Esta guía demuestra el proceso paso a paso para crear una nueva aplicación en JumpCloud, capaz de comunicarse a través de SAML 2.0 con los servicios de la Plataforma Axur. En esta guía, cubriremos todas las configuraciones necesarias para garantizar que el Inicio de Sesión Único (SSO) funcione correctamente y como se espera.
Tabla de Contenidos
Antes de comenzar
Asegúrese de tener una cuenta de Administrador en JumpCloud y de poder acceder a ella sin problemas.
Al realizar las configuraciones, asegúrese de que los datos que va a copiar o escribir en las ubicaciones indicadas sean correctos. La entrada de datos incorrectos puede causar problemas más tarde cuando probemos nuestra aplicación.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones de SSO de la Plataforma Axur, existe el concepto de usuarios y grupos. Después de todo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen (la creación de grupos a través del proveedor es opcional). En este sentido, esta sección se dedica a enseñar cómo crear grupos y usuarios en JumpCloud, así como a asignar usuarios a grupos.
Creando un grupo (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Para empezar, observe que los siguientes grupos son aceptados por la Plataforma Axur, junto con la descripción de cada grupo:
Nombre del Grupo | Descripción del Grupo |
Axur Viewer | Los usuarios de este grupo tendrán acceso a la Plataforma Axur, con la capacidad de ver toda la información de tickets, resultados y facturas, pero no pueden realizar ninguna acción. |
Axur Analyst | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de ver toda la información, pueden realizar acciones no facturables (todas excepto las solicitudes de Takedown). |
Axur Expert | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de realizar acciones no facturables, también pueden solicitar Takedowns. |
Axur Manager | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y pueden realizar todas las acciones (no facturables y facturables) y también ver las actividades realizadas por sus usuarios en la Plataforma Axur. |
Axur-Custom | Los usuarios de este grupo tienen un conjunto personalizado de capacidades. Cuando se crean, el gerente puede decidir cuáles serán sus capacidades. |
NO necesita crear todos los grupos, solo los que tengan más sentido para su caso de uso. Dicho esto, puede crear un grupo y completar su información básica:
Antes de finalizar este proceso, necesitaremos hacer una cosa más. La Plataforma Axur espera que los nombres de los grupos estén en el siguiente formato:
Grupo | Valor deseado |
Axur Viewer |
|
Axur Analyst |
|
Axur Expert |
|
Axur Manager |
|
Axur Custom |
|
En JumpCloud, puede crear el nuevo grupo con el nombre que desee (en la imagen de ejemplo, el nombre es Axur demo - One Manager). Para hacer las cosas bien y permitir que la Plataforma Axur reciba correctamente el Valor deseado de la tabla, desplácese hacia abajo en la página de creación de grupos en la que se encuentra y busque la sección Custom attributes. Allí, haga algo similar a la imagen:
El nombre de la propiedad (en este caso, one-perm) puede ser cualquiera. Solo asegúrese de que este nombre se use en todos los grupos que desee crear para la Aplicación SAML de la Plataforma Axur. El valor de la propiedad (el de la derecha) debe coincidir con los valores deseados en la tabla anterior. Esta configuración garantiza que el atributo one-perm se mapeará a un nombre que sea reconocible por la Plataforma Axur. Ahora puede finalizar el proceso de creación del grupo.
Creando un usuario
Para crear un usuario, siga las instrucciones paso a paso en las imágenes:
Hay varias formas de crear un usuario en JumpCloud. Estamos mostrando la más simple solo para completar el tutorial. Independientemente de cómo decida crear usuarios, asegúrese de que estos tres campos estén completos para que la integración con la Plataforma Axur funcione correctamente:
First name
Last name
Email
Asignando un grupo a un usuario (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Para asignar un usuario a un grupo que ha creado, siga las instrucciones paso a paso en las imágenes:
Creando una nueva aplicación
Siga las instrucciones paso a paso en las imágenes a continuación para crear la nueva aplicación SAML proporcionando datos para la Plataforma Axur:
Después de crear su aplicación, acceda a la pestaña SSO, donde se realizarán todas nuestras configuraciones de SSO. Deberá completar el campo IdP Entity ID con el valor deseado. Este es el formato que recomendamos:
https://sso.jumpcloud.com/saml2/<IDENTIFICATION>
Donde <IDENTIFICATION> podría ser algo como mi-empresa. Nos quedaremos en esta página por ahora para crear otras configuraciones, así que continúe.
