Configurando App Builder como Proveedor de Identidad¶
App Builder puede actuar como proveedor de servicios SAML (SP) y como proveedor de identidad SAML (IdP). Esto permite que una instancia de Viny (el IdP) autentique a los usuarios en nombre de otra instancia (el SP).
Hay cuatro tareas principales involucradas:
- Generar un certificado de firma.
- Cree un proveedor de seguridad IdP SAML.
- Cree un proveedor de seguridad SAML SP.
- Prueba
Estas instrucciones parten de las siguientes premisas:
- Tienes al menos dos instancias de App Builder.
- Tienes acceso de administrador a cada uno App Builder instancia.
Las instrucciones a continuación se referirán a las siguientes propiedades:
| Ejemplo | Notas | |
|---|---|---|
| App Builder uRL del proveedor de identidades | https://idp.example.com/App Builder/ | La URL raíz de la aplicación App Builder instancia que actúa como IdP. Incluye la barra diagonal final. |
| App Builder uRL de SP | https://sp.example.com/App Builder/ | La URL raíz de la aplicación App Builder instancia que actúa como SP. Incluye la barra diagonal final. |
| Extremo de redireccionamiento de solicitud | https://idp.example.com/App Builder/iniciar sesión-App Builder desplazado personal | App Builder aprovisiona automáticamente un Extremo de redireccionamiento de solicitudes para los proveedores de seguridad de IdP SAML. Tenga en cuenta que el nombre del proveedor de seguridad de IdP (de arriba) aparece en el Extremo de redireccionamiento de solicitudes. |
| URL del servicio de consumidor de aserciones | https://sp.example.com/App Builder/iniciar sesión-App Builder eS | App Builder aprovisiona automáticamente un extremo de Assertion Consumer Service (ACS) para los proveedores de seguridad de SAML SP. Tenga en cuenta que el nombre del proveedor de seguridad de SP aparece en el extremo de ACS. |
Generar un Certificado de Firma¶
En el inicio de sesión único (SSO) de SAML, la confianza se establece mediante la firma de certificados. El proceso para adquirir un certificado queda fuera del alcance de este documento. Sin embargo, a modo ilustrativo, los siguientes comandos demuestran cómo generar un certificado compatible mediante la utilidad de línea de comandos OpenSSL.
El siguiente comando genera una clave privada codificada en PEM (key.pem) y certificado autofirmado (cert.pem):
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=idp.example.com/O=App Builder idP"
Necesitarás el contenido del cert.pem archivo para configurar el App Builder proveedor de seguridad SP.
El siguiente comando genera un archivo PKCS#12 (cert.pfx) que contiene tanto la clave privada como el certificado:
$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
Se le solicitará que proporcione una contraseña. Necesitará la contraseña para configurar el App Builder proveedor de seguridad de IdP.
Por último, el siguiente comando codifica en base64 el archivo PKCS#12:
$ openssl base64 -in cert.pfx -out cert.txt -A
Necesitarás el contenido del cert.txt archivo para configurar el App Builder proveedor de seguridad de IdP.
Crear un Proveedor de Seguridad IdP SAML¶
Para crear un proveedor de seguridad de IdP SAML, comience iniciando sesión en la instancia de App Builder que servirá como IdP.
- Navegue hasta el IDE
- Haga clic en el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
- Nombre: Nombre del proveedor de seguridad del IdP, p. ej.
App Builder idP - Tipo: Proveedor de identidad SAML
- Nombre: Nombre del proveedor de seguridad del IdP, p. ej.
-
Haga clic en el botón Guardar
-
En el panel Propiedades, haga clic en el botón + Propiedad para agregar cada una de las siguientes propiedades:
- AssertionConsumerService: URL del servicio de consumidor de aserciones, p. ej.
https://sp.example.com/App Builder/signin-App Builder sP. - Público: App Builder uRL de SP, por ejemplo
https://sp.example.com/App Builder/. - Emisor: App Builder uRL de IdP, por ejemplo
https://idp.example.com/App Builder/. - Destinatario: URL del servicio de consumidor de aserciones, p. ej.
https://sp.example.com/App Builder/signin-App Builder sP. - SigningCertificate: archivo PKCS#12 codificado en base64 (consulte Generar un certificado de firma).
- SigningCertificatePassword: contraseña del certificado de firma (consulte Generar un certificado de firma).
- AssertionConsumerService: URL del servicio de consumidor de aserciones, p. ej.
-
En el panel Claims, haga clic en el botón + Claim para asignar cada una de las siguientes propiedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
En el panel Proveedor, haga clic en el botón Editar
- Marque la opción Habilitado
- Haga clic en el botón Guardar
Los pasos anteriores incluyen una reclamación de grupo. La reclamación de grupo se utiliza para pasar la membresía de grupo al SP. Sin embargo, los grupos no se pasan de manera predeterminada. Para pasar un grupo, debe agregarlo al proveedor de seguridad de IdP. Por ejemplo:
- Navegue hasta el IDE
- Haga clic en el botón Administración de usuarios
- Haga clic en el botón Identidades
- Seleccione el proveedor de seguridad de IdP, p. ej.
App Builder idP - En el panel Grupos de proveedores, haga clic en el botón + Grupo
- Proporcione un Nombre, p. ej.
Administrators - Seleccione el Grupo, p. ej.
Administrators - Haga clic en el botón Guardar
Crear un Proveedor de Seguridad SAML SP¶
Para crear un proveedor de seguridad SAML SP, comience iniciando sesión en la instancia de App Builder que servirá como SP.
- Navegue hasta el IDE
- Haga clic en el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
- Nombre: Nombre del proveedor de seguridad del SP, p. ej.
App Builder sP. - Tipo: SAML
- Aprovisionamiento de usuarios: Marque esta opción para habilitar el aprovisionamiento de usuarios.
- Mostrar en el formulario de inicio de sesión: Marque esta opción para mostrar el proveedor de autenticación en el formulario de inicio de sesión.
- Nombre: Nombre del proveedor de seguridad del SP, p. ej.
-
Haga clic en el botón Guardar
-
En el panel Propiedades, haga clic en el botón + Propiedad para agregar cada una de las siguientes propiedades:
- Audiencia: App Builder uRL de SP, por ejemplo
https://sp.example.com/App Builder/. - Emisor: App Builder uRL de IdP, por ejemplo
https://idp.example.com/App Builder/. - Destinatario: URL del servicio de consumidor de aserciones, p. ej.
https://sp.example.com/App Builder/signin-App Builder sP. - RequestRedirectEndpoint: Extremo de redireccionamiento de solicitud, p. ej.
https://idp.example.com/App Builder/signin-App Builder idP. - SigningCertificate: certificado codificado en PEM (consulte Generar un certificado de firma).
- Audiencia: App Builder uRL de SP, por ejemplo
-
En el panel Claims, haga clic en el botón + Claim para asignar cada una de las siguientes propiedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
En el panel Proveedor, haga clic en el botón Editar
- Marque la opción Habilitado
- Haga clic en el botón Guardar
Los pasos anteriores incluyen una reclamación de grupo. La reclamación de grupo se utiliza para asignar reclamaciones a grupos de proveedores de seguridad. Sin embargo, los grupos de proveedores de seguridad no se asignan a App Builder grupos de seguridad de forma predeterminada. Para asignar un grupo de proveedores de seguridad a an App Builder grupo de seguridad:
- Navegue hasta IDE
- Haga clic en el botón Administración de usuarios
- Haga clic en el botón Identidades
- Seleccione el proveedor de seguridad SP, p. ej.
App Builder sP - En el panel Grupos de proveedores, haga clic en el botón + Grupo
- Proporcione un Nombre, p. ej.
Administrators - Seleccione el Grupo, p. ej.
Administrators - Haga clic en el botón Guardar
Prueba¶
Para probar, comience iniciando un navegador en modo incógnito/privado.
- Navegue hasta la App Builder uRL de SP, por ejemplo
https://sp.example.com/App Builder/. - En el formulario de inicio de sesión, haga clic en la opción para iniciar sesión con el App Builder sP, por ejemplo
App Builder sP. Serás redirigido a la App Builder formulario de inicio de sesión de IdP. - Inicie sesión en el App Builder instancia de IdP. Serás redirigido de nuevo a la App Builder sP.
Si la prueba fue exitosa, iniciará sesión en el App Builder instancia SP.
Solución de Problemas¶
Falta la Opción "iniciar Sesión Con..." en el Formulario de Inicio de Sesión¶
Si la opción "Iniciar sesión con..." no aparece en el formulario de inicio de sesión, App Builder el proveedor de seguridad SP no está habilitado o la opción Mostrar en el formulario de inicio de sesión no está marcada.
Error 404 No Encontrado Después de Hacer Clic en "iniciar Sesión Con..."¶
Si recibes un 404 Not FoundError después de hacer clic en el botón "Iniciar sesión con..." en el formulario de inicio de sesión, esto puede indicar que el App Builder el proveedor de seguridad de IdP no está habilitado, tiene un nombre incorrecto o está configurado incorrectamente. Para evitar la interrupción del servicio, App Builder deshabilitará el proveedor de seguridad en tiempo de ejecución si detecta una configuración incorrecta.