Ejemplos de configuración de IdP Connector
En los ejemplos a continuación se asume la siguiente configuración:
•URL de instalación de ESA: https://esa.test.local:44322/
•Path Name (nombre de ruta) configurado en el conector de proveedor de identidad de ESA (Conector de IdP de ESA>): test
Enlaces a los ejemplos de configuración a continuación: Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence
Proveedores de identidad
OpenAM
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Proveedor de identidad original > Configuración del proveedor de identidad original, establezca la URL de metadatos como
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM_FQDN>/openam&realm=/ |
<OpenAM_FQDN> debe reemplazarse con el nombre de dominio que especificó al crear el IdP alojado en la consola OpenAM.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de OpenAM debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar OpenAM
1.Inicie sesión en OpenAM.
2.En Ámbitos, seleccione un ámbito y luego seleccione Crear proveedores de SAML v2.
3.Haga clic en Registrar proveedor de servicio remoto.
4.Ingrese la URL de metadatos que obtuvo de ESA:
a.En ESA Web Console vaya a Components > Identity Provider Connector > seleccione el conector de IdP configurado > Original Identity Provider > Configuration to the original Identity Provider > Metadata URL. En nuestro ejemplo: https://esa.test.local:44322/test/metadata/ToIdentityProvider
5.En Círculo de confianza:
a.Seleccione Agregar a existente.
b.Seleccione el Círculo de confianza existente al que pertenece el proveedor de identidad alojado.
6.Vaya a Federación > Proveedores de identidad > seleccione el proveedor en uso > Formato de ID de nombre.
7.Asígnele un valor al Mapa de valor de ID de nombre si no hay uno.
8.Realice la importación de certificados de ESA IdP Connector a OpenAM mediante la herramienta de línea de comandos.
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> -file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> -file <esa_decryption_certificate> |
En el código anterior <openam_keystore.jks>, <esa_signing_ceritificate> y <esa_decryption_ceritificate> deben reemplazarse con la ruta correspondiente que lleva a cada uno.
Okta
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como la URL que obtendrá de Okta cuando complete la configuración:
a.Inicie sesión como administrador en la aplicación Okta creada.
b.Seleccione la pestaña Inicio de sesión, haga clic derecho en Metadatos de proveedor de identidad en la sección Configuraciones y copie la dirección del enlace (ubicación del enlace).
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Okta debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Okta
1.Inicie sesión en la cuenta de administrador de Okta.
2.Vaya a Aplicaciones > Aplicaciones.
3.Haga clic en Agregar aplicación y luego en Crear nueva aplicación.
4.Seleccione Web como la Plataforma y SAML 2.0 como el Método de inicio de sesión.
5.Haga clic en Crear.
6.Cuando se configura la aplicación:
a. URL de inicio de sesión único: obtenga la URL de ESA Web Console cuando configure el conector de IdP de ESA:
i. Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. En nuestro ejemplo:
https://esa.test.local:44322/test/Auth/LoginResponse
b.URI de audiencia (ID de entidad SP): obtenga el valor pertinente de ESA Web Console cuando configure el conector de IdP de ESA:
i.Original Identity Provider > Configuration to the Original Identity Provider > Identifier. En nuestro ejemplo:
https://esa.test.local:44322/test/
c.En Configuraciones de SAML, seleccione Correo electrónico como Nombre de usuario de la aplicación.
Azure AD
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como la URL que obtendrá de Azure cuando complete la configuración:
a.En el portal de Azure, vaya a Azure Active Directory > Aplicaciones empresariales y seleccione la aplicación en la lista.
b.Haga clic en Inicio de sesión único y copie la URL del campo URL de metadatos de federación de aplicación en la sección Certificado de firma de SAML.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Azure debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza). Puede descargar el certificado de firma del portal de Azure:
a.Vaya a Azure Active Directory > Aplicaciones empresariales y seleccione la aplicación que configuró para el inicio de sesión único > Inicio de sesión único.
b.En la sección Firma de certificado SAMLE, haga clic en Descargar junto a Certificado (Sin formato).