Enviando datos de la Plataforma Axur a JumpCloud
JumpCloud necesita saber con quién se comunicará para que el proceso de SSO funcione sin problemas. Haga clic en el siguiente enlace para descargar el archivo de metadatos de la Plataforma Axur. Guárdelo en algún lugar de su máquina donde pueda encontrarlo fácilmente y luego haga clic en el botón resaltado en la imagen:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
Después de cargar el archivo, la información necesaria del Proveedor de Servicios (SP) ya estará completa. Solo asegúrese de que los siguientes campos se hayan completado y contengan estos valores:
Campo | Valor |
ACS URL |
|
SP Entity ID |
|
También es posible que se completen otros campos. No necesita hacer nada si cargó el archivo correctamente. Simplemente pase a la siguiente sección.
Mapeando atributos de usuario
Al utilizar JumpCloud como nuestro proveedor, estamos aprovechando las credenciales que ya están guardadas y gestionadas por JumpCloud, y estas credenciales se guardan en el formato que el proveedor definió. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurar que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente de si estos datos provienen de JumpCloud o de cualquier otro proveedor. Diferentes proveedores guardan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
También en la pestaña SSO, utilice las instrucciones paso a paso en las imágenes para agregar los mapeos de atributos de usuario en su aplicación de JumpCloud.
Los valores que deberá completar están aquí:
Atributo de la Aplicación | Atributo de JumpCloud |
| firstname |
| lastname |
|
Siga haciendo clic en el botón Add Attribute para alcanzar el estado deseado, como en la imagen de abajo:
Mapeando grupos de usuarios (Opcional)
Esta sección es opcional. Los grupos pueden gestionarse dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo prefiere, puede omitir las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en JumpCloud y, como se explicó en la sección anterior, es necesario que exista un mapeo para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
En esta sección, el enfoque es tomar cada uno de los grupos que creó en la sección Grupos, usuarios y asignaciones y decirle a JumpCloud cómo se deben mapear estos nombres de grupo al enviarlos a la Plataforma Axur.
Aún en la pestaña SSO, en la sección Attributes, agregue otro atributo que contenga el siguiente par clave-valor (en el lado derecho, deberá elegir la opción Custom attribute, que le permite escribir el nombre del atributo que creamos en la sección Creando un grupo (Opcional)):
Atributo de la Aplicación | Atributo de JumpCloud |
| one-perm |
Recuerde, one-perm es el valor del atributo personalizado que definimos al crear el grupo. Eso se resolverá en uno de los nombres de grupo deseados de la última tabla en la sección Creando un grupo (Opcional). Asegúrese de usar el nombre de atributo correcto.
Obteniendo datos del proveedor JumpCloud
Como estamos utilizando JumpCloud como nuestro proveedor de identidad, es necesario obtener cierta información que pueda decirle a la Plataforma Axur con quién se comunicará y si su información es segura y confiable.
Cuando termine la configuración de su aplicación de SSO, acceda a su página principal y verá dos opciones para obtener los datos de JumpCloud:
Puede descargar el archivo o copiar una URL que hace referencia al mismo contenido. Asegúrese de guardar esta información, ya que la usaremos en la guía de configuración de la plataforma.
Asignando grupos/usuarios a la aplicación
Ahora solo queda asignar usuarios o grupos a la nueva aplicación que ha creado. Puede acceder a sus grupos en la sección User Groups. Luego, seleccione los grupos que desea asignar a la aplicación y haga clic en el botón Save.
Si decidió omitir todas las secciones relacionadas con la creación de grupos, simplemente busque un usuario (o usuarios) específico que desee agregar y marque la casilla junto a su nombre. Después de guardar, esto garantizará que puedan acceder a la aplicación.
Algunos errores comunes
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP) (JumpCloud en este caso). Verifique que el archivo que descargó aquí no esté alterado.
La información de acceso a la aplicación. Verifique las asignaciones de grupos o usuarios directos.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor JumpCloud. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