Esta guía demuestra el proceso paso a paso para crear una nueva aplicación en Active Directory Federation Services (ADFS), capaz de comunicarse a través de SAML 2.0 con los servicios de la Plataforma Axur. En esta guía, cubriremos todas las configuraciones necesarias para garantizar que el Inicio de Sesión Único (SSO) funcione correctamente y como se espera.
Tabla de Contenidos:
Antes de comenzar
Asegúrese de tener los permisos necesarios para acceder al servidor donde está instalado ADFS y a la consola de administración de Usuarios y equipos de Active Directory.
Al realizar las configuraciones, asegúrese de que los datos que está copiando o escribiendo en las ubicaciones indicadas sean correctos. La entrada de datos incorrectos puede causar problemas más tarde cuando probemos nuestra aplicación.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones de SSO de la Plataforma Axur, existe el concepto de usuarios y grupos. Después de todo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen (la creación de grupos a través del proveedor es opcional). En este sentido, esta sección se dedica a enseñar cómo crear grupos y usuarios en ADFS, así como a asignar usuarios a grupos.
Crear un grupo (Opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo (Opcional), Asignando un grupo a un usuario (Opcional) y Mapeando grupos de usuarios (Opcional).
Las siguientes imágenes demuestran cómo crear un grupo en Active Directory:
Repita el proceso para agregar nuevos grupos. Los nombres que defina para estos grupos en Active Directory (por ejemplo, “Visor Axur”) son para su organización interna. Más tarde, en la asignación de notificaciones de ADFS, asociará estos grupos con los valores específicos que espera la Plataforma Axur. Cree nombres que sean descriptivos para usted.
Nombre sugerido en AD | Descripción del grupo |
Axur Viewer | Los usuarios de este grupo tendrán acceso a la Plataforma Axur, con la capacidad de ver toda la información de tickets, resultados y facturas, pero no pueden realizar ninguna acción. |
Axur Analyst | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de ver toda la información, pueden realizar acciones no facturables (todas excepto las solicitudes de Takedown). |
Axur Expert | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de realizar acciones no facturables, también pueden solicitar Takedowns. |
Axur Manager | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y pueden realizar todas las acciones (no facturables y facturables) y también ver las actividades realizadas por sus usuarios en la Plataforma Axur. |
Axur-Custom | Los usuarios de este grupo tienen un conjunto personalizado de capacidades. Cuando se crean, el gerente puede decidir cuáles serán sus capacidades. |
Creando un usuario
Las siguientes imágenes demuestran la creación de un usuario en Active Directory.
Después de crear el usuario, navegue a sus propiedades y asegúrese de que el campo de correo electrónico esté correctamente rellenado, ya que se utilizará en la asignación de notificaciones. Siga las imágenes:
Asignando un grupo a un usuario (Opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo (Opcional), Asignando un grupo a un usuario (Opcional) y Mapeando grupos de usuarios (Opcional).
Para asignar un grupo (creado en Active Directory) a un usuario, siga las instrucciones paso a paso de las imágenes:
Al escribir el nombre del grupo, haga clic en el botón Comprobar nombres para verificar si el grupo ingresado existe en Active Directory. Si existe, su nombre aparecerá subrayado, como en el ejemplo siguiente:
De lo contrario, una ventana de diálogo indicará que no se encontró el nombre:
Si el nombre es correcto, simplemente haga clic en Aceptar (OK).
Creando una nueva aplicación
Con acceso a la consola de administración de ADFS, siga las instrucciones paso a paso de las imágenes para crear una nueva aplicación (formalmente llamada Confianza para la parte usuaria), que representa la aplicación de la Plataforma Axur para ADFS.
Aquí está la URL de metadatos de la Plataforma Axur que necesitará en uno de los pasos, para permitir que ADFS configure automáticamente diversa información sobre el Proveedor de Servicios:
Campo | Valor |
Dirección de metadatos de federación (Plataforma Axur) |
|
Después de hacer clic en el botón para finalizar la creación de la aplicación, continúe con la siguiente sección. No es necesario marcar la opción indicada en la última imagen, ya que lo haremos más adelante.
