Ejemplos de configuración de IdP Connector
En los ejemplos a continuación se asume la siguiente configuración:
•URL de instalación de ESA: https://esa.test.local:44322/
•Path Name (nombre de ruta) configurado en el conector de proveedor de identidad de ESA (Conector de IdP de ESA>): test
Enlaces a los ejemplos de configuración a continuación: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Proveedores de identidad
OpenAM
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Proveedor de identidad original > Configuración del proveedor de identidad original, establezca la URL de metadatos como
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> debe reemplazarse con el nombre de dominio que especificó al crear el IdP alojado en la consola OpenAM.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de OpenAM debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar OpenAM
1.Inicie sesión en OpenAM.
2.En Ámbitos, seleccione un ámbito y luego seleccione Crear proveedores de SAML v2.
3.Haga clic en Registrar proveedor de servicio remoto.
4.Ingrese la URL de metadatos que obtuvo de ESA:
a.En ESA Web Console vaya a Components > Identity Provider Connector > seleccione el conector de IdP configurado > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL. En nuestro ejemplo: https://esa.test.local:44322/test/metadata/ToIdentityProvider
5.En Círculo de confianza:
a.Seleccione Agregar a existente.
b.Seleccione el Círculo de confianza existente al que pertenece el proveedor de identidad alojado.
6.Vaya a Federación > Proveedores de identidad > seleccione el proveedor en uso > Formato de ID de nombre.
7.Asígnele un valor al Mapa de valor de ID de nombre si no hay uno.
8.Realice la importación de certificados de ESA IdP Connector a OpenAM mediante la herramienta de línea de comandos.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
En el código anterior <openam_keystore.jks>, <esa_signing_ceritificate> y <esa_decryption_ceritificate> deben reemplazarse con la ruta correspondiente que lleva a cada uno.
Okta
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como la URL que obtendrá de Okta cuando complete la configuración:
a.Inicie sesión como administrador en la aplicación Okta creada.
b.Seleccione la pestaña Inicio de sesión, haga clic derecho en Metadatos de proveedor de identidad en la sección Configuraciones y copie la dirección del enlace (ubicación del enlace).
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Okta debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Okta
1.Inicie sesión en la cuenta de administrador de Okta.
2.Vaya a Aplicaciones > Aplicaciones.
3.Haga clic en Agregar aplicación y luego en Crear nueva aplicación.
4.Seleccione Web como la Plataforma y SAML 2.0 como el Método de inicio de sesión.
5.Haga clic en Crear.
6.Cuando se configura la aplicación:
a. URL de inicio de sesión único: obtenga la URL de ESA Web Console cuando configure el conector de IdP de ESA:
i. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. En nuestro ejemplo:
https://esa.test.local:44322/test/Auth/LoginResponse
b.URI de audiencia (ID de entidad SP): obtenga el valor pertinente de ESA Web Console cuando configure el conector de IdP de ESA:
i.Original Identity Provider > Configuration to the Original Identity Provider > Identifier. En nuestro ejemplo:
https://esa.test.local:44322/test/
c.En Configuraciones de SAML, seleccione Correo electrónico como Nombre de usuario de la aplicación.
Microsoft Entra ID
Requisito previo:
•Núcleo ESA instalado con conector de proveedor de identidad.
•Cuenta de Azure.
Configurar Microsoft Entra ID
1.Inicie sesión en el portal de Azure.
2.Vaya a Microsoft Entra ID > Enterprise applications (Aplicaciones de empresa) > New Application (Nueva aplicación) > Create your own application (Cree si propia aplicación) e introduzca el nombre deseado de la aplicación.
3.Haga clic en Integrate any other application you don't find in the gallery (Non-gallery) > Create.
4.En la sección Manage (Administrar) del menú a la izquierda, haga clic en Single sign-on (Inicio de sesión único) > SAML:
a.En la ventana SAML Certificates (Certificados SAML), copie App Federation Metadata Url (URL de metadatos federativos de aplicación).
5.Abra ESA y vaya a Components > Identity Provider Connector (Identificar el conector del proveedor) > Create new identity provider configuration (Crear nueva identidad para configuración de proveedor):
a.Complete el Configuration Name (Nombre de configuración).
b.En 2FA Settings (Ajustes de 2FA), deje ambas casillas de verificación seleccionadas.
c.En Original Identity Provider (Identidad original del proveedor), deje Use metadata (Uso de metadatos) seleccionado.
d.En Metadata URL (URL de metadatos), pegue la App Federation Metadata Url (URL de metadatos federativos de aplicación) que copió en el paso 5.
