Esta guía muestra el proceso paso a paso para crear una nueva aplicación en Microsoft Entra ID, capaz de comunicarse mediante SAML 2.0 con los servicios de la Plataforma Axur. En esta guía, cubriremos todas las configuraciones necesarias para garantizar que el inicio de sesión único (SSO) funcione correctamente y según lo previsto.
Tabla de contenido
Antes de Comenzar
Asegúrese de tener una cuenta de Administrador en Microsoft Entra ID y de que puede acceder a ella sin problemas.
Al realizar las configuraciones, asegúrese de que los datos que copie o ingrese en los campos especificados sean correctos. La entrada de datos incorrecta puede causar problemas más tarde cuando probemos nuestra aplicación.
Es importante tener en cuenta que esta solución no se basa en el uso de un servicio Active Directory (AD) local (on-premises), es decir, alojado por su propia empresa en su infraestructura. El enfoque es utilizar el servicio AD proporcionado por Azure, en la nube.
Nota: Azure Active Directory (Azure AD) ahora es Microsoft Entra ID. Esta guía se referirá a Microsoft Entra ID, pero es posible que aún vea “Azure AD” en algunas interfaces del portal.
Grupos, usuarios y asignaciones
En todos los tutoriales de creación de aplicaciones SSO de Axur Platform, se incluye el concepto de usuarios y grupos. Al fin y al cabo, el proveedor es donde se almacenará toda la información de sus usuarios, además de los grupos a los que pertenecen (crear grupos a través del proveedor es opcional). Por ello, esta sección está dedicada a enseñar cómo crear grupos y usuarios en Microsoft Entra ID, así como a asignar usuarios a grupos.
Creando un grupo (opcional)
Esta sección es opcional. Si lo desea, puede gestionar los grupos dentro de la Plataforma Axur. Por lo tanto, puede omitir las secciones "Crear un grupo", "Asignar un grupo a un usuario" y "Asignar grupos de usuarios".
Atención: Limitación de Grupos de AD On-Premises en Claims de Entra ID
Los grupos sincronizados desde un Active Directory local (On-Premises) a Microsoft Entra ID no pueden ser utilizados en Claims de grupo (tokens SAML/OIDC), ya que no se consideran “nativos de la nube” (cloud-native). Para solucionar esta limitación, los grupos deben ser creados directamente en Microsoft Entra ID como “grupos solo en la nube” (cloud-only groups).
Observación: Es fundamental que los nombres de los grupos se ajusten al patrón determinado. Más específicamente, un nuevo grupo debe contener los valores de la tabla como sufijo:
Grupo |
|
|
|
|
|
Aquí hay un poco más de información sobre los grupos:
Nombre del Grupo | Descripción del Grupo |
one-viewer | Los usuarios de este grupo tendrán acceso a la Plataforma Axur, con la capacidad de ver toda la información de tickets, resultados y facturas, pero no pueden realizar ninguna acción. |
one-practitioner | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de ver toda la información, pueden realizar acciones no facturables (todas excepto las solicitudes de Takedown). |
one-expert | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y, además de realizar acciones no facturables, también pueden solicitar Takedowns. |
one-manager | Los usuarios de este grupo tendrán acceso a la Plataforma Axur y pueden realizar todas las acciones (no facturables y facturables) y también ver las actividades realizadas por sus usuarios en la Plataforma Axur. |
one-basic | Los usuarios de este grupo tienen un conjunto personalizado de capacidades. Cuando se crean, el gerente puede decidir cuáles serán sus capacidades. |
Para crear un nuevo grupo en Microsoft Entra ID, siga las instrucciones paso a paso de las imágenes y no olvide seguir las directrices indicadas:
Después de agregar un par de grupos, es posible que veas algo como la imagen a continuación:
Creando un usuario
Para crear un nuevo usuario en Microsoft Entra ID , siga las instrucciones paso a paso en las imágenes:
Es de extrema importancia que los usuarios que cree tengan los campos Nombre, Apellido y Correo electrónico rellenados. No es necesario agregar grupos al usuario ahora, ya que lo haremos más adelante.
Asignar un grupo a un usuario (opcional)
Esta sección es opcional. Si lo desea, puede gestionar los grupos dentro de la Plataforma Axur. Por lo tanto, puede omitir las secciones "Crear un grupo", "Asignar un grupo a un usuario" y "Asignar grupos de usuarios".
Siga las instrucciones paso a paso en las imágenes para asignar un grupo que usted creó a un usuario:
Creando una nueva aplicación
Acceda a su cuenta de Azure e inicie sesión como un Administrador. Luego, siga las instrucciones paso a paso de las imágenes a continuación para crear la nueva aplicación SAML que proporcionará datos para la Plataforma Axur:
Envío de datos de la plataforma Axur a Microsoft Entra ID
Microsoft Entra ID necesita saber con quién se comunicará para que el proceso de SSO funcione sin problemas. Siga las imágenes para insertar los siguientes datos de la Plataforma Axur en la configuración de Microsoft Entra ID:
Para agregar los datos, necesitará cargar un archivo. Descargue este archivo accediendo a la siguiente URL:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
¡Verifique que los datos obtenidos a través del archivo coincidan con las imágenes antes de continuar!
Mapeando atributos de usuario
Al utilizar Microsoft Entra ID como nuestro proveedor, estamos aprovechando las credenciales que ya están almacenadas y gestionadas por Microsoft, y estas credenciales se almacenan en el formato definido por el proveedor. Sin embargo, para comunicarse con la Plataforma Axur utilizando SAML, es necesario que los datos del usuario se envíen de forma estandarizada. Piénselo de esta manera: necesitamos asegurar que la Plataforma Axur siempre reciba el atributo de correo electrónico del usuario en el mismo formato, independientemente de si estos datos provienen de Microsoft o de cualquier otro proveedor. Diferentes proveedores almacenan sus datos de diferentes maneras, ¡y los mapeos resuelven este problema!
A diferencia de algunos proveedores, Microsoft Entra ID ya incluye algunos mapeos de usuario definidos cuando se crea una aplicación SAML. Para completar esta configuración, simplemente elimine un mapeo, llamado userprincipalname.
Siga las imágenes para realizar el proceso:
Mapeando grupos de usuarios (opcional)
Esta sección es opcional. Los grupos se pueden gestionar dentro de la Plataforma Axur si lo desea. Por lo tanto, si lo desea, puede saltarse las secciones de "Crear un grupo", "Asignar un grupo a un usuario" y "Mapear grupos de usuarios".
Al igual que los atributos de usuario, también tenemos los grupos, que reúnen a los usuarios según algún criterio específico. Estos grupos son creados por el administrador en Microsoft Entra ID