Configurar Azure AD
1.Inicie sesión en el portal de Azure.
2.Vaya a Azure Active Directory > Aplicaciones empresariales > Nueva aplicación.
3.Haga clic en Aplicación que no está en la galería.
4.En la sección Inicio de sesión único configure los siguientes campos en función de la información que se obtiene de la configuración de conector de IdP de ESA:
a.Identificador (ID de entidad):utilice el valor de Original Identity Provider > Configuration to the Original Identity Provider > Identifier. En nuestro ejemplo:
https://esa.test.local:44322/test
b.URL de respuesta (URL de servicio de consumidor de aserción), URL de inicio de sesión: use el valor de Original Identity Provider > Configuration to the Original Identity Provider > Sign-on URL. En nuestro ejemplo:
https://esa.test.local:44322/test/Auth/LoginResponse
c.URL de cierre de sesión:utilice el valor de Original Identity Provider > Configuration to the Original Identity Provider > Logout URL. En nuestro ejemplo:
https://esa.test.local:44322/test/Auth/LogoutResponse
AD FS
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml |
donde <AD FS_FQDN> debe reemplazarse con el nombre de dominio de su servidor AD FS.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de AD FS debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar AD FS
1.Abra Administración de AD FS.
2.Haga clic en Relaciones de confianza > Relaciones de confianza del usuario autenticado > Agregar relación de confianza del usuario autenticado.
3.Seleccione Reconocimiento de afirmaciones y haga clic en Inicio.
4.Seleccione Importar datos sobre el usuario de confianza publicados en línea o en una red local y escriba la URL de metadatos provista por el ESA IdP Connector en el campo Dirección de metadatos de federación (URL del nombre de host:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
5.Complete la configuración.
6.Cuando hace clic en Cerrar en la página Finalizar, se abre el cuadro de diálogo Editar reglas de afirmaciones automáticamente.
7.Seleccione la pestaña Reglas de transformación de emisión y haga clic en Añadir regla.
8.En la Plantilla de regla de afirmación, seleccione Enviar atributos LDAP como afirmaciones, y haga clic en Siguiente.
9.Desde Almacén de atributos, seleccione Active Directory.
10.Seleccione Nombre principal del usuario para el Atributo LDAP, e ID de nombre para Reclamo saliente.
11.Haga clic en Finalizar y luego en Aceptar en el cuadro de diálogo Editar reglas de reclamos.
12.Aplique la siguiente configuración mediante PowerShell:
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" -EncryptionCertificateRevocationCheck "none" |
En el código anterior, reemplace <relying_party_name> con el nombre de la relación de confianza de usuario autenticado que configuró en pasos anteriores.
13.Descargue los certificados de ESA IdP Connector, sección Original Identity Provider > Configuration from the original Identity Provider e impórtelos a la tienda de certificados de Windows para que sean de confianza.
Shibboleth
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml |
si el ESA IdP Connector está instalado en el mismo equipo que Shibboleth. De lo contrario, copie el archivo idp-metadata.xml de Shibboleth en el equipo en que se instaló el ESA IdP Connector y vaya a esa ruta.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Shibboleth (ubicado en C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt de forma predeterminada) debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Shibboleth
1.Descargue el archivo de metadatos de ESA IdP Connector de la URL provista en ESA IdP Connector:
a.Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL
b.Guárdelo en el equipo en el que se instaló Shibboleth y vaya a su ubicación en "C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml":
<MetadataProvider id="sp-metadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_file_from_esa>"/> |
En el código anterior, <metadata_xml_file_from_esa> hace referencia a la ruta del archivo de metadatos ESA IdP Connector descargado.
2.Haga que Shibboleth envíe datos que identifiquen al usuario, en formato de correo electrónico como el parámetro NameID. Por ejemplo, envíe el atributo LDAP:
a.Definir para shibboleth.SAML2NameIDGenerators en "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml":
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> |
b.Agregar para "C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties":
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
Keycloak
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.En la sección Original Identity Provider > Configuration from the original Identity Provider, establezca la Metadata URL como
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor |
en la URL anterior, reemplace <keycloak> con el nombre de dominio y el puerto de su instancia de Keycloak, y <realm> con el nombre del ámbito pertinente.
