Versions Compared

Old Version 1

changes.mady.by.user Former user

Saved on

compared with

New Version Current

changes.mady.by.user Richard Graves (Deactivated)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

El inicio de sesión único permite a las organizaciones utilizar la autenticación del dominio ya definida y no requiere que los usuarios tengan que crear un nombre de usuario y una contraseña únicos para CA Cloud Service Management.

Este artículo explica cómo configurar la autenticación basada en SAML entre CA Cloud Service Management y el proveedor de identidad (IdP). Esta función se ha probado con Microsoft Active Directory Federation Service (ADFS 3.0) y Novell Access Manager. Sin embargo, también se puede configurar la autenticación basada en SAML en otros proveedores de identidad como OpenAM y PingFederate.

Se necesitan privilegios de administrador en CA Cloud Service Management para realizar las tareas que se enumeran en este artículo.

...

Para activar el inicio de sesión único entre CA Cloud Service Management y el proveedor de identidad, establezca una federación entre estos dos sistemas. Se requieren configuraciones tanto en CA Cloud Service Management como en el servidor del proveedor de identidad para establecer la federación.

...

  1. Validar los requisitos previos 
  2. Exportar certificados del proveedor de identidad
  3. Configurar el inicio de sesión único de SAML en CA Cloud Service Management
  4. Agregar CA Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad
  5. Configurar el proveedor de identidad para enviar el identificador del usuario como ID de nombre

...

  • El servidor del proveedor de identidad está configurado y en ejecución.
  • El token de firma de certificado está disponible.
  • HTTPS/SSL está activado en el servidor IIS.
  • CA Cloud Service Management está instalado en un servidor que tenga activado HTTPS/SSL.

Nota: No modifique ningún parámetro en el servidor de aplicaciones o en el servidor de base de datos. Póngase en contacto con soporte de CA ServiceAide para obtener ayuda sobre dichos cambios.

...

Los servidores de la federación utilizan los pares de clave pública/privada para agregar una firma digital a todos los tokens de seguridad que generan. Estas claves validan la autenticidad del token de seguridad encriptada.

CA Cloud Service Management utiliza los certificados de firma para realizar comunicaciones seguras y establecer la confianza.

Exporte la parte de la clave pública del certificado de firma del proveedor de identidad. Guarde el certificado de firma en un sistema local que CA Cloud Service Management pueda acceder. Utilice los metadatos XML del certificado al configurar el inicio de sesión único en CA Cloud Service Management.

...

Si la exportación se realiza correctamente, el certificado se guarda en la ubicación especificada. Se puede abrir el certificado en cualquier editor de texto, como el Bloc de notas.

Configurar el inicio de sesión único de SAML en

...

Cloud Service Management

Se pueden agregar varias configuraciones del inicio de sesión único de SAML en CA Cloud Service Management. Esto permite a un único sistema de CA Cloud Service Management admitir diferentes organizaciones que pueden tener una configuración de SSO/SAML diferente. Para activar el inicio de sesión único, configure CA Cloud Service Management para que confíe en las aserciones que el proveedor de identidad envía.

...

Después de configurar el inicio de sesión único en CA Cloud Service Management, los metadatos estarán disponibles en línea. La dirección URL del archivo de metadatos varía para las distintas instancias de la aplicación. Tenga en cuenta los siguientes ejemplo:

  • Producción de EE. UU.: https://sm1csm3.saasserviceaide.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/<nombredominio>
  • Almacenamiento provisional de EE. UU.: https://sm1scsmstaging.saasserviceaide.ca.com/NimsoftServiceDesk/servicedesk/sso/metadata/<nombredominio>

Se pueden descargar los metadatos desde esta ubicación y se pueden guardar como un archivo XML. Utilice la información de este archivo XML y agregue CA Cloud Service Management como un partner de confianza en el proveedor de identidad.

Nota: Póngase en contacto con el equipo de soporte de CA para obtener la dirección URL de metadatos aplicable a su instancia de la aplicación.

Adición de

...

Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad

Agregue los metadatos que se generan a partir de CA Cloud Service Management al proveedor de identidad para activar la comunicación de SAML entre ellos. Para obtener más información sobre la generación de metadatos, consulte Configuración del inicio de sesión único de SAML en CA Cloud Service Management.

Siga estos pasos en Microsoft ADFS 3.0:

  1. Inicie sesión en el servidor del proveedor de identidad y vaya a Herramientas administrativas, ADFS 3.0 Management, Relying Party Trusts y haga clic en Add Relying Party Trust.
  2. Siga las instrucciones en el asistente Add Relying Party Trust para agregar los metadatos.
  3. Verifique que se cumplan las siguientes condiciones:
    1. La opción Permit all users to access this relying party está seleccionada.
    2. Una entrada para CA Cloud Service Management se muestra en la ficha Endpoints.
    3. El valor del algoritmo de hash seguro (SHA) en la ficha Advanced se establece en SHA-1.
    4. En la página Finish, seleccione Open the Edit Claim Rules dialog for this relying party trust when the wizard closes. El cuadro de diálogo Edit Claim Rules le ayuda a establecer los atributos de identificación de un usuario.
    5. Agregue atributos de identificación del usuario en el cuadro de diálogo Edit Claim Rules. Para obtener más información sobre las reglas de la reclamación, consulte Configurar el proveedor de identidad para enviar el identificador del usuario como ID de nombre.

CA Cloud Service Management se agrega como proveedor de servicios de confianza al proveedor de identidad.

...

  1. Inicie sesión en Novell iManager Administration Console y vaya a Access Manager, Identity Servers, Servers.
  2. En la ficha Servers, seleccione un clúster de servidores y haga clic en Edit.
  3. Haga clic en SAML 2.0, New, Service Provider.
  4. Agregue un nombre para el proveedor de servicios de CA Cloud Service Management. En el campo Source, se puede agregar la dirección URL de metadatos o pegar el texto del archivo de metadatos.
  5. Haga clic en Finalizar.
  6. Vaya a Access Manager, Identity Servers y haga clic en Update All.

CA Cloud Service Management se agrega como proveedor de servicios de confianza al proveedor de identidad.

...

Después de configurar el proveedor de identidad y CA Cloud Service Management para que confíen en las aserciones, configure la declaración de atributo para la aserción de SAML. Esta declaración de atributo se utiliza para identificar a un usuario. Se puede utilizar un identificador único para identificar cada usuario como, por ejemplo, el nombre principal o el ID de correo electrónico.

Nota: Al utilizar la utilidad de ADSync, utilice el identificador de nombre que se asigna al nombre de usuario en CA Cloud Service Management.

...

  1. Acceda al cuadro de diálogo Edit Claim Rules tal y como se esplica en Adición de CA Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad.
  2. Haga clic en Issuance Transform Rules, Add Rules. Seleccione la plantilla de regla Send LDAP Attributes as Claim y haga clic en Next.
  3. Configuración de la regla de reclamación:
    1. Introduzca un nombre para la regla. Por ejemplo, Enviar principio como ID de nombre.
    2. Seleccione la ubicación para almacenar esta regla. Por ejemplo, Active Directory.
    3. Asigne los atributos LDAP al tipo de reclamación saliente. Por ejemplo, atributo LDAP - nombre de usuario principal y tipo de reclamación saliente - ID de nombre.
    4. Haga clic en Finish y confirme que la nueva regla aparece en la ficha ‌Issuance Transform Rules.
    5. Haga clic en Apply y, a continuación, haga clic en OK.

El inicio de sesión único está configurado para CA Cloud Service Management con ADFS 3.0 como el proveedor de identidad.

...

El inicio de sesión único está configurado para CA Cloud Service Management con Novell Access Manager como el proveedor de identidad.

...

Cuando se inicia un inicio de sesión del inicio de sesión único, se muestra un error del servidor.

Cause

CA Cloud Service Management envía un archivo XML de la solicitud SAML codificado al proveedor de identidad, para procesar el inicio de sesión del inicio de sesión único. El archivo XML codificado contiene un atributo entityID, que no es un atributo de solicitud SAML estándar y esto es lo que causa el error.

...