Autenticación Externa

    En este módulo es posible integrar proveedores de autenticación externa que sean compatibles con el protocolo SAML 2.0 (Security Assertion Markup Language) y que pueden funcionar como punto único de autenticación ó SSO (Single Sign-On), además de proporcionar autenticación de múltiple factor (esta característica la proporciona el proveedor directamente).

    Tenga en cuenta que es necesario tener los usuarios importados o creados previamente para que la consola los pueda autenticar. Este proceso se puede realizar a través de la importación de los usuarios del LDAP, importación de usuarios a través de archivos de texto o la creación manual de ellos.

    Para la autenticación de los usuarios se usará la dirección de correo para identificarlo dentro del sistema, se recomienda que cada usuario tenga una dirección única.

    1. Para realizar la configuración proveedores de autenticación, ingrese a la consola de administración de ASMS, en la sección Configuración General del menú principal, seleccione la opción Autenticación Externa. En la vista de información seleccione el botón Nuevo y en la vista detalle complete la información solicitada.





    Campo Descripción
    Proveedor Nombre que se le dará al proveedor; este nombre es el que aparecerá en la pantalla de autenticación de la consola correspondiente.
    Consola Tipo de consola que se desea integrar.
    URL de la consola Url pública de la consola. Este valor debe ser proporcionado a su proveedor de autenticación como Identificador (id. de entidad).
    URL de inicio de sesión Url de inicio de sesión del proveedor de autenticación. Estos datos deben ser obtenidos directamente desde el proveedor.
    URL cierre de sesión Valide la consola para la que se requiere la configuración y para cada consola tenga en cuenta la siguiente estructura:

    Administración: Url de la consola administración /logout.aspx
    Especialista: Url de la consola especialista /logout
    Cliente: Url de la consola cliente /logout
    Especialista Móvil: Url de la consola especialista /logout
    Cliente Móvil: Url de la consola cliente /logout
    Identificador de identidad Identificador de identidad del proveedor de autenticación. Estos datos deben ser obtenidos directamente desde el proveedor.
    Información del Producto Los siguientes datos deben ser proporcionados a su proveedor de autenticación para realizar la configuración de la relación de confianza entre las dos partes:
    - URL de inicio de sesión *
    - URL cierre de sesión *

    Estas direcciones son generadas a partir de la URL de la consola, debe guardar la configuración para que sean permanentes, ya que en caso de no hacerlo y volver a realizar el proceso, estas pueden cambiar.
    Estado Habilite la integración utilizando el selector en ON

    2. Al terminar de configurar la información del provedor, haga clic en Guardar para confirmar los cambios realizados

    3. Dependiendo de su proveedor de autenticación debe seguir los pasos correspondientes:


    ADFS

    Obtener los datos del proveedor

    1. Identificador de identidad: En una instalación predeterminada su valor corresponde a https://**/adfs/services/trust

    Este identificador es posible obtenerlo directamente desde el servidor de ADFS abriendo la consola AD FS Management, en el menú principal seleccione la opción Service y en el menú Acciones seleccione la opción Edit Federation Service Properties a la derecha.



    2. URL de inicio de sesión: En una instalación predeterminada su valor corresponde a https://**/adfs/ls/

    Es posible obtenerlo directamente desde el servidor de ADFS abriendo la consola AD FS Management, en el menú principal seleccione la opción Service y Endpoints.





    3. URL cierre de sesión: En una instalación predeterminada su valor corresponde a https://**/adfs/ls/?wa=wsignout1.0

    Puede realizar el mismo procedimiento para obtener la URL de inicio de sesión y adicionarle el valor ?wa=wsignout1.0

    Estos datos deben ser ingresados al momento de crear un proveedor de autenticación externa en la consola de administración de ASMS. Ver configuración Autenticación Externa.



    Configuración de la relación de confianza

    1. Inicie la consola AD FS Management desde el servidor donde se encuentra instalado el ADFS, haga clic derecho sobre la opción Relying Party Trusts, seleccione Add Relying Party Trust…



    2. Seleccione Claims aware y de clic en Start.



    2. Seleccione Enter data about relying party manually, luego en Next.



    3. Ingrese un nombre descriptivo y registre la información adicional. Haga clic en Next.

    4. Puede dar clic en Next en el paso Configure certificate para dejar los valores predeterminados.

    5. Seleccione Enable support for the SAML 2.0 WebSSO protocol e ingrese la URL de inicio de sesión de la consola, haga clic en Next



    6. Ingrese la URL de la consola, de clic en Add y posteriormente en Next.



    7. Seleccione el tipo de política de acceso que se debe aplicar, basado en los requerimientos de seguridad, haga clic en Next.

    8. Puede ver el resumen de la configuración de clic en Next.

    9. Verifique que se encuentra seleccionada la opción configure claims issuance policy for this application para configurar las políticas para la expedición de de los claims que se deben usar para la integración; haga clic en Close para completar el asistente.



    10. A continuación encuentra una nueva ventana para configurar las políticas, haga clic en Add Rule.



    11. Seleccione la plantilla Sen LDAP attributes as Claims , haga clic en Next.



    12. Ingrese un nombre a la regla, seleccione Active Directory en la opción Attribute store, seleccione E-Mail-Addresses al lado izquierdo de la tabla y Name ID al lado derecho; termine la creación de la regla haciendo clic al botón Finish.



    13. Para completar el asistente de edición de políticas haga clic en el botón OK.

    14. Para agregar la dirección de cierre de sesión de la consola, edite el proveedor creado en el ADFS, haga clic derecho sobre el nombre del proveedor en la opción propiedades. También podrá hacerlo escogiendo el nombre del proveedor y dando clic izquierdo sobre el mismo.



    15. Seleccione la opción tab Endpoints y de clic en el botón Add SAML… .



    16. Seleccione SAML Logout en la opción Endpoint Type, luego Redirect en la opción Binding y finalmente ingrese la dirección URL cierre de sesión de la consola correspondiente.



    17. Haga clic en el botón OK y cierre la ventana de propiedades, haga clic de nuevo en el botón OK.


    Azure Active Directory

    Obtener los datos del proveedor

    En primera instancia cree una aplicación empresarial a través del portal de Azure.

    Seleccione la opción Cree su propia aplicación y en la ventana que habilita, ingrese un nombre para la aplicación y verifique que esté activada la opción Integrar cualquier otra aplicación que no se encuentre en la galería; luego haga clic en el botón Crear. Espere un momento mientras la aplicación es creada.

    Después de que la aplicación se haya creado, seleccione la opción Inicio de sesión único, luego seleccione SAML como método de inicio de sesión único.

    En la página Configuración del inicio de sesión único con SAML, haga clic en el ícono de lápiz de Configuración básica de SAML para editar la configuración.

    En la sección Configuración básica de SAML, siga estos pasos:

    Agregue un identificador y digite en el cuadro de texto la URL de la consola ASMS.

    Posteriormente, agregue una Dirección URL de respuesta y digite en el cuadro de texto la URL de inicio de sesión de la consola ASMS.

    Termine la configuración seleccionando el botón Guardar.

    Ahora puede copiar los siguientes valores:

    Dirección URL de inicio de sesión que corresponde al campo URL de inicio de sesión en la configuración de autenticación externa de la consola de administración ASMS.

    Identificador de Azure AD que corresponde al campo Identificador de identidad en la configuración de autenticación externa de la consola de administración ASMS.

    Para el campo Url de cierre de sesión utilice la siguiente dirección:

    https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

    Recuerde conceder permisos a los usuarios que pueden acceder a la aplicación a través de la opción Usuarios y grupos.

    Validación de inicio de sesión

    * El usuario que inicie sesión, debe ser previamente configurado para que pueda ingresar a la consola correspondiente.

    En la ventana de login de la consola que se haya configurado, encontrará un botón con el nombre del proveedor configurado en la parte inferior de la ventana.

    Al dar clic en en el botón, se realiza la redirección al proveedor de autenticación, aquí podrá ingresar los datos de inicio de sesión correspondientes.

    Al finalizar el proceso de autenticación, se redireccionará automáticamente a la consola y podrá ver reflejado el usuario autenticado.