3.Si en Configuración avanzada del conector de IdP de ESA, las opciones Validate original Identity Provider certificate y Check original Identity Provider Certificate revocation están seleccionadas, el certificado de firma de Keycloak debe configurarse como de confianza en el equipo en el que se instaló el ESA IdP Connector (por ejemplo, al agregarlo a Personas de confianza).
Configurar Keycloak
1.Descargue los metadatos de ESA IdP Connector en formato XML desde ESA Web Console:
a.Abra la URL de metadatos que se encuentra en Components > Identity Provider Connector > seleccione el conector de IdP configurado > Original Identity Provider > Configuration to the Original Identity Provider > Metadata URL en un navegador.
b.Presione CTRL + S, seleccione "XML" en Guardar como tipo si está disponible y haga clic en Guardar.
2.Inicie sesión en la consola del administrador de Keycloak.
3.Haga clic en Clientes > Crear.
4.Junto a Importar, haga clic en Seleccionar archivo, busque el archivo .xml de metadatos que descargó en el paso 1.
5.En Protocolo de cliente, seleccione SAML.
6.Complete los campos restantes y haga clic en Guardar.
7.En la pestaña Configuraciones del cliente creado, deshabilite la opción Aserciones de firma.
8.En Formato de ID de nombre, seleccione correo electrónico.
Proveedores de servicio
Dropbox
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.Cuando agregue un proveedor de servicio, seleccione Configure manually en la sección Configuration from the Service Provider.
3.En Emisor, escriba http://Dropbox.
4.Establezca el Single Sign-on Destination como https://www.dropbox.com/saml_login.
5.Copie los campos Sign-on URL, Logout URL en un archivo de texto y exporte el Singing Certificate para su uso posterior cuando configure su proveedor de servicio.
6.En Advanced Security Settings, quite la selección de Check signature of requests from the Service Provider.
Configurar Dropbox
1.Inicie sesión en Dropbox como administrador.
2.Vaya a Configuraciones > Inicio de sesión único.
3.En el campo URL de inicio de sesión, escriba la URL de inicio de sesión que copió del ESA IdP Connector configurado.
4.En el campo URL de cierre de sesión, escriba la URL de cierre de sesión que copió del ESA IdP Connector configurado.
5.Para X.509 ESA Web Console, importe el certificado de firma que exportó anteriormente del ESA IdP Connector configurado.
Confluence
Configurar ESA IdP Connector
1.Siga las instrucciones genéricas en Configuración de conector de IdP en ESA Web Console.
2.Cuando agregue un proveedor de servicio, seleccione Configure manually en la sección Configuration from the Service Provider.
3.En Issuer, copie y pegue la dirección URL ubicada en la consola del administrador de Confluence en Autenticación SAML > URL de audiencia (ID de entidad).
4.En Single Sign-on Destination, copie y pegue la dirección URL ubicada en la consola del administrador de Confluence en Autenticación SAML > URL de servicio de consumidor de aserción.
5.Copie los campos Identifier, Sign-on URL en un archivo de texto y exporte el Singing Certificate para su uso posterior cuando configure su proveedor de servicio.
6.En Advanced Security Settings, quite la selección de Check signature of requests from the Service Provider.
Configurar Confluence
1.Inicie sesión en Confluence como administrador.
2.Haga clic en Autenticación SAML.
3.En la sección Configuraciones de SAML SSO 2.0:
a.En el campo Emisor de inicio de sesión único, escriba el Identificador que copió del ESA IdP Connector.
b.En el campo URL de inicio de sesión único de proveedor de identidad, escriba la URL de inicio de sesión que copió del ESA IdP Connector.
c.En el campo Certificado X.509, copie y pegue el contenido del certificado de firma que exportó del ESA IdP Connector.