SSO Microsoft ADFS – Active Directory Federation Services (SAML 2)

Antes de empezar

El documento siguiente presenta los pasos que se deben seguir para establecer una autenticación única entre su servicio ADFS y las soluciones LUCCA (protocolo SAML 2.0).

> El ejemplo siguiente se ha realizado en ADFS 3.0.

Requisitos previos

  • Instalación de la función ADFS

Paso 1: Creación de la configuración en Lucca

Esta acción deberá realizarla un administrador o un usuario con acceso al módulo «Configuración de la autenticación y SSO».

MerciApp_e54zozhQB9.png

1. Active el método de autenticación que corresponde al protocolo (OAuth 2.0, SAML 2.0, etc.) y su IDP.

MerciApp_flRw7FWTAp.png

2. En el detalle la sección «Información del proveedor de servicios Lucca», recupere distintos datos, en este ejemplo, se trata de un protocolo SAML 2.0, pero sigue siendo aplicable a otros protocolos:

  • Su URL de acceso;
  • Su URL de respuesta;
  • Su URL de metadatos (solo SAML2.0);
  • Su identificador de Lucca (solo SAML2.0).

MerciApp_G4KJ8ZYlTG.png

MerciApp_rNAYIXR9U6.png

Paso 2: Creación de una parte de confianza i.e. LUCCA

Desde la interfaz de gestión ADFS, en la columna de la derecha Acciones, haga clic en Agregar una aprobación de una parte de confianza.

mstsc_2019-02-08_17-20-37.png

Siga los pasos del asistente para agregar aprobaciones de partes de confianza:

– Seleccione un origen de los datos seleccionando la primera opción Importar los datos publicados en línea o en una red local, correspondientes a la parte de confianza, e indique la URL de metadatos comunicada en la interfaz de Lucca.

mstsc_2019-02-08_17-26-46.png

– Introduzca el nombre completo: puede personalizar el valor rellenado previamente: este es el nombre que tendrá su configuración ADFS para LUCCA.

– Seleccione las reglas de autorización de emisión: seleccione Autorizar el acceso de todos los usuarios a esta parte de confianza.

mstsc_2019-02-08_17-28-11.png

A continuación, se visualizará un resumen de la información obtenida desde LUCCA (identificador, punto de terminación, certificado de firma y cifrado, etc.).

Paso 3: Envío de un atributo de AD, identificador único

El asistente le mostrará de forma predeterminada la interfaz Editar las reglas de reivindicación al final de la etapa anterior. De lo contrario, haga clic en Editar las reglas de reivindicación desde la configuración que se acaba de crear para LUCCA.

mstsc_2019-02-08_17-33-33.png

En la pestaña Reglas de transformación de emisión, haga clic en Agregar una regla…

mstsc_2019-02-08_17-52-10.png

Seleccione Enviar los atributos LDAP como reivindicación

mstsc_2019-02-08_17-41-41.png

Después de introducir un nombre de regla, seleccione el almacén de atributos correspondiente (aquí Active Directory).

A continuación, seleccione un solo Atributo LDAP que se vaya a enviar en el token ADFS emitido por su servicio ADFS: se trata de un identificador único (dirección de correo electrónico o nombre de usuario) que permite a LUCCA establecer una correspondencia con los campos dirección de correo electrónico profesional/dirección de correo electrónico personal o el campo datos de inicio de sesión de las fichas de los usuarios.

Por último, en el Tipo de reivindicación saliente, seleccione Identificador de nombre.

mstsc_2019-02-08_17-47-13.png

Paso 4: Configuración de LUCCA

Esta acción deberá ser realizada por un administrador.

Una vez realizada la configuración en su interfaz de gestión ADFS, tendrá que volver a la configuración de autenticación de Lucca para indicar los elementos siguientes:

  • Los metadatos de su servicio ADFS.
  • El campo de LUCCA al que corresponde el atributo AD enviado en el token (paso 2): dirección de correo electrónico o nombre de usuario.

Debe dar prioridad a la URL pública de acceso a los metadatos de su ADFS. Por lo general, se encuentra en el formato siguiente:

https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml

Una vez introducida y registrada esta información, podrá activar la conexión mediante SSO en cuanto quiera hacerlo:

mceclip1.png

Una vez activada la conexión mediante SSO, podrá desactivar la posibilidad de que sus empleados lleguen a la página de conexión de Lucca que les permite conectarse con su nombre de usuario de Lucca y una contraseña personalizada desactivando la «Conexión inicio de sesión/contraseña de Lucca».

Caso de renovación del certificado correspondiente a ADFS

Si ha implementado una URL pública de acceso a los metadatos, nuestro servicio de autenticación seguirá actualizado incluso en caso de renovación.

Si su certificado tiene forma de archivo, tendrá que renovarlo siguiendo este procedimiento: 

mceclip0.png

Contenido de la página

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0