- style
Implementación del inicio de sesión único
El inicio de sesión único permite a las organizaciones utilizar la autenticación del dominio ya definida y no requiere que los usuarios tengan que crear un nombre de usuario y una contraseña únicos para Cloud Service Management.
Este artículo explica cómo configurar la autenticación basada en SAML entre Cloud Service Management y el proveedor de identidad (IdP). Esta función se ha probado con Microsoft Active Directory Federation Service (ADFS 3.0) y Novell Access Manager. Sin embargo, también se puede configurar la autenticación basada en SAML en otros proveedores de identidad como OpenAM y PingFederate.
Se necesitan privilegios de administrador en Cloud Service Management para realizar las tareas que se enumeran en este artículo.
Descripción general
Para activar el inicio de sesión único entre Cloud Service Management y el proveedor de identidad, establezca una federación entre estos dos sistemas. Se requieren configuraciones tanto en Cloud Service Management como en el servidor del proveedor de identidad para establecer la federación.
Para activar y configurar el inicio de sesión único, realice las siguientes tareas:
- Validar los requisitos previos
- Exportar certificados del proveedor de identidad
- Configurar el inicio de sesión único de SAML en Cloud Service Management
- Agregar Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad
- Configurar el proveedor de identidad para enviar el identificador del usuario como ID de nombre
Requisitos previos
Antes de iniciar la configuración, asegúrese de que se cumplan las condiciones siguientes:
- El servidor del proveedor de identidad está configurado y en ejecución.
- El token de firma de certificado está disponible.
- HTTPS/SSL está activado en el servidor IIS.
- Cloud Service Management está instalado en un servidor que tenga activado HTTPS/SSL.
Nota: No modifique ningún parámetro en el servidor de aplicaciones o en el servidor de base de datos. Póngase en contacto con soporte de ServiceAide para obtener ayuda sobre dichos cambios.
Exportación del certificado del proveedor de identidad
Los servidores de la federación utilizan los pares de clave pública/privada para agregar una firma digital a todos los tokens de seguridad que generan. Estas claves validan la autenticidad del token de seguridad encriptada.
Cloud Service Management utiliza los certificados de firma para realizar comunicaciones seguras y establecer la confianza.
Exporte la parte de la clave pública del certificado de firma del proveedor de identidad. Guarde el certificado de firma en un sistema local que Cloud Service Management pueda acceder. Utilice los metadatos XML del certificado al configurar el inicio de sesión único en Cloud Service Management.
Nota: Almacene el certificado de firma en un archivo codificado en Base64 en ADFS 3.0 y en un archivo PEM en Novell Access Manager.
Siga estos pasos en Microsoft ADFS 3.0:
- Inicie sesión en el servidor del proveedor de identidad y vaya a Herramientas administrativas, Gestión de ADFS 3.0, Servicios y Certificados.
- Seleccione el certificado de firma que se encuentra debajo de Token-firma y haga clic en Copiar a archivo.
Se iniciará el asistente de exportación. - Haga clic en Siguiente, seleccione No exportar clave privada y haga clic en Siguiente.
- Exporte y guarde el archivo en formato X.509 codificado de Base64 (.CER).
Si la exportación se realiza correctamente, el certificado se guarda en la ubicación especificada. Se puede abrir el certificado en cualquier editor de texto, como el Bloc de notas.
Siga estos pasos en Novell Access Manager:
- Inicie sesión en Novell iManager Administration Console y vaya a Access Manager, Certificates.
- Abra el certificado de firma, haga clic en Export public certificate y seleccione PEM File.
- Guarde el archivo en formato PEM en la ubicación deseada.
Si la exportación se realiza correctamente, el certificado se guarda en la ubicación especificada. Se puede abrir el certificado en cualquier editor de texto, como el Bloc de notas.
Configurar el inicio de sesión único de SAML en Cloud Service Management
Se pueden agregar varias configuraciones del inicio de sesión único de SAML en Cloud Service Management. Esto permite a un único sistema de Cloud Service Management admitir diferentes organizaciones que pueden tener una configuración de SSO/SAML diferente. Para activar el inicio de sesión único, configure Cloud Service Management para que confíe en las aserciones que el proveedor de identidad envía.
