Saltar al contenido

Configuración de Servicios de Federación de Active Directory Mediante el Inicio de Sesión Único SAML

Vinyl puede integrarse con los Servicios de federación de Active Directory (AD FS) mediante el protocolo SAML Single Sign-On (SSO). El protocolo SAML SSO define los siguientes roles operativos:

Actor Rol
Vinyl Proveedor de servicios (SP)
AD FS Proveedor de identidad (IdP)/Servicio de token de seguridad (STS)
Usuario Navegador

La configuración implica los siguientes procedimientos:

  1. Cree un proveedor de seguridad Vinyl para AD FS
  2. Crear una confianza de usuario de confianza de AD FS para Vinyl

Requisitos

Para continuar, necesitará lo siguiente:

  • Acceso de administrador a AD FS.
  • Acceso de administrador a Vinyl.
  • Vinyl deberá conectarse a AD FS a través de HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz confiable: Vinyl no podrá recuperar el documento de metadatos si el certificado no es confiable o no es válido.
  • El Vinyl deberá estar disponible a través de HTTPS. Se debe habilitar el proveedor de seguridad Requerir HTTPS (u otras medidas tomadas para garantizar que solo se pueda acceder a Vinyl a través de HTTPS).
  • Las máquinas cliente deberán configurarse para confiar en AD FS. De lo contrario, AD FS solicitará al usuario que inicie sesión.

Las instrucciones siguientes se referirán a las siguientes propiedades:

Ejemplo Notas
URL de Vinyl https://example.com/Vinyl/ El Vinyl debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal. La ruta distingue entre mayúsculas y minúsculas.
Nombre del proveedor ADFS Cada proveedor de seguridad de Vinyl recibe un nombre lógico. Dado que el nombre del proveedor aparecerá en la URL del servicio al consumidor de aserciones (ver más abajo), evite espacios, puntuación y caracteres especiales.
URL del servicio al consumidor de aserciones https://example.com/Vinyl/signin-Okta Vinyl aprovisiona automáticamente un extremo de Assertion Consumer Service (ACS) para proveedores de seguridad de inicio de sesión único (SSO) de SAML. AD FS se refiere a la URL de ACS como la " URL del servicio SSO SAML 2.0 de usuario de confianza". Tenga en cuenta que el nombre del proveedor aparece en la URL.
URI de audiencia https://example.com/Vinyl/ Aunque el URI de audiencia es arbitrario, AD FS y Vinyl deben usar el mismo valor. Considere utilizar la URL de Vinyl.
URL del documento de metadatos de federación https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml La URL del documento de metadatos de federación se puede recuperar desde AD FS. Para hacerlo, inicie la consola de administración de AD FS. Seleccione AD FS → Servicio → Extremos. Localice el extremo de los metadatos de federación de tipos.

Crear un Proveedor de Seguridad de Vinyl para AD FS

Para crear el proveedor de seguridad, comience iniciando sesión en Vinyl como administrador:

  1. Navegue hasta IDE
  2. Seleccione el botón Proveedores de seguridad
  3. En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario

  4. Proporcione lo siguiente:

    • Nombre: Security Provider Name (véase más arriba) Ejemplo: ADFS
    • Tipo: * SAML*
    • Habilitado: Verificar
    • Aprovisionamiento de usuarios: marque para habilitar el aprovisionamiento de usuarios justo a tiempo (JIT)
    • Membresía del grupo de suministros: compruebe si AD FS se ha configurado para pasar la membresía del grupo de usuarios
    • Mostrar en el formulario de inicio de sesión: Verificar

  5. Haga clic en el botón Guardar

  6. En el panel Propiedades, haga clic en + Propiedad

  7. Proporcione lo siguiente:

    • Parámetro: Punto final de metadatos

    • Valor: Federation Metadata Document URL (véase más arriba).\

      Ejemplo: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Haga clic en el ícono Guardar (Verificar)

  9. En el panel Propiedades, haga clic en + Propiedad

  10. Proporcione lo siguiente:

    • Parámetro: Audiencia

    • Valor: Audience URI (véase más arriba).

      Ejemplo: https://example.com/Vinyl/

  11. Haga clic en el ícono Guardar (Verificar)

Además, cualquier reclamación asignada en AD FS deberá asignarse en Vinyl. Por ejemplo, para asignar el reclamo correo:

  1. En el panel Reclamar, haga clic en + Reclamar

  2. Proporcione lo siguiente:

    • Identificador: nombre del tipo de reclamo.

      Ejemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: uso del tipo de reclamo.

      Ejemplo: * Dirección de Correo *

  3. Haga clic en el ícono Guardar (Verificar)

Crear una Confianza de Usuario Dependiente de AD FS para Vinyl

Cada instancia de Vinyl debe registrarse en AD FS como confianza de parte confiada. Los detalles completos de la creación, configuración y mantenimiento de fideicomisos de partes confiadas quedan fuera del alcance de este documento. Para obtener información adicional que describe cómo crear una confianza de usuario de confianza de AD FS, consulte el siguiente artículo de TechNet:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

La creación de un fideicomiso de parte confiada requiere la siguiente información:

  • URL del servicio SSO SAML 2.0 del usuario de confianza: Corresponde a la Assertion Consumer Service URL.

    Ejemplo: https://example.com/Vinyl/signin-ADFS

  • Identificador de confianza del usuario que confía: Corresponde al Audience URI propiedad.

    Ejemplo: https://example.com/Vinyl/

También puede proporcionar asignaciones de reclamos opcionales. En el siguiente artículo de TechNet se describe cómo crear reglas de reclamación de confianza para usuarios de confianza de AD FS:

https://technet.microsoft.com/en-us/library/dd807115.aspx

Los reclamos comúnmente mapeados incluyen:

  • Dirección de Correo - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Membresía de grupo - http://schemas.xmlsoap.org/claims/Group

Ver Reclamaciones para obtener información adicional sobre reclamaciones.

Solución de Problemas

Ejecute el siguiente comando de PowerShell desde el servidor AD FS para imprimir la configuración de confianza del usuario de confianza:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS

El argumento Identificador corresponde al Assertion Consumer Service URL (como se describió anteriormente).

Membresía de Grupo Faltante

De forma predeterminada, ADFS no incluye notificaciones de grupo en las aserciones de SAML. Los administradores deben crear una o más reglas de reclamo para incluir la membresía del grupo. Es posible crear una regla de reclamo única que incluya toda la membresía del grupo. Sin embargo, al utilizar la regla integrada de "Reclamación de grupo" de ADFS, se requiere una regla separada para cada grupo.

El siguiente artículo describe cómo incluir membresías en grupos que coincidan con una expresión regular (por ejemplo, grupos que comienzan con "Vinyl"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

El siguiente artículo describe cómo utilizar expresiones regulares en reglas de transformación de notificaciones:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Error "la AudienceRestrictionCondition No Era Válida Porque la Audiencia Especificada No Está Presente en AudienceUris".

Este error indica que el URI de audiencia no coincide. Asegúrese de que la propiedad Audiencia se haya establecido explícitamente. Si no se configura, se utilizará de forma predeterminada la URL actual, que puede variar según el usuario. El valor distingue entre mayúsculas y minúsculas.