Enviando datos de la Plataforma Axur a ADFS
Es necesario que ADFS sepa con quién se comunicará para que el proceso de SSO funcione sin problemas.
Dado que los datos de la Plataforma Axur (como los Endpoints SAML y el certificado) ya han sido consumidos y configurados por ADFS cuando creamos la aplicación en la sección Creando una nueva aplicación (al importar los metadatos de la Plataforma Axur), este paso ya se ha completado efectivamente. ¡Pase al siguiente!
Mapeando atributos de usuario
Al utilizar ADFS como nuestro proveedor, estamos aprovechando las credenciales que ya están almacenadas y gestionadas por ADFS, y estas credenciales se almacenan en el formato definido por el proveedor. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurarnos de que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente de si los datos provienen de ADFS o de cualquier otro proveedor. Diferentes proveedores almacenan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
Siga las instrucciones paso a paso de las imágenes para crear las asignaciones:
En la pantalla de creación de reglas, agregaremos las asignaciones de atributos de usuario. Siga las instrucciones paso a paso de las imágenes para realizar las configuraciones en su máquina y asegúrese de que los valores sean idénticos a los requeridos:
Mapeando grupos de usuarios (Opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo (Opcional), Asignando un grupo a un usuario (Opcional) y Mapeando grupos de usuarios (Opcional).
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en Active Directory y, como se explicó en la sección anterior, es necesario crear una asignación para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
En esta sección, el enfoque es tomar cada uno de los grupos que creó en la sección Creando un grupo (Opcional) y decirle a ADFS cómo se deben asignar estos nombres de grupo en el momento del envío a la Plataforma Axur. Siga las imágenes para crear las asignaciones de grupo en las configuraciones de ADFS.
En esta siguiente imagen, tendrá que buscar el grupo deseado. Simplemente siga la lógica que definimos para la búsqueda de grupos en la sección asignando grupos a usuarios. Al rellenar el valor para el campo Valor de la notificación saliente, asegúrese de que siga los valores de la siguiente tabla:
Valor deseado | Grupo (Lo que debe buscar, indicado por el botón Examinar) |
one-viewer | Axur Viewer |
one-practitioner | Axur Analyst |
one-expert | Axur Expert |
one-manager | Axur Manager |
one-basic | Axur Custom |
Agregue nuevas reglas para cada uno de los grupos de Active Directory que creó en la sección Creando un grupo (Opcional), respetando las reglas mencionadas anteriormente.
Obteniendo datos del proveedor ADFS
Como estamos utilizando ADFS como nuestro proveedor de identidad, es necesario obtener cierta información que pueda decirle a la Plataforma Axur con quién se comunicará y si su información es segura y fiable.
Siga las instrucciones paso a paso de las imágenes para localizar la ruta de los metadatos en su ADFS:
Tenga en cuenta que en la sección indicada, encontramos la ruta al archivo de metadatos (p. ej., /FederationMetadata/2007-06/FederationMetadata.xml). Para construir la URL completa, necesita saber el nombre de host (dominio) de su servicio ADFS. Por ejemplo, si su servicio ADFS es accesible en:
https://adfs.suempresa.com
La URL completa de los metadatos para su ADFS sería:
https://adfs.suempresa.com/FederationMetadata/2007-06/FederationMetadata.xml
Para construir la URL completa de los metadatos, anexe la ruta al nombre de host de su ADFS. ¡No olvide verificar la URL! Haga clic en ella para comprobar que realmente le lleva a la información de los metadatos.
Guarde esta URL, ya que la utilizaremos en la configuración de la Plataforma Axur.
Algunos errores comunes
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP) (ADFS en este caso). Verifique que el enlace que copió aquí redirija correctamente al archivo de metadatos.
La información de acceso a la aplicación. Verifique las asignaciones de grupos o usuarios directos.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el entityId configurado en la aplicación sea com:axur:sso. |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor ADFS. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