Siga los pasos siguientes:
- Vaya a GESTIÓN, ADMINISTRACIÓN, Herramientas, Configuración del segmento e Inicio de sesión único.
- Para agregar una configuración del inicio de sesión único, haga clic en el icono + y realice las siguientes acciones:
- Introduzca el nombre de dominio, la dirección URL del inicio de sesión del proveedor de identidad y, opcionalmente, la dirección URL de redirección del cierre de sesión.
- Copie el texto completo del certificado de firma y péguelo en el cuadro de texto Certificado del proveedor de identidad.
- Introduzca el dominio de correo electrónico en el campo de texto Etiquetas de dominio para el correo electrónico. El dominio del correo electrónico ayuda a decidir la dirección URL del ticket para la comunicación saliente y la dirección URL del cierre de sesión del usuario que ha iniciado sesión. Se pueden agregar varios dominios de correo electrónico separados por punto y coma.
Nota: Cuando se configuran varias configuraciones del inicio de sesión único, solo se puede tener vacía una etiqueta del dominio del correo electrónico.
- Guarde la configuración del inicio de sesión único.
- Para editar un inicio de sesión único, haga clic en el icono del lápiz.
- Para activar o desactivar un inicio de sesión único, haga clic en Activar o Desactivar según su elección.
Después de configurar el inicio de sesión único en Cloud Service Management, los metadatos estarán disponibles en línea. La dirección URL del archivo de metadatos varía para las distintas instancias de la aplicación. Tenga en cuenta los siguientes ejemplo:
- Producción: https://csm3.serviceaide.com/NimsoftServiceDesk/servicedesk/sso/metadata/<nombredominio>
- Almacenamiento provisional de EE. UU.: https://csmstaging.serviceaide.com/NimsoftServiceDesk/servicedesk/sso/metadata/<nombredominio>
Se pueden descargar los metadatos desde esta ubicación y se pueden guardar como un archivo XML. Utilice la información de este archivo XML y agregue Cloud Service Management como un partner de confianza en el proveedor de identidad.
Nota: Póngase en contacto con el equipo de soporte de para obtener la dirección URL de metadatos aplicable a su instancia de la aplicación.
Adición de Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad
Agregue los metadatos que se generan a partir de Cloud Service Management al proveedor de identidad para activar la comunicación de SAML entre ellos. Para obtener más información sobre la generación de metadatos, consulte Configuración del inicio de sesión único de SAML en Cloud Service Management.
Siga estos pasos en Microsoft ADFS 3.0:
- Inicie sesión en el servidor del proveedor de identidad y vaya a Herramientas administrativas, ADFS 3.0 Management, Relying Party Trusts y haga clic en Add Relying Party Trust.
- Siga las instrucciones en el asistente Add Relying Party Trust para agregar los metadatos.
- Verifique que se cumplan las siguientes condiciones:
- La opción Permit all users to access this relying party está seleccionada.
- Una entrada para Cloud Service Management se muestra en la ficha Endpoints.
- El valor del algoritmo de hash seguro (SHA) en la ficha Advanced se establece en SHA-1.
- En la página Finish, seleccione Open the Edit Claim Rules dialog for this relying party trust when the wizard closes. El cuadro de diálogo Edit Claim Rules le ayuda a establecer los atributos de identificación de un usuario.
- Agregue atributos de identificación del usuario en el cuadro de diálogo Edit Claim Rules. Para obtener más información sobre las reglas de la reclamación, consulte Configurar el proveedor de identidad para enviar el identificador del usuario como ID de nombre.
Cloud Service Management se agrega como proveedor de servicios de confianza al proveedor de identidad.
Siga estos pasos en Novell Access Manager:
- Inicie sesión en Novell iManager Administration Console y vaya a Access Manager, Identity Servers, Servers.
- En la ficha Servers, seleccione un clúster de servidores y haga clic en Edit.
- Haga clic en SAML 2.0, New, Service Provider.
- Agregue un nombre para el proveedor de servicios de Cloud Service Management. En el campo Source, se puede agregar la dirección URL de metadatos o pegar el texto del archivo de metadatos.
- Haga clic en Finalizar.
- Vaya a Access Manager, Identity Servers y haga clic en Update All.
Cloud Service Management se agrega como proveedor de servicios de confianza al proveedor de identidad.