6.En Azure > Microsoft Entra ID > Enterprise applications (Aplicaciones de empresa) > Manage (Administrar) > Single sign-on (Inicio de sesión único) > SAML en la ventana Basic SAML Configuration (Configuración básica de SAML), haga clic en Edit (Editar):
a.Configure los siguientes campos en función de la información que se obtiene de la Configuración de conector de IdP de ESA:
b.Identifier (Entity ID) (Identificador [ID de entidad]): use el valor de Original Identity Provider (Identidad original del proveedor) > Configuration to the Original Identity Provider (Configuración para la identidad original del proveedor) > Identifier (Identificador). En nuestro ejemplo: https://esa.test.local:44322/test
c.Reply URL (Assertion Consumer Service URL) (URL de respuesta [URL de aceptación del servicio al cliente]: use el valor de Original Identity Provider (Identidad original del proveedor)> Configuration to the Original Identity Provider (Configuración para la identidad original del proveedor) > Sign-on response URL (URL de respuesta de inicio de sesión). En nuestro ejemplo: https://esa.test.local:44322/test/Auth/LoginResponse
d.Logout Url (URL de cierre de sesión): use el valor de Original Identity Provider (Identidad original del proveedor) > Configuration to the Original Identity Provider (Configuración para la identidad original del proveedor) > Logout response URL (URL de respuesta de cierre de sesión). En nuestro ejemplo: https://esa.test.local:44322/test/Auth/LogoutResponse
e.Haga clic en el botón Save.
f.En la ventana SAML Certificate (Certificado SAML), haga clic en Download (Descargar) junto a Certificate (Raw) (Certificado [sin procesar]).
7.Si en la Configuración avanzada de conector de IdP de ESA están seleccionadas las opciones Validate original Identity Provider certificate (Validar certificado original de identidad del proveedor) y Check original Identity Provider Certificate revocation (Comprobar revocación original del certificado de identidad del proveedor), el certificado de firma de Azure debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (Conecto IdP de ESA) (por ejemplo, cuando lo agregue a Personas de confianza).
8.En Azure > Microsoft Entra ID > Enterprise applications (Aplicaciones de empresa) > Manage (Administrar) > Users and groups (Usuarios y grupos) > Add user/group (Agregar usuario/grupo) > Users and groups (Usuarios y grupos) > None Selected (Ninguno seleccionado):
a.Busque el usuario que desea agregar y seleccione la casilla de verificación junto a él. Haga clic en el botón Select (Seleccionar). Haga clic en el botón Assign (Asignar).
b.En Azure > Microsoft Entra ID > Enterprise applications (Aplicaciones de empresa) > Manage (Administrar) > Single sign-on (Inicio de sesión único) > SAML > ventana Test single sign-on (Probar inicio de sesión único), haga clic en el botón Test (Probar). Aparecerá una nueva pestaña con la confirmación del inicio de sesión del usuario.
AD FS
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
donde <AD FS_FQDN> debe reemplazarse con el nombre de dominio de su servidor AD FS.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de AD FS debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar AD FS
1.Abra Administración de AD FS.
2.Haga clic en Relaciones de confianza > Relaciones de confianza del usuario autenticado > Agregar relación de confianza del usuario autenticado.
3.Seleccione Reconocimiento de afirmaciones y haga clic en Inicio.
4.Seleccione Importar datos sobre el usuario de confianza publicados en línea o en una red local y escriba la URL de metadatos provista por el ESA IdP Connector en el campo Dirección de metadatos de federación (URL del nombre de host:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
5.Complete la configuración.
6.Cuando hace clic en Cerrar en la página Finalizar, se abre el cuadro de diálogo Editar reglas de afirmaciones automáticamente.
7.Seleccione la pestaña Reglas de transformación de emisión y haga clic en Añadir regla.
8.En la Plantilla de regla de afirmación, seleccione Enviar atributos LDAP como afirmaciones, y haga clic en Siguiente.
9.Desde Almacén de atributos, seleccione Active Directory.
10.Seleccione Nombre principal del usuario para el Atributo LDAP, e ID de nombre para Reclamo saliente.
11.Haga clic en Finalizar y luego en Aceptar en el cuadro de diálogo Editar reglas de reclamos.
12.Aplique la siguiente configuración mediante PowerShell:
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
En el código anterior, reemplace <relying_party_name> con el nombre de la relación de confianza de usuario autenticado que configuró en pasos anteriores.
