Ayuda en línea de ESET

Seleccionar el tema

Configuración del conector de proveedor de identidad (IdP Connector) en ESA Web Console

La configuración incluye detalles del proveedor de identidad (IdP) y del proveedor del servicio (SP).

1.En ESA Web Console, vaya a Components > Identity Provider Connector.

2.Haga clic en Create New Identity Provider Configuration.

3.En Basic settings:

oEscriba el Configuration Name que desee. Se usará en la lista de configuraciones del conector de IdP.

oEscriba el Path Name que desee que se usará como parte de Configuration URL para seguir la configuración.

4.En 2FA settings:

oDeje seleccionada la casilla 2FA enabled para exigir la autenticación secundaria de usuarios que configuraron algún tipo de 2FA.

oPara permitir que usuarios sin ningún tipo de 2FA configurada inicien sesión a través de este conector de IdP, deje seleccionada la casilla Allow non-2FA.

5.En Original Identity Provider:

oConfiguration from the Original Identity Provider

Use metadata: utilice esta opción si la configuración de metadatos del IdP está disponible a través de una conexión segura (HTTPS) o como un archivo local. Ingrese la URL segura (que comienza con https:// o file://) en el campo URL de metadatos.

Configure manually: si usa esta opción, debe obtener e ingresar de forma manual los siguientes detalles del IdP:

oSingle Sign-on Destination aquí es donde se envía al usuario autenticado para iniciar sesión. Algunos proveedores de identidad lo denominan URL de inicio de sesión.

oSingle Logout Destination aquí es donde se envía al usuario para cerrar sesión. Algunos proveedores de identidad lo denominan URL de cierre de sesión.

oSignature Validation Certificate: certificado de firma del IdP.

oConfiguration to the Original Identity provider

Esta sección proporciona toda la información y datos esenciales para configurar al proveedor de identidad original para que funcione con el conector de IdP de ESA.

i.Si el proveedor de identidad puede leer la configuración de los metadatos, proporciónelos en la URL que se muestra en Metadata URL. De lo contrario, use la información de otros campos (Identifier, Sign-on response URL, Logout response URL, Logout URL), y exporte el Certificado de firma y el Certificado de descifrado si su proveedor de identidad lo requiere.

ii.Configure el proveedor de identidad para emitir la afirmación Name ID en el formato <username>@<domain> (las opciones comunes son una dirección de correo electrónico o UPN). El conector de IdP de ESA registrará al usuario identificado como <username> en ESA Authentication Server en el ámbito <domain>.

6.Modifique la Advanced Security Settings según sus preferencias o si lo requiere el IdP.

oSign Requests to the original Identity Provider: si se selecciona, se debe configurar Singing Certificate de ESA como de confianza en el equipo que aloja el IdP.

oValidate original Identity Provider certificate: si se selecciona, el certificado de firma del IdP debe configurarse como de confianza en el equipo que aloja ESA.

oCheck original Identity Provider certificate revocation: si se selecciona, ESA verifica si el certificado de firma del IdP sigue siendo válido.
 

7.Haga clic en Add Service Provider proveedor de servicio y escriba el Display Name que desee. Se usará en la lista de proveedores de servicio configurados en el conector de IdP configurado.

oConfiguration from the Service Provider

i.Use metadata: utilice esta opción si los metadatos de configuración del proveedor de identidad están disponibles a través de una conexión segura (HTTPS). Ingrese la URL segura (que comienza con https://) en el campo URL de metadatos del proveedor de servicio.

ii.Configure manually: si utiliza esta opción, debe obtener e ingresar de forma manual los siguientes detalles del proveedor de servicio:

oIssuer: algunos SP lo denominan Audience URL o Entity ID.

oSingle Sign-on Destination aquí es donde se envía al usuario autenticado. Algunos SP lo denominan URL de servicio de consumidor de aserción.

oSingle Logout Destination aquí es donde se envía al usuario después de cerrar sesión.

oSignature Validation Certificate: certificado de firma del SP.

b.Configuration to the Service Provider:

Esta sección proporciona toda la información y datos esenciales para configurar al proveedor de identidad original para que funcione con el conector de IdP de ESA.

i.Si el SP puede leer la configuración de los metadatos, proporciónelos en la URL que se muestra en Metadata URL. De lo contrario, use la información de otros campos (Identifier, Sign-on URL, Logout URL) y exporte el Singing Certificate y el Decryption Certificate si su SP lo requiere.

ii.Para eliminar, agregar o actualizar información de identidad recopilada (reclamo) antes de reenviársela al SP, cree las reglas que desea en la sección Claims Translation. Consulte los ejemplos de traducción de afirmaciones a continuación.

8.Modifique la Advanced Security Settings según sus preferencias o si lo requiere el SP.

oCheck signature of requests from the Service Provider: si se selecciona, se debe configurar el certificado del SP en ESA.

oValidate Service Provider certificate: si se selecciona, el certificado del SP debe configurarse como de confianza en el equipo que aloja ESA.

oCheck Service Provider certificate revocation: si se selecciona, ESA verifica si el certificado del SP sigue siendo válido.

9.Haga clic en Save.

 

Ejemplos de traducción de reclamos

En los ejemplos a continuación, se asume que iniciamos sesión a través de un IdP y que el conector de IdP de ESA recibió los siguientes reclamos:

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/displayname: SU

http://original_identity_provider/claim/name: Sample User

http://original_identity_provider/claim/nameid: sample@user.com

http://original_identity_provider/claim/saml2nameid: sample@user.com

http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

Quitar un reclamo determinado

Para quitar "http://original_identity_provider/claim/displayname: SU" a partir del conjunto de reclamos anteriores, configure la siguiente regla en el conector de IdP de ESA:

1.Haga clic en Add.

2.Seleccione Remove en el casillero de la lista.

3.Para Type, escriba "http://original_identity_provider/claim/displayname" sin comillas.

4.Haga clic en Save.

Para crear un nuevo reclamo con un valor personalizado o actualizar un reclamo existente (reemplazar su valor)

Para reemplazar "SU" con "sampleuser" en "http://original_identity_provider/claim/displayname: SU", configure la siguiente regla en el conector de IdP de ESA:

1.Haga clic en Add.

2.Seleccione Add en el casillero de la lista.

3.Para Type, escriba "http://original_identity_provider/claim/displayname" sin comillas.

4.Para Constant value, escriba "sampleuser".

5.Haga clic en Save.

Si http://original_identity_provider/claim/displayname no existe en el conjunto de reclamos recibido, se lo creará con el valor que se definió en Constant value:

"http://original_identity_provider/claim/displayname: sampleuser"

Para crear un nuevo reclamo con el valor de un reclamo existente

Para crear el reclamo "http://original_identity_provider/claim/profilename" con el valor del reclamo "http://original_identity_provider/claim/displayname", configure la siguiente regla en el conector de IdP de ESA:

1.Haga clic en Agregar.

2.Seleccione Copiar en el casillero de la lista.

3.Para From type, escriba "http://original_identity_provider/claim/displayname" sin comillas.

4.Para To type, escriba "http://original_identity_provider/claim/profilename" sin comillas.

5.Haga clic en Save.