Configuración del proveedor de identidad para enviar el identificador del usuario como ID de nombre
Después de configurar el proveedor de identidad y Cloud Service Management para que confíen en las aserciones, configure la declaración de atributo para la aserción de SAML. Esta declaración de atributo se utiliza para identificar a un usuario. Se puede utilizar un identificador único para identificar cada usuario como, por ejemplo, el nombre principal o el ID de correo electrónico.
Nota: Al utilizar la utilidad de ADSync, utilice el identificador de nombre que se asigna al nombre de usuario en Cloud Service Management.
Siga estos pasos en Microsoft ADFS 3.0:
- Acceda al cuadro de diálogo Edit Claim Rules tal y como se esplica en Adición de Cloud Service Management como un proveedor de servicios de confianza en el proveedor de identidad.
- Haga clic en Issuance Transform Rules, Add Rules. Seleccione la plantilla de regla Send LDAP Attributes as Claim y haga clic en Next.
- Configuración de la regla de reclamación:
- Introduzca un nombre para la regla. Por ejemplo, Enviar principio como ID de nombre.
- Seleccione la ubicación para almacenar esta regla. Por ejemplo, Active Directory.
- Asigne los atributos LDAP al tipo de reclamación saliente. Por ejemplo, atributo LDAP - nombre de usuario principal y tipo de reclamación saliente - ID de nombre.
- Haga clic en Finish y confirme que la nueva regla aparece en la ficha Issuance Transform Rules.
- Haga clic en Apply y, a continuación, haga clic en OK.
El inicio de sesión único está configurado para Cloud Service Management con ADFS 3.0 como el proveedor de identidad.
Siga estos pasos en Novell Access Manager:
- Inicie sesión en Novell iManager Administration Console y vaya a Access Manager, Identity Servers, Shared Settings.
- Haga clic en New para crear un conjunto de atributos. Introduzca un nombre para el conjunto de atributos, seleccione una plantilla y haga clic en Next.
Se le pedirá definir los atributos. - Haga clic en New. En el cuadro de diálogo Add Attribute Mapping, especifique Local Attribute y, si es necesario, el atributo remoto. Si se está utilizando el atributo remoto, especifique también el espacio de nombres remoto y el formato remoto.
- Haga clic en Finish y, a continuación, haga clic en OK.
- Haga clic en Configurations, Attributes.
- En la lista desplegable Attribute Set, seleccione el conjunto de atributos que se ha definido anteriormente.
- Seleccione el atributo que se ha definido anteriormente en el área Available y muévalo al área Send with authentication. Haga clic en Apply.
- Haga clic en Configuration, Authentication Response.
- En la lista desplegable de enlaces, seleccione Post.
- Activar el botón de opción Unspecified. Seleccione el atributo que se ha definido anteriormente en la lista desplegable y que está situado junto a Unspecified.
- Haga clic en Aplicar.
- Vaya a Access Manager, Identity Servers y haga clic en Update All.
El inicio de sesión único está configurado para Cloud Service Management con Novell Access Manager como el proveedor de identidad.
Solución de problemas
No se puede integrar el inicio de sesión del inicio de sesión único
Síntoma
Cuando se inicia un inicio de sesión del inicio de sesión único, se muestra un error del servidor.
Cause
Cloud Service Management envía un archivo XML de la solicitud SAML codificado al proveedor de identidad, para procesar el inicio de sesión del inicio de sesión único. El archivo XML codificado contiene un atributo entityID, que no es un atributo de solicitud SAML estándar y esto es lo que causa el error.
Solución
Compruebe el archivo de registro del proveedor de identidad para comprobar si existe el siguiente patrón del tipo de error:
- Para eliminar el error, realice los siguientes pasos:
- Vaya a GESTIÓN, ADMINISTRACIÓN, Herramientas, Configuración del segmento.
- Cambie el valor del parámetro INCLUDE_ENTITYID_IN_OUTGOING_SAML_REQUEST a Falso para omitir la inclusión del atributo entityID en las solicitudes salientes de SAML.
Nota: De forma predeterminada, el valor del parámetro se establece en Verdadero.
© 2017 ServiceAide 1-650-206-8988 http://www.serviceaide.com info@serviceaide.com