13.Descargue los certificados de ESA IdP Connector, sección Original Identity Provider > Configuration from the original Identity Provider e impórtelos a la tienda de certificados de Windows para que sean de confianza.
Shibboleth
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
si el ESA IdP Connector está instalado en el mismo equipo que Shibboleth. De lo contrario, copie el archivo idp-metadata.xml de Shibboleth en el equipo en que se instaló el ESA IdP Connector y vaya a esa ruta.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Shibboleth (ubicado en C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt de forma predeterminada) debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Shibboleth
1.Descargue el archivo de metadatos de ESA IdP Connector de la URL provista en ESA IdP Connector:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
b.Guárdelo en el equipo en el que se instaló Shibboleth y vaya a su ubicación en "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
En el código anterior, <metadata_xml_file_from_esa> hace referencia a la ruta del archivo de metadatos ESA IdP Connector descargado.
2.Haga que Shibboleth envíe datos que identifiquen al usuario, en formato de correo electrónico como el parámetro NameID. Por ejemplo, envíe el atributo LDAP:
a.Definir para shibboleth.SAML2NameIDGenerators en "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Agregar para "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties":
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
en la URL anterior, reemplace <keycloak> con el nombre de dominio y el puerto de su instancia de Keycloak, y <realm> con el nombre del ámbito pertinente.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Keycloak debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Keycloak
1.Descargue los metadatos de ESA IdP Connector en formato XML desde ESA Web Console:
a.Abra la URL de metadatos que se encuentra en Components > Identity Provider Connector > seleccione el conector de IdP configurado > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL en un navegador.
b.Presione CTRL + S, seleccione "XML" en Guardar como tipo si está disponible y haga clic en Guardar.
2.Inicie sesión en la consola del administrador de Keycloak.
3.Haga clic en Clientes > Crear.
4.Junto a Importar, haga clic en Seleccionar archivo, busque el archivo .xml de metadatos que descargó en el paso 1.
5.En Protocolo de cliente, seleccione SAML.
6.Complete los campos restantes y haga clic en Guardar.
7.En la pestaña Configuraciones del cliente creado, deshabilite la opción Aserciones de firma.
8.En Formato de ID de nombre, seleccione correo electrónico.
Proveedores de servicio
Dropbox
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.Cuando agregue un proveedor de servicio, seleccione Configure manually en la sección Configuration from the Service Provider.
3.En Emisor, escriba http://Dropbox.
4.Establezca el Single Sign-on Destination como https://www.dropbox.com/saml_login.
5.Copie los campos Sign-on URL, Logout URL en un archivo de texto y exporte el Singing Certificate para su uso posterior cuando configure su proveedor de servicio.
6.En Advanced Security Settings, quite la selección de Check signature of requests from the Service Provider.
Configurar Dropbox
1.Inicie sesión en Dropbox como administrador.
2.Vaya a Configuraciones > Inicio de sesión único.
3.En el campo URL de inicio de sesión, escriba la URL de inicio de sesión que copió del ESA IdP Connector configurado.
4.En el campo URL de cierre de sesión, escriba la URL de cierre de sesión que copió del ESA IdP Connector configurado.
5.Para X.509 ESA Web Console, importe el certificado de firma que exportó anteriormente del ESA IdP Connector configurado.
Confluence
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.Cuando agregue un proveedor de servicio, seleccione Configure manually en la sección Configuration from the Service Provider.
3.En Issuer, copie y pegue la dirección URL ubicada en la consola del administrador de Confluence en Autenticación SAML > URL de audiencia (ID de entidad).
4.En Single Sign-on Destination, copie y pegue la dirección URL ubicada en la consola del administrador de Confluence en Autenticación SAML > URL de servicio de consumidor de aserción.
5.Copie los campos Identifier, Sign-on URL en un archivo de texto y exporte el Singing Certificate para su uso posterior cuando configure su proveedor de servicio.
6.En Advanced Security Settings, quite la selección de Check signature of requests from the Service Provider.
Configurar Confluence
1.Inicie sesión en Confluence como administrador.
2.Haga clic en Autenticación SAML.
3.En la sección Configuraciones de SAML SSO 2.0:
a.En el campo Emisor de inicio de sesión único, escriba el Identificador que copió del ESA IdP Connector.
b.En el campo URL de inicio de sesión único de proveedor de identidad, escriba la URL de inicio de sesión que copió del ESA IdP Connector.
c.En el campo Certificado X.509, copie y pegue el contenido del certificado de firma que exportó del ESA IdP Connector.