere la siguiente información:
- Protocolo: WS-Federation Pasivo
-
URL del protocolo pasivo WS-Federation de la parte confiante: corresponde a la
Passive Protocol URL
(ver arriba).Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Identificador de confianza del usuario autenticado: Corresponde al
Wtrealm
Propiedad (ver arriba).
Ejemplo: https://example.com/App Builder/signin-ExampleADFS
Crear una URL de extremo de AD FS para App Builder
Cada instancia de App Builder debe registrarse en AD FS como extremo. Cree un extremo en la pestaña Extremos de AD FS como se indica a continuación:
- Haga clic en el botón Agregar WS-Federation.
- Establezca el extremo como predeterminado (casilla de verificación).
-
URL de confianza: corresponde a la propiedad Wtrealm (ver arriba).
Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
Mapeos de reclamaciones (opcional)
También puede proporcionar asignaciones de notificaciones opcionales. El siguiente artículo de TechNet describe cómo crear reglas de notificaciones de confianza para usuarios autenticados de AD FS:
https://technet.microsoft.com/en-us/library/dd807115.aspx
Las reclamaciones comúnmente mapeadas incluyen:
- Dirección de Correo -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía grupal -http://schemas.xmlsoap.org/claims/Group
Ver Reclamaciones para obtener más información sobre las reclamaciones.
Solución de problemas
Ajustes de configuración
Nota
Tu configuración puede variar con respecto a los ejemplos de este artículo, dependiendo de tu ambiente. Por ejemplo, según la configuración de tu grupo de aplicaciones, podrías usar demo.zudy.com/signin-AD
o demo.zudy.com/vinyl/signin-AD
.
"error de tiempo de ejecución " al hacer clic en el enlace "Iniciar sesión con..."
La URL puede leerse: http://example.com/App Builder/service/authentication/external?returnUrl=...
Revise el registro de eventos de Windows. En concreto, revise el registro de aplicaciones para ver si hay advertencias de ASP.Net con el ID de evento 1309. Puede encontrar una entrada con el siguiente mensaje de excepción:
Unable to get document from: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
Esto indica que App Builder no pudo recuperar el documento de metadatos de federación. Asegúrese de que el servidor web de App Builder pueda establecer una conexión HTTPS con el extremo del documento de metadatos de AD FS. Asegúrese también de que el certificado TLS sea válido. Si el certificado no está firmado por una raíz de confianza, puede registrarlo manualmente.
"error de tiempo de ejecución " después de iniciar sesión en AD FS
La URL puede leerse: http://example.com/App Builder/signin-ADFS
Revise el registro de eventos de Windows. En concreto, revise el registro de aplicaciones para ver si hay advertencias de ASP.Net con el ID de evento 1309. Es posible que encuentre una entrada con uno de los siguientes mensajes de excepción.
Reclamación faltante
The identity does not contain a claim matching the given type.
Esto indica que a la aserción SAML le faltan una o más notificaciones obligatorias. Revise la configuración de la regla de notificaciones.
Audiencia no válida
IDX10214: Audience validation failed. Audiences: 'https://example.com/App Builder'. Did not match: validationParameters.ValidAudience: 'https://example.com/App Builder/' or validationParameters.ValidAudiences: 'null'
Esto indica que la aserción SAML tiene una restricción de audiencia no válida. En este ejemplo, a la audiencia le falta la barra diagonal final. Asegúrese de que el identificador de confianza del usuario autenticado sea correcto.
Imprimir la configuración de confianza del usuario autenticado de AD FS
Ejecute el siguiente comando de PowerShell desde el servidor AD FS para imprimir la configuración de confianza del usuario autenticado:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS`
The Identifier argument corresponds to the URL de protocolo pasivo
(como se describe arriba).
Falta de pertenencia al grupo
De forma predeterminada, ADFS no incluye notificaciones de grupo en las aserciones SAML. Los administradores deben crear una o más reglas de notificación para incluir la pertenencia a grupos. Es posible crear una única regla de notificación que incluya toda la pertenencia a grupos. Sin embargo, al usar la regla integrada "Notificación de grupo" de ADFS, se requiere una regla independiente para cada grupo.
El siguiente artículo describe cómo incluir la membresía de grupo que coincida con una expresión regular (por ejemplo, grupos que comienzan con "App Builder"):
http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx
El siguiente artículo describe cómo utilizar expresiones regulares en las reglas de transformación de reclamaciones:
http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx
Configuración de reclamaciones faltante o incorrecta
Es posible que aparezca el siguiente mensaje de error después de la autenticación:
The user account (`<nombre de usuario>`) has successfully signed in, but no available landing page has been configured for their applications.
Esto indica una configuración exitosa del proveedor de seguridad y del extremo de AD FS, pero significa que las reclamaciones aún no se han configurado o necesitan corrección.
Revise los reclamos que se pasan de vuelta a App Builder desde ADFS (asegúrese de que la opción Reclamos de la tienda esté marcada) para asegurarse de que se estén pasando los reclamos correctos (membresías de grupo, atributos personalizados) a App Builder y que luego se puedan asignar en la configuración de Reclamos del proveedor de seguridad.