Esta guía demuestra el proceso paso a paso para crear una nueva aplicación en Okta, capaz de comunicarse a través de SAML 2.0 con los servicios de la Plataforma Axur. En esta guía, cubriremos todas las configuraciones necesarias para garantizar que el Inicio de Sesión Único (SSO) funcione correctamente y como se espera.
Tabla de contenido
Antes de empezar
Asegúrese de que puede acceder a la cuenta de su organización alojada en Okta. Normalmente, la URL de acceso tiene el formato
https://<SU_ORGANIZACION>.okta.comAl realizar las configuraciones, asegúrese de que los datos que está copiando o escribiendo en las ubicaciones indicadas son correctos. La entrada de datos incorrectos puede causar problemas más tarde cuando probemos nuestra aplicación.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones de SSO de la Plataforma Axur, existe el concepto de usuarios y grupos. Después de todo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen (la creación de grupos a través del proveedor es opcional). En este sentido, esta sección se dedica a enseñar cómo crear grupos y usuarios en Okta, así como a asignar usuarios a grupos.
Creando un grupo (opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Crear un grupo, Asignar un grupo a un usuario y Asignar grupos de usuarios.
Siga las instrucciones paso a paso en las imágenes para crear un nuevo grupo:
Nombre sugerido | Descripción del grupo |
Axur Viewer | Los usuarios de este grupo tendrán acceso a la Plataforma Axur, con la capacidad de ver toda la información de tickets, resultados y facturas, pero no pueden realizar ninguna acción. |
Axur Analyst | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de ver toda la información, pueden realizar acciones no facturables (todas excepto las solicitudes de Takedown). |
Axur Expert | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de realizar acciones no facturables, también pueden solicitar Takedowns. |
Axur Manager | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y pueden realizar todas las acciones (no facturables y facturables) y también ver las actividades realizadas por sus usuarios en la Plataforma Axur. |
Axur Custom | Los usuarios de este grupo tienen un conjunto personalizado de capacidades. Cuando se crean, el gerente puede decidir cuáles serán sus capacidades. |
Para que la Plataforma Axur los reconozca correctamente a través de SAML, también será necesario crear grupos con los nombres exactos que la plataforma espera, como se muestra en la tabla a continuación. Más tarde, crearemos un mapeo entre ellos.
Valor deseado | Grupo |
| Axur Viewer |
| Axur Analyst |
| Axur Expert |
| Axur Manager |
| Axur Custom |
Esta estrategia es útil para fines organizativos. Los primeros grupos que creó (por ejemplo, Axur Platform Viewer) pueden identificarse fácilmente como pertenecientes a la Plataforma Axur en sus búsquedas de Okta. Más adelante, verá que crearemos un mapeo para que, cada vez que recibamos un inicio de sesión de un usuario del grupo Axur Platform Viewer, por ejemplo, el grupo transmitido a la plataforma se convierta a su respectivo grupo deseado (one-viewer, en este caso).
Creando un usuario
Para crear un usuario, siga las instrucciones paso a paso en las imágenes:
Siga el mismo proceso para crear más usuarios si lo desea.
Asignando un grupo a un usuario (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Crear un grupo, Asignar un grupo a un usuario y Asignar grupos de usuarios.
Para asignar un grupo a un usuario que ha creado, siga las instrucciones paso a paso en las imágenes:
Agregue tantos usuarios como desee.
Creando una nueva aplicación
Con acceso al Dashboard de Okta, siga las instrucciones paso a paso en las imágenes para crear una nueva aplicación. El proceso es secuencial, pero lo estamos dividiendo en secciones para mejorar la comprensión. Es una interfaz simple y fácil de seguir.
Continúe a la siguiente sección.
Envío de datos de la Plataforma Axur a Okta
Es necesario que Okta sepa con quién se comunicará para que el proceso de SSO funcione sin problemas.
En este sentido, la primera sección de la creación de la aplicación solicita algunos datos que se refieren a la Plataforma Axur para que podamos comunicarnos a través del protocolo SAML.
Estos son los datos que necesitará (Estos valores son fijos y deben ingresarse exactamente como se muestran):
Campo | Valor |
ACS URL |
|
Entity ID |
|
Complete los campos como se indica en la imagen. Asegúrese de que todos los valores que se muestran en la imagen de ejemplo estén completos, incluidos los campos Name ID format y Application username, además de los que se enumeran en la tabla anterior. Otros campos no indicados generalmente pueden dejarse con sus valores predeterminados o vacíos, a menos que su organización tenga requisitos específicos.
Mapeando atributos de usuario
Al utilizar Okta como nuestro proveedor, estamos aprovechando las credenciales que ya están guardadas y gestionadas por Okta, y estas credenciales se guardan en el formato que el proveedor definió. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurar que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente de si estos datos provienen de Okta o de cualquier otro proveedor. Diferentes proveedores guardan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
Continúe en el menú de creación de la nueva aplicación y utilice los valores indicados en la tabla para completar la sección de mapeo de atributos de usuario. Ingrese el primer valor (Nombre) manualmente, ya que es una URL. Los otros campos se pueden seleccionar en la lista desplegable. ¡Simplemente asegúrese de que los valores en su aplicación coincidan con los de la imagen!
Nombre | Formato del nombre | Valor |
| Basic |
|
| Basic |
|
| Basic |
|
Si decidió no crear grupos en Okta para esta aplicación, no complete los valores de mapeo de grupos que puedan aparecer debajo de esta sección de atributos de usuario. Continúe con el proceso de creación de la nueva aplicación, haciendo clic en el botón apropiado para proceder. Okta puede presentar un paso final de comentarios, que suele ser opcional y se puede omitir. Después de eso, puede finalizar el proceso de creación de su aplicación.
Mapeando grupos de usuarios (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Crear un grupo, Asignar un grupo a un usuario y Asignar grupos de usuarios.
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en Okta y, como se explicó en la sección anterior, es necesario crear un mapeo para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
Siga las imágenes para crear los mapeos de grupos en la configuración de Okta, y utilice los valores de la tabla para realizar su configuración:
Nombre | Formato del nombre | Valor |
| Unspecified |
|
El patrón (one-.*) asegura que cualquier grupo que coincida con los sufijos esperados por la Plataforma Axur (por ejemplo, one-viewer, one-manager) sea incluido.
Continúe con el proceso de creación de la nueva aplicación, haciendo clic en el botón apropiado para proceder. Okta puede presentar un paso final de comentarios, que suele ser opcional y se puede omitir. Después de eso, puede finalizar el proceso de creación de su aplicación. Para que el mapeo de atributos de grupo funcione correctamente, será necesaria una cosa más.
En la sección de creación de grupos, creó dos grupos para cada perfil existente en la Plataforma Axur (por ejemplo, Axur Platform Viewer -> one-viewer). Ahora crearemos una regla que asocie automáticamente a los usuarios del primer grupo con el segundo, para que todo funcione normalmente en la plataforma. Siga las instrucciones paso a paso en las imágenes para hacerlo:
Obteniendo datos del proveedor Okta
Como estamos utilizando Okta como nuestro proveedor de identidad, es necesario obtener cierta información que pueda decirle a la Plataforma Axur con quién se comunicará y si su información es segura y confiable.
Al acceder a su aplicación creada para la Plataforma Axur, haga clic en la pestaña Sign On. Como se muestra en la foto, puede ver una sección con una URL que indica dónde se encuentran los metadatos del proveedor para que podamos usarlos más tarde en el tutorial. Copie este enlace y guarde su valor en una nota para que podamos usar estos datos más adelante.
Asignando grupos/usuarios a la aplicación
Ahora solo queda asignar usuarios o grupos a la nueva aplicación que ha creado. Siga las instrucciones paso a paso en las imágenes para hacerlo.
Para grupo:
Para usuarios directamente:
Algunos errores comunes
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP) (Okta en este caso). Verifique que el enlace que copió aquí redirija correctamente al archivo de metadatos.
La información de acceso a la aplicación. Verifique las asignaciones de grupos o usuarios directos.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor Okta. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