SSO Protocolo SAML 2.0

Antes de empezar

El documento siguiente presenta la información necesaria para establecer una autenticación única entre su proveedor de identidad (directorio) y las soluciones LUCCA mediante el protocolo SAML 2.0.

Denominación

IdP Identity Provider el proveedor de identidad, servicio vinculado a su directorio interno
SP Service Provider el proveedor de servicio, las soluciones LUCCA

Paso 1: Creación de la configuración en Lucca

Esta acción deberá realizarla un administrador o un usuario con acceso al módulo «Configuración de la autenticación y SSO».

MerciApp_e54zozhQB9.png

1. Active el método de autenticación que corresponde al protocolo (OAuth 2.0, SAML 2.0, etc.) y su IDP.

MerciApp_flRw7FWTAp.png

2. En el detalle la sección «Información del proveedor de servicios Lucca», recupere distintos datos, en este ejemplo, se trata de un protocolo SAML 2.0, pero sigue siendo aplicable a otros protocolos:

  • Su URL de acceso;
  • Su URL de respuesta;
  • Su URL de metadatos (solo SAML2.0);
  • Su identificador de Lucca (solo SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Paso 2: Integración de metadatos SP

A partir de los metadatos facilitados en su interfaz LUCCA, se recomienda configurar una aplicación SAML 2.0 en su IdP para la cuenta de SP LUCCA.

Su IdP devuelve a SP LUCCA un único atributo de usuario (nombre de usuario único) en el token SAML 2.0.

SAML_diagram__2_.pngSP LUCCA hace corresponder el nombre de usuario recibido con los datos de conexión integrados en la base de datos de LUCCA. Se trata del campo de dirección de correo electrónico profesional o del campo nombre de usuario.

Una vez autenticado, se atribuye al usuario una sesión LUCCA.

Paso 3: Nivel de seguridad

Se firmará la solicitud de autenticación AuthRequest generada por nuestro SP. El token devuelto por su IdP se puede firmar en el nivel SAML Response y/o SAML Assertion.

Además, el nodo SAML Assertion puede estar cifrado.

Paso 4: Configuración de LUCCA

Esta acción deberá ser realizada por un administrador.

Una vez realizada la configuración en su interfaz, tendrá que volver a la configuración de autenticación de Lucca para indicar los elementos siguientes:

  • Los metadatos IdP.
  • El nivel de seguridad del token.
  • La política de firma y de cifrado.
  • El campo de LUCCA al que corresponde el nombre de usuario enviado en el token (paso 2): dirección de correo electrónico o nombre de usuario.

Debe dar prioridad a la URL pública de acceso a los metadatos IdP. De hecho, en caso de renovación del certificado IdP, así se podrá mantener actualizada de forma automática la configuración de nuestro SP.

Sin embargo, si opta por no exponer públicamente su IdP (y, por consiguiente, los metadatos), puede enviarnos el archivo XML metadata.

Nota: En caso de renovación del certificado IdP, tendrá que actualizarlo en su interfaz Lucca para evitar interrupciones del servicio.

El atributo de conexión permitirá definir cuál es el atributo (nombre de usuario o dirección de correo electrónico profesional) que su proveedor de identidad envía para realizar la conexión.

Una vez introducida y registrada esta información, podrá activar la conexión mediante SSO en cuanto quiera hacerlo:

mceclip2.png

Una vez activada la conexión mediante SSO, podrá desactivar la posibilidad de que sus empleados lleguen a la página de conexión de Lucca que les permite conectarse con su nombre de usuario de Lucca y una contraseña personalizada desactivando la «Conexión inicio de sesión/contraseña de Lucca».

Contenido de la página

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0