Esta guía demuestra el proceso paso a paso para crear una nueva aplicación en Google Workspace, capaz de comunicarse a través de SAML 2.0 con los servicios de la Plataforma Axur. En esta guía, cubriremos todas las configuraciones necesarias para garantizar que el Inicio de Sesión Único (SSO) funcione correctamente y como se espera.
Tabla de Contenidos
Antes de Comenzar
Asegúrese de tener una cuenta de Administrador en Google Workspace y de poder acceder a ella sin problemas.
Al realizar las configuraciones, asegúrese de que los datos que va a copiar o escribir en las ubicaciones indicadas sean correctos. La entrada de datos incorrectos puede causar problemas más tarde cuando probemos nuestra aplicación.
El proceso de creación de la aplicación de SSO en Google Workspace sigue un procedimiento paso a paso muy simple. No es necesario navegar por diferentes secciones para completar la configuración. El proceso es secuencial, pero hemos dividido el tutorial en secciones para facilitar la comprensión.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones de SSO de la Plataforma Axur, existe el concepto de usuarios y grupos. Después de todo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen (la creación de grupos a través del proveedor es opcional). En este sentido, esta sección se dedica a enseñar cómo crear grupos y usuarios en Google Workspace, así como a asignar usuarios a grupos.
Creando un grupo (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Observación: Es de extrema importancia que los nombres de los grupos cumplan con el patrón determinado. Específicamente, un nuevo grupo debe contener los valores de la tabla como sufijo:
Grupo |
|
|
|
|
|
En este sentido, valores de grupo como Axur-one-manager y ClienteX-one-expert son válidos, pero Axur-manager y ClienteX-analista no lo son, porque no incluyen los sufijos esperados.
Siga las instrucciones paso a paso en las imágenes para crear un grupo. No necesita crear todos los grupos mencionados anteriormente, solo los que desee. Antes de las imágenes, observe la siguiente tabla para obtener información sobre los grupos:
Nombre del Grupo | Descripción del Grupo |
one-viewer | Los usuarios de este grupo tendrán acceso a la Plataforma Axur, con la capacidad de ver toda la información de tickets, resultados y facturas, pero no pueden realizar ninguna acción. |
one-practitioner | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de ver toda la información, pueden realizar acciones no facturables (todas excepto las solicitudes de Takedown). |
one-expert | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de realizar acciones no facturables, también pueden solicitar Takedowns. |
one-manager | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y pueden realizar todas las acciones (no facturables y facturables) y también ver las actividades realizadas por sus usuarios en la Plataforma Axur. |
one-basic | Los usuarios de este grupo tienen un conjunto personalizado de capacidades. Cuando se crean, el gerente puede decidir cuáles serán sus capacidades. |
¡Haz clic en Listo (Done) para finalizar!
Creando un usuario
Para crear un usuario, siga las instrucciones paso a paso en las imágenes:
Asignando un grupo a un usuario (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Para asignar un usuario a un grupo que ha creado, siga las instrucciones paso a paso en las imágenes:
Creando una nueva aplicación
Use este enlace para acceder a Google Workspace e inicie sesión con su cuenta de Administrador. Luego, siga las instrucciones paso a paso en las imágenes a continuación para crear la nueva aplicación SAML proporcionando datos para la Plataforma Axur:
Obteniendo datos del proveedor Google Workspace
Como estamos utilizando Google Workspace como nuestro proveedor de identidad, es necesario obtener cierta información que pueda decirle a la Plataforma Axur con quién se comunicará y si su información es segura y confiable.
Siguiendo el proceso de creación de nuestra aplicación SAML, tenemos la siguiente imagen:
Para nuestro tutorial, utilice la primera opción. Descargue el archivo y asegúrese de que puede acceder a él sin problemas. Lo utilizaremos al final del tutorial para configurar el SSO en la Plataforma Axur.
Enviando datos de la Plataforma Axur a Google Workspace
Google necesita saber con quién se comunicará para que el proceso de SSO funcione sin problemas. Siga las imágenes para insertar los siguientes datos de la Plataforma Axur en la configuración de Google Workspace.
Estos son los datos que necesitará (Estos valores son fijos y deben ingresarse exactamente como se muestran):
Campo | Valor |
ACS URL |
|
Entity ID |
|
Mapeando atributos de usuario
Al utilizar Google Workspace como nuestro proveedor, estamos aprovechando las credenciales que ya están guardadas y gestionadas por Google, y estas credenciales se guardan en el formato que el proveedor definió. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurar que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente de si estos datos provienen de Google o de cualquier otro proveedor. Diferentes proveedores guardan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
Utilice las instrucciones paso a paso en las imágenes para agregar los mapeos de atributos de usuario en su aplicación de Google Workspace.
Los valores que deberá completar están aquí:
Campo | Valor |
Primary Email |
|
First name |
|
Last name |
|
Mapeando grupos de usuarios (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en Google Workspace y, como se explicó en la sección anterior, es necesario que exista un mapeo para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
En esta sección, el enfoque es tomar cada uno de los grupos que creó en la sección Grupos, usuarios y asignaciones y decirle a Google Workspace cómo se deben mapear estos nombres de grupo al enviarlos a la Plataforma Axur.
Siga las imágenes para crear los mapeos de grupos en la configuración de Google Workspace (utilice el siguiente valor para rellenar el lado derecho).
http://schemas.xmlsoap.org/claims/Group
Puede agregar tantos grupos como desee aquí. En el ejemplo, agregamos solo one-viewer, pero podría insertar tantos como desee. Al final, todos esos grupos estarían bajo la misma reclamación de grupo que definimos.
Al final del proceso de mapeo de atributos de grupos y usuarios, verifique si su aplicación se ve como la de la foto de abajo:
Asignando grupos/usuarios a la aplicación
Ahora solo queda asignar usuarios o grupos a la nueva aplicación que ha creado. Siga las instrucciones paso a paso en las imágenes para hacerlo:
Si decidió crear grupos a través del proveedor, seleccione los grupos creados y verifique que estén activos en la aplicación. Una vez hecho esto, todos los usuarios que participen en estos grupos tendrán acceso a la aplicación. Si decidió no crear grupos a través del proveedor, puede habilitar la aplicación para una Organizational Unit (OU). Esto permite que todos los usuarios dentro de esa OU tengan acceso a la aplicación, sin necesidad de crear grupos.
Para OU:
Para grupo:
Algunos errores comunes
Google Workspace tiene una página de soporte que contiene algunos de los errores más comunes durante la creación de una aplicación SAML. Puede acceder a esta página haciendo clic aquí. En general, en caso de errores, siempre intente verificar:
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP) (Google Workspace en este caso). Verifique que el archivo que descargó aquí no esté alterado.
La información de acceso a la aplicación. Verifique las asignaciones de grupos o usuarios directos.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor Google Workspace. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