Antes de empezar
El documento siguiente presenta los pasos que se deben seguir para establecer una autenticación única entre su servicio ADFS y las soluciones LUCCA (protocolo SAML 2.0).
> El ejemplo siguiente se ha realizado en ADFS 3.0.
Requisitos previos
- Instalación de la función ADFS
Paso 1: Creación de la configuración en Lucca
Esta acción deberá realizarla un administrador o un usuario con acceso al módulo «Configuración de la autenticación y SSO».
1. Active el método de autenticación que corresponde al protocolo (OAuth 2.0, SAML 2.0, etc.) y su IDP.
2. En el detalle la sección «Información del proveedor de servicios Lucca», recupere distintos datos, en este ejemplo, se trata de un protocolo SAML 2.0, pero sigue siendo aplicable a otros protocolos:
- Su URL de acceso;
- Su URL de respuesta;
- Su URL de metadatos (solo SAML2.0);
- Su identificador de Lucca (solo SAML2.0).
Paso 2: Creación de una parte de confianza i.e. LUCCA
Desde la interfaz de gestión ADFS, en la columna de la derecha Acciones, haga clic en Agregar una aprobación de una parte de confianza.
Siga los pasos del asistente para agregar aprobaciones de partes de confianza:
– Seleccione un origen de los datos seleccionando la primera opción Importar los datos publicados en línea o en una red local, correspondientes a la parte de confianza, e indique la URL de metadatos comunicada en la interfaz de Lucca.
– Introduzca el nombre completo: puede personalizar el valor rellenado previamente: este es el nombre que tendrá su configuración ADFS para LUCCA.
– Seleccione las reglas de autorización de emisión: seleccione Autorizar el acceso de todos los usuarios a esta parte de confianza.
A continuación, se visualizará un resumen de la información obtenida desde LUCCA (identificador, punto de terminación, certificado de firma y cifrado, etc.).
Paso 3: Envío de un atributo de AD, identificador único
El asistente le mostrará de forma predeterminada la interfaz Editar las reglas de reivindicación al final de la etapa anterior. De lo contrario, haga clic en Editar las reglas de reivindicación desde la configuración que se acaba de crear para LUCCA.
En la pestaña Reglas de transformación de emisión, haga clic en Agregar una regla…
Seleccione Enviar los atributos LDAP como reivindicación
Después de introducir un nombre de regla, seleccione el almacén de atributos correspondiente (aquí Active Directory).
A continuación, seleccione un solo Atributo LDAP que se vaya a enviar en el token ADFS emitido por su servicio ADFS: se trata de un identificador único (dirección de correo electrónico o nombre de usuario) que permite a LUCCA establecer una correspondencia con los campos dirección de correo electrónico profesional/dirección de correo electrónico personal o el campo datos de inicio de sesión de las fichas de los usuarios.
Por último, en el Tipo de reivindicación saliente, seleccione Identificador de nombre.
Paso 4: Configuración de LUCCA
Esta acción deberá ser realizada por un administrador.
Una vez realizada la configuración en su interfaz de gestión ADFS, tendrá que volver a la configuración de autenticación de Lucca para indicar los elementos siguientes:
- Los metadatos de su servicio ADFS.
- El campo de LUCCA al que corresponde el atributo AD enviado en el token (paso 2): dirección de correo electrónico o nombre de usuario.
Debe dar prioridad a la URL pública de acceso a los metadatos de su ADFS. Por lo general, se encuentra en el formato siguiente:
https://adfs.company.com/FederationMetadata/2007-06/FederationMetadata.xml
Una vez introducida y registrada esta información, podrá activar la conexión mediante SSO en cuanto quiera hacerlo:
Una vez activada la conexión mediante SSO, podrá desactivar la posibilidad de que sus empleados lleguen a la página de conexión de Lucca que les permite conectarse con su nombre de usuario de Lucca y una contraseña personalizada desactivando la «Conexión inicio de sesión/contraseña de Lucca».
Caso de renovación del certificado correspondiente a ADFS
Si ha implementado una URL pública de acceso a los metadatos, nuestro servicio de autenticación seguirá actualizado incluso en caso de renovación.
Si su certificado tiene forma de archivo, tendrá que renovarlo siguiendo este procedimiento: