Antes de empezar
- Para Microsoft ADFS, puede consultar la ficha de ayuda siguiente: SSO Microsoft ADFS – Active Directory Federation Services
. - Para Azure AD, puede consultar la ficha de ayuda siguiente: SSO Azure Active Directory (SAML 2.0).
- Para el resto de proveedores de identidad, siga las indicaciones que aparecen a continuación.
El documento siguiente presenta la información necesaria para establecer una autenticación única entre su proveedor de identidad (directorio) y las soluciones LUCCA mediante el protocolo SAML 2.0.
Denominación
IdP | Identity Provider | el proveedor de identidad, servicio vinculado a su directorio interno |
SP | Service Provider | el proveedor de servicio, las soluciones LUCCA |
Paso 1: Creación de la configuración en Lucca
Esta acción deberá realizarla un administrador o un usuario con acceso al módulo «Configuración de la autenticación y SSO».
1. Active el método de autenticación que corresponde al protocolo (OAuth 2.0, SAML 2.0, etc.) y su IDP.
2. En el detalle la sección «Información del proveedor de servicios Lucca», recupere distintos datos, en este ejemplo, se trata de un protocolo SAML 2.0, pero sigue siendo aplicable a otros protocolos:
- Su URL de acceso;
- Su URL de respuesta;
- Su URL de metadatos (solo SAML2.0);
- Su identificador de Lucca (solo SAML2.0).
Paso 2: Integración de metadatos SP
A partir de los metadatos facilitados en su interfaz LUCCA, se recomienda configurar una aplicación SAML 2.0 en su IdP para la cuenta de SP LUCCA.
Su IdP devuelve a SP LUCCA un único atributo de usuario (nombre de usuario único) en el token SAML 2.0.
SP LUCCA hace corresponder el nombre de usuario recibido con los datos de conexión integrados en la base de datos de LUCCA. Se trata del campo de dirección de correo electrónico profesional o del campo nombre de usuario.
Una vez autenticado, se atribuye al usuario una sesión LUCCA.
Paso 3: Nivel de seguridad
Se firmará la solicitud de autenticación AuthRequest generada por nuestro SP. El token devuelto por su IdP se puede firmar en el nivel SAML Response y/o SAML Assertion.
Además, el nodo SAML Assertion puede estar cifrado.
Paso 4: Configuración de LUCCA
Esta acción deberá ser realizada por un administrador.
Una vez realizada la configuración en su interfaz, tendrá que volver a la configuración de autenticación de Lucca para indicar los elementos siguientes:
- Los metadatos IdP.
- El nivel de seguridad del token.
- La política de firma y de cifrado.
- El campo de LUCCA al que corresponde el nombre de usuario enviado en el token (paso 2): dirección de correo electrónico o nombre de usuario.
Debe dar prioridad a la URL pública de acceso a los metadatos IdP. De hecho, en caso de renovación del certificado IdP, así se podrá mantener actualizada de forma automática la configuración de nuestro SP.
Sin embargo, si opta por no exponer públicamente su IdP (y, por consiguiente, los metadatos), puede enviarnos el archivo XML metadata.
Nota: En caso de renovación del certificado IdP, tendrá que actualizarlo en su interfaz Lucca para evitar interrupciones del servicio.
El atributo de conexión permitirá definir cuál es el atributo (nombre de usuario o dirección de correo electrónico profesional) que su proveedor de identidad envía para realizar la conexión.
Una vez introducida y registrada esta información, podrá activar la conexión mediante SSO en cuanto quiera hacerlo:
Una vez activada la conexión mediante SSO, podrá desactivar la posibilidad de que sus empleados lleguen a la página de conexión de Lucca que les permite conectarse con su nombre de usuario de Lucca y una contraseña personalizada desactivando la «Conexión inicio de sesión/contraseña de Lucca».