En este tutorial, aprenderás a configurar una aplicación SAML utilizando un proveedor de identidad (IdP) que no está incluido entre los proveedores oficialmente compatibles con la Plataforma Axur — es decir, un IdP categorizado como "Otros". El proceso sigue pasos comunes a la mayoría de los IdPs y puede adaptarse según las opciones disponibles en tu proveedor. El objetivo es habilitar un inicio de sesión SSO seguro y simplificado, permitiendo que tus usuarios accedan a la plataforma con una única autenticación.
Tabla de Contenidos
Antes de comenzar
Ahora proporcionaremos un tutorial que puede ayudarle al crear una nueva aplicación de SSO (utilizando el protocolo SAML) para la Plataforma Axur. Es importante destacar que en nuestra plataforma, tenemos algunos proveedores “aprobados” (es decir, que cuentan con nuestra confianza y fiabilidad para proporcionar esta funcionalidad a nuestros usuarios), así como tutoriales específicos para configurar el SSO en estos proveedores.
Aunque el orden puede variar ligeramente dependiendo de su proveedor, las siguientes secciones representan una secuencia típica que funciona en la mayoría de los entornos.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones de SSO de la Plataforma Axur, existe la noción de usuarios y grupos. Después de todo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen.
Creando un grupo (opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Puede crear grupos con el nombre exacto que espera la Plataforma Axur.
Puede crear dos grupos. Uno tendrá un nombre fácilmente identificable (Visor de la Plataforma Axur, por ejemplo), y el otro será el nombre esperado por la Plataforma Axur (one-viewer, en el ejemplo). Luego, en su proveedor, deberá crear una Regla que asocie a todos los usuarios del grupo fácilmente identificable con el grupo esperado por la plataforma. Esta estrategia es puramente para fines organizativos, ya que puede tener múltiples aplicaciones con muchos grupos diferentes.
Observación: Es de extrema importancia que los nombres de los grupos cumplan con el patrón determinado. Más específicamente, un nuevo grupo debe contener los valores de la tabla como sufijo:
Grupo |
|
|
|
|
|
En este sentido, los valores de grupo como Axur-one-manager y ClienteX-one-expert son válidos, pero Axur-manager y ClienteX-analista no lo son, porque no incluyen los sufijos esperados.
Consulte los tutoriales específicos si tiene dudas sobre cómo hacerlo.
Creando un usuario
Necesitará crear usuarios en su proveedor. Asegúrese de que la siguiente información esté presente para cada usuario que cree. Esto es fundamental para que el proceso funcione:
First Name
Last Name
Email
Asegúrese de que estos campos estén correctamente rellenados; de lo contrario, los mapeos pueden fallar durante la autenticación.
Asignando un grupo a un usuario (opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Si decidió crear grupos en el proveedor, debe agregar los usuarios que creó a esos grupos. Asegúrese de que los nombres de sus grupos sean correctos y que los usuarios estén dentro de los grupos deseados, de lo contrario, el SSO no funcionará correctamente.
Creando una nueva aplicación
En su proveedor, cree una nueva aplicación que será responsable de proporcionar los datos de sus usuarios a la Plataforma Axur.
Asegúrese de que su aplicación esté utilizando el protocolo SAML; esto será fundamental para un funcionamiento correcto.
Ingrese datos como el nombre, la descripción de la aplicación y quizás un icono para representarla.
Generalmente, esto concluye la sección de creación de la aplicación.
Obteniendo datos del proveedor
Al utilizar un proveedor de identidad, es necesario obtener cierta información que pueda informar a la Plataforma Axur con quién estará comunicándose y si la información es segura y confiable. Esta información se llama Metadata del Proveedor.
Puedes descargar un archivo .xml que contiene toda la información necesaria para identificar al proveedor. Generalmente, esta es una de las opciones más simples, ya que todo está contenido en el archivo y no es necesario copiar nada. Si este es tu caso, descarga el archivo y guárdalo para uso futuro.
Algunos proveedores ofrecen un enlace que apunta a esta metadata. Si es tu caso, copia el enlace y guárdalo para uso futuro.
Usaremos estos datos más adelante, cuando configuremos el SSO en la Plataforma Axur.
Enviando datos de la Plataforma Axur al proveedor
El proveedor necesita saber con quién se comunicará para que el proceso de SSO funcione sin problemas. En este sentido, también es importante que el proveedor reciba los datos del Proveedor de Servicios, en este caso, la Plataforma Axur.
Generalmente, los proveedores suelen solicitar los siguientes datos. Indicamos en el Campo cuáles suelen ser obligatorios y cuáles pueden ser opcionales.
Campo | Valor |
ACS URL (Generalmente obligatorio) | |
Entity ID (Generalmente obligatorio) |
|
Logout URL (Generalmente opcional) |
Algunos proveedores pueden solicitar un archivo de metadatos, que generalmente contiene toda esta información mencionada anteriormente. Si este es el caso, puede utilizar la siguiente URL:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
Encuentre la sección responsable de contener los datos del Proveedor de Servicios y complete los campos necesarios.
Mapeando atributos de usuario
Al utilizar un proveedor, estamos aprovechando las credenciales que ya están almacenadas y gestionadas por el proveedor, y estas credenciales se almacenan en el formato definido por el proveedor. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurarnos de que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente del proveedor del que provengan los datos. Diferentes proveedores almacenan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
Los proveedores suelen ofrecer un menú seleccionable para determinar los valores del Campo (ver tabla). El contenido puede incluso estar escrito de manera diferente (Correo electrónico principal en el proveedor X y user.email en el proveedor Y, por ejemplo), pero la lógica sigue siendo la misma. Otros proveedores pueden incluso incluir ya algunos mapeos correctos, requiriendo solo la eliminación de uno o dos. En general, es importante que defina los campos Mapea a de los mapeos para que contengan los siguientes valores:
Campo | Mapeado para |
Primary Email | |
First name | |
Last name |
Mapeando grupos de usuarios (Opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de Creando un grupo, Asignando un grupo a un usuario y Mapeando grupos de usuarios.
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en el proveedor y, como se explicó en la sección anterior, es necesario crear un mapeo para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
Siguiendo la lógica de los mapeos de atributos de usuario de la sección anterior, necesitamos hacer algo similar con los grupos. Genéricamente, necesita crear mapeos siguiendo este patrón:
Grupo | Mapeado para |
| |
| |
|
El estilo de configuración puede variar de un proveedor a otro. Algunos proveedores tienen un menú de búsqueda de grupos, para que pueda agregar todos los necesarios y luego ingresar la URL una vez; otros no necesitan la URL, sino solo el valor Group; otros permiten que se ingrese una sola URL, junto con un patrón genérico como one-.*, y así sucesivamente.
Consulte los tutoriales específicos si tiene dudas sobre cómo hacerlo.
Asignando grupos/usuarios a la aplicación
Ahora solo queda asignar usuarios o grupos a la nueva aplicación que ha creado. En este caso, las acciones necesarias dependerán de su elección:
Si creó grupos a través del proveedor, agregue estos grupos a la nueva aplicación y asegúrese de que estén habilitados. ¡Esto permitirá que todos los usuarios contenidos en estos grupos accedan a la aplicación!
Si no creó grupos a través del proveedor, simplemente asigne los usuarios deseados directamente a la aplicación.
Algunos errores comunes
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP). Verifique que el archivo que descargó aquí no esté alterado.
La información de acceso a la aplicación. Verifique que los grupos o usuarios correctos hayan sido asignados a la aplicación.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