Guía de Configuración de SAML de Google¶

Propósito del Documento¶

Describir los pasos de configuración necesarios para configurar Vinyl para utilizar Google como proveedor de seguridad externo SAML para manejar la autenticación de usuarios.

Introducción¶

SAML utiliza la terminología de IdP (Proveedor de identidad) y SP (Proveedor de servicios) para describir los dos sistemas participantes en una configuración SAML. En este caso, Google Workspace es el IdP y la instancia de Vinyl es el SP.

La configuración de la autenticación externa requiere configuración tanto en el IdP como en el SP. En ambos casos se requieren derechos administrativos.

Pasos en Vinyl¶

Crear un Proveedor de Seguridad¶

1. Inicie sesión en Vinyl como administrador
2. Vaya a IDE > Proveedores de seguridad
3. En la sección Autenticación de usuario, + Autenticación de usuario un nuevo proveedor de seguridad

4. Complete los siguientes valores:

   • Nombre: nombre breve y descriptivo del proveedor de seguridad. Lo ideal es evitar los espacios. Esta cadena, en su forma exacta, pasa a formar parte de la URL ACS.
   • Tipo: Autenticación externa > SAML
   • Prioridad: acepte la sugerencia predeterminada o actualice según sus preferencias
   • Habilitado: Verificar
   • Redireccionamiento en desafío: Verificar
   • Mostrar en el formulario de inicio de sesión: Verificar
   • Aprovisionamiento de usuarios: comprobar
   • Reclamaciones de la tienda: Consultar. Esta configuración es importante al configurar y solucionar problemas inicialmente, pero puede eliminarse más adelante si lo desea.

5. Haga clic en Guardar

Pasos en Google Workspace¶

Configure Su Aplicación SAML Personalizada¶

1. Inicie sesión en su consola de Administración de Google
2. Desde la página de inicio de la consola de administración, vaya a Aplicaciones > Aplicaciones web y móviles.
3. Haga clic en Agregar aplicación > Agregar aplicación SAML personalizada

4. En la página Detalles de la aplicación:

   1. Ingrese el Nombre de la aplicación de la aplicación personalizada. Por ejemplo: Instancia de Vinyl. Normalmente, especificaría Dev, QA o Prod, o el propósito de la instancia, si es diferente, como parte del nombre de la aplicación. Este valor se utiliza únicamente como etiqueta dentro de Google Workspace y no se utiliza en ningún otro lugar.
   2. (Opcional) Cargue un ícono de aplicación. Si no carga un ícono, se crea un ícono usando las dos primeras letras del nombre de la aplicación.

   

   Ejemplo de configuración de aplicación SAML personalizada

5. Haga clic en Continuar

6. En la página de detalles del Proveedor de identidad de Google, anote la información de configuración requerida por el proveedor de servicios. Estos valores son específicos de la cuenta de Google Workspace y no genéricos:

   • URL SSO: Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
   • ID de entidad: Por ejemplo: https://accounts.google.com/o/saml2?idpid=C01D02E032
   • Certificado

7. Haga clic en Continuar. Puede volver a estos valores más tarde haciendo clic en Descargar metadatos.

8. En la ventana Detalles del proveedor de servicios, ingrese una URL ACS y un ID de entidad para su aplicación personalizada. Tenga en cuenta que las partes de la ruta de las siguientes URLs distinguen entre mayúsculas y minúsculas (es decir, la parte que sigue al FQDN).

9. URL ACS: La URL de la raíz de la instancia de Vinyl, con lo siguiente adjunto: /signin-<name of service provider>

   • Por ejemplo: https://example.zudy.com/Vinyl/signin-GoogleSAML
   • Nota: La URL ACS debe comenzar con https://

10. ID de entidad: La raíz de la instancia de Vinyl. Esto debe terminar con una barra diagonal. - Por ejemplo: https://example.zudy.com/Vinyl/

11. Marque la casilla Respuesta firmada
12. El formato predeterminado ID de nombre se puede dejar según el valor predeterminado ( correo principal).

13. Puede encontrar información adicional sobre la asignación de ID de nombre aquí: Catálogo de aplicaciones SAML. Si es necesario, también puede crear atributos personalizados, ya sea en la Consola de administración o a través de APIs del SDK de administración de Google, y asignar a esos. Los atributos personalizados deben crearse antes de configurar su aplicación SAML y generalmente no son necesarios para Vinyl. Configuración de ejemplo:

    

    Configuración personalizada de la aplicación SAML en Google Workspace

14. Haga clic en Continuar

15. En la página Asignación de atributos, tenga en cuenta que se pueden crear asignaciones adicionales si es necesario y haga clic en Finalizar. Si se necesitan asignaciones adicionales, se pueden configurar más adelante. Al configurar asignaciones, los valores de Atributo de aplicación deben coincidir con los valores de Identificador especificados en Vinyl en Tipos de reclamo.
16. Haga clic en Finalizar
17. En la página Aplicación (en aplicaciones web y móviles), haga clic en la flecha hacia abajo en la sección Acceso de usuario

18. El acceso se puede configurar para grupos, unidades organizativas o para todos los usuarios de la cuenta. Para simplificar, recomendamos activar el acceso para todos. Si solo se debe proporcionar acceso a un número limitado de usuarios, consulte la documentación de Google Workspace para crear y configurar grupos y unidades organizativas y para asignar acceso a las aplicaciones en ese nivel.

    Nota

    Cuando se configura el acceso por primera vez, Google Workspace informa que este cambio podría tardar hasta 24 horas en propagarse a todos los usuarios. Al realizar la prueba, si se recibe un error que indica que el usuario no tiene acceso a la aplicación o que no está habilitada para él, asegúrese de que haya pasado suficiente tiempo después de la configuración antes de volver a realizar la prueba.

19. Esto completa los pasos en Google Workspace. Para obtener información adicional, consulte: https://support.google.com/a/answer/6087519

Pasos en Vinyl¶

Configurar Propiedades del Proveedor de Seguridad y Tipos de Reclamos¶

1. Regrese a la página de configuración del Proveedor de servicios creado en los pasos 1 a 5 de la configuración de Vinyl descrita anteriormente.
2. En la sección Propiedades, + Propiedad y Guardar las siguientes propiedades con los siguientes valores especificados:
   • Audiencia: la raíz de la instancia de Vinyl. Por ejemplo: https://example.zudy.com/Vinyl/
     • Nota: esto coincidirá con el ID de entidad configurado en Google Workspace
   • Destinatario: coincidirá con la URL ACS configurada en Google Workspace y constará de la URL de la raíz de la instancia de Vinyl, con lo siguiente adjunto: /signin-<name of service provider>
     • Por ejemplo: https://example.zudy.com/Vinyl/signin-GoogleSAML
   • RequestRedirectEndpoint: esta es la URL SSO de Google Workspace; consulte el paso 6 de los pasos de configuración de Google. Por ejemplo: https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
   • SigningCertificate: esta es la cadena de texto larga del paso 6. Al copiar el certificado, asegúrese de excluir BEGIN y END y elimine cualquier salto de línea o espacios iniciales/finales.

     • Ejemplo de contenido del certificado que debe copiarse:

       MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX
       

Configurar Tipos de Reclamos de Proveedores de Seguridad (opcional)¶

1. Regrese a la página de configuración del Proveedor de servicios o minimice el panel Propiedades
2. En la sección Reclamaciones, + Reclamación y Guardar el siguiente tipo de reclamación. Esto es opcional, pero garantizará que el atributo de dirección de Correo del usuario de Vinyl se complete cuando el usuario inicie sesión en Vinyl utilizando el proveedor de autenticación externo.

3. Haga clic en + Reclamar y utilice los siguientes valores:

   • Identificador: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
   • Uso: Dirección de correo electrónico
   • Nombre: etiqueta descriptiva. Por ejemplo: dirección de Correo

4. Haga clic en Guardar

Pruebas¶

En este punto, la configuración está lista para probar. Se recomienda que todas las pruebas se realicen desde nuevas ventanas de navegador privado o de incógnito, o en un navegador alternativo.

Pasos de Prueba¶

1. En Google Workspace, en Aplicaciones web y móviles, haga clic en PRUEBA DE INICIO DE SESIÓN SAML y revise el resultado.

2. Navegue a la página de inicio de sesión de la instancia de Vinyl y:

   1. Confirme que el nuevo método de autenticación se muestre correctamente
   2. Intente iniciar sesión con el nuevo método de autenticación y revise el resultado. Esto debe hacerse con un inicio de sesión independiente al que se utiliza para administrar Vinyl.

3. Si se informan errores, revise toda la configuración y confirme que los elementos necesarios para coincidir sean correctos: distingan entre mayúsculas y minúsculas y con el final coincidente /, etc.

4. Si se recibe un error de una página de Google que indica que la aplicación no está habilitada para el usuario, confirme que se completaron los pasos 17 y 18 y que ha pasado algún tiempo permitiendo que el acceso se propague por todo Google Workspace.
5. Si todas las configuraciones están presentes y parecen correctas, pero la autenticación externa aún no funciona, comuníquese con Vinyl Support.