Configuración de App Builder como proveedor de identidad en Jitterbit App Builder
App Builder puede actuar como proveedor de servicios (SP) y proveedor de SAML. Esto permite que una instancia de Viny (el IdP) autentique a los usuarios en nombre de otra instancia (el SP).
Hay cuatro tareas principales involucradas:
- Generar un certificado de firma.
- Cree un proveedor de seguridad IdP SAML.
- Cree un proveedor de seguridad SAML SP.
- Prueba
Estas instrucciones parten de las siguientes premisas:
- Tienes al menos dos instancias de App Builder.
- Tienes acceso de administrador a cada instancia de App Builder.
Las instrucciones a continuación se referirán a las siguientes propiedades:
| Ejemplo | Notas | |
|---|---|---|
| URL del IdP de App Builder | https://idp.example.com/App Builder/ | La URL raíz de la aplicación de la instancia de App Builder que actúa como IdP. Incluye la barra diagonal final. |
| URL del SP de App Builder | https://sp.example.com/App Builder/ | La URL raíz de la aplicación de la instancia de App Builder que actúa como SP. Incluye la barra diagonal final. |
| Nombre del proveedor de seguridad de IdP | App BuilderIdP | Cada proveedor de seguridad de App Builder recibe un nombre lógico. Este nombre se utiliza en el Extremo de redirección de solicitudes (ver más abajo). |
| Nombre del proveedor de seguridad de SP | App BuilderSP | Cada proveedor de seguridad de App Builder recibe un nombre lógico. Este nombre se utiliza en la URL del Servicio de Consumidor de Aserciones (ACS) (ver más abajo). Este es el nombre que los usuarios verán en el formulario de inicio de sesión. |
| Extremo de redirección de solicitud | https://idp.example.com/App Builder/signin-App BuilderIdP | App Builder aprovisiona automáticamente un Extremo de conexión de redirección de solicitud para proveedores de seguridad de IdP SAML. Tenga en cuenta que el nombre del proveedor de seguridad de IdP (ver arriba) aparece en el Extremo de redirección de solicitud. |
| URL del Servicio de Consumidor de Aserciones | https://sp.example.com/App Builder/signin-App BuilderSP | App Builder aprovisiona automáticamente un extremo del Servicio de Consumidor de Aserciones (ACS) para los proveedores de seguridad SAML SP. Tenga en cuenta que el nombre del proveedor de seguridad SP aparece en el extremo del ACS. |
Generar un certificado de firma
En el inicio de sesión único (SSO) de SAML, la confianza se establece mediante la firma de certificados. El proceso para obtener un certificado queda fuera del alcance de este documento. Sin embargo, a modo de ejemplo, los siguientes comandos muestran cómo generar un certificado compatible mediante la utilidad de línea de comandos de OpenSSL.
El siguiente comando genera una clave privada codificada en PEM (key.pem) y certificado autofirmado (cert.pem):
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=idp.example.com/O=App BuilderIdP"
Necesitarás el contenido de cert.pem archivo para configurar el proveedor de seguridad de App Builder SP.
El siguiente comando genera un archivo PKCS#12 (cert.pfx) que contiene tanto la clave privada como el certificado:
$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
Se le solicitará que proporcione una contraseña. Necesitará la contraseña para configurar el proveedor de seguridad IdP de App Builder .
Finalmente, el siguiente comando codifica en base64 el archivo PKCS#12:
$ openssl base64 -in cert.pfx -out cert.txt -A
Necesitarás el contenido de cert.txt archivo para configurar el proveedor de seguridad IdP de App Builder .
Crear un proveedor de seguridad IdP SAML
Para crear un proveedor de seguridad IdP SAML, comience iniciando sesión en la instancia de App Builder que servirá como IdP.
- Navegue hasta el IDE
- Haga clic en el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
- Nombre: Nombre del proveedor de seguridad de IdP, p. ej.
App BuilderIdP - Tipo: Proveedor de identidad SAML
- Nombre: Nombre del proveedor de seguridad de IdP, p. ej.
-
Haga clic en el botón Guardar
-
En el panel Propiedades, haga clic en el botón + Propiedad para agregar cada una de las siguientes propiedades:
- AssertionConsumerService: URL del servicio del consumidor de aserciones, p. ej.
https://sp.example.com/App Builder/signin-App BuilderSP. - Audiencia: URL del SP del App Builder, p. ej.
https://sp.example.com/App Builder/. - Emisor: URL del IdP del App Builder, p. ej.
https://idp.example.com/App Builder/. - Destinatario: URL del servicio de consumidor de afirmaciones, p. ej.
https://sp.example.com/App Builder/signin-App BuilderSP. - SigningCertificate: archivo PKCS#12 codificado en base64 (consulte Generar un certificado de firma).
- SigningCertificatePassword: contraseña del certificado de firma (consulte Generar un certificado de firma).
- AssertionConsumerService: URL del servicio del consumidor de aserciones, p. ej.
-
En el panel Claims, haga clic en el botón + Claim para asignar cada una de las siguientes propiedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
En el panel Proveedor, haga clic en el botón Editar.
- Marque la opción Habilitado.
- Haga clic en el botón Guardar.
Los pasos anteriores incluyen una solicitud de grupo. Esta solicitud se utiliza para transferir la pertenencia al grupo al proveedor de seguridad. Sin embargo, los grupos no se transfieren de forma predeterminada. Para transferir un grupo, debe agregarlo al proveedor de seguridad del IdP. Por ejemplo:
- Vaya al IDE.
- Haga clic en el botón Administración de usuarios.
- Haga clic en el botón Identidades.
- Seleccione el proveedor de seguridad del IdP, p. ej.
App BuilderIdP - En el panel Grupos de proveedores, haga clic en el botón + Grupo.
- Introduzca un Nombre, p. ej.
Administrators7. Seleccione el Grupo, p. ej.Administrators8. Haga clic en el botón Guardar
Crear un proveedor de seguridad SAML SP
Para crear un proveedor de seguridad SAML SP, comience iniciando sesión en la instancia de App Builder que servirá como SP.
- Navegue hasta el IDE
- Haga clic en el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
- Nombre: Nombre del proveedor de seguridad del SP, por ejemplo
App BuilderSP. - Tipo: SAML
- Aprovisionamiento de usuarios: marque para habilitar el aprovisionamiento de usuarios.
- Mostrar en el formulario de inicio de sesión: marque esta opción para mostrar el proveedor de autenticación en el formulario de inicio de sesión.
- Nombre: Nombre del proveedor de seguridad del SP, por ejemplo
-
Haga clic en el botón Guardar
-
En el panel Propiedades, haga clic en el botón + Propiedad para agregar cada una de las siguientes propiedades:
- Audiencia: URL del SP del App Builder, p. ej.
https://sp.example.com/App Builder/. - Emisor: URL del IdP del App Builder, p. ej.
https://idp.example.com/App Builder/. - Destinatario: URL del servicio de consumidor de afirmaciones, p. ej.
https://sp.example.com/App Builder/signin-App BuilderSP. - RequestRedirectEndpoint: Extremo de redirección de solicitud, p. ej.
https://idp.example.com/App Builder/signin-App BuilderIdP. - SigningCertificate: Certificado codificado en PEM (consulte Generar un certificado de firma).
- Audiencia: URL del SP del App Builder, p. ej.
-
En el panel Claims, haga clic en el botón + Claim para asignar cada una de las siguientes propiedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
En el panel Proveedor, haga clic en el botón Editar
- Marque la opción Habilitado
- Haga clic en el botón Guardar
Los pasos anteriores incluyen una notificación de grupo. Esta notificación se utiliza para asignar notificaciones a grupos de proveedores de seguridad. Sin embargo, los grupos de proveedores de seguridad no se asignan a los grupos de seguridad de App Builder de forma predeterminada. Para asignar un grupo de proveedores de seguridad a un grupo de seguridad de App Builder:
- Navegue hasta el IDE
- Haga clic en el botón Administración de usuarios
- Haga clic en el botón Identidades
- Seleccione el proveedor de seguridad del SP, por ejemplo
App BuilderSP - En el panel Grupos de proveedores, haga clic en el botón + Grupo.
- Introduzca un Nombre, p. ej.
Administrators7. Seleccione el Grupo, p. ej.Administrators8. Haga clic en el botón Guardar
Prueba
Para probar, comience iniciando un navegador en modo incógnito/privado.
- Navegue hasta la URL de App Builder SP, por ejemplo
https://sp.example.com/App Builder/. - En el formulario de inicio de sesión, haga clic en la opción para iniciar sesión con App Builder SP, por ejemplo:
App BuilderSPSerás redirigido al formulario de inicio de sesión de IdP de App Builder - Inicie sesión en la instancia IdP de App Builder. Será redirigido nuevamente al SP de App Builder.
Si la prueba fue exitosa, iniciará sesión en la instancia de App Builder SP.
Solución de problemas
Falta la opción "Iniciar sesión con..." en el formulario de inicio de sesión.
Si la opción "Iniciar sesión con..." falta en el formulario de inicio de sesión, el proveedor de seguridad de App Builder SP no está habilitado o la opción Mostrar en el formulario de inicio de sesión no está marcada.
Error 404 no encontrado después de hacer clic en "Iniciar sesión con..."
Si recibes un 404 Not Found Si aparece un error al hacer clic en el botón "Iniciar sesión con..." en el formulario de inicio de sesión, esto podría indicar que el proveedor de seguridad IdP de App Builder no está habilitado, tiene un nombre incorrecto o está configurado incorrectamente. Para evitar interrupciones del servicio, App Builder deshabilitará el proveedor de seguridad en tiempo de ejecución si detecta una configuración incorrecta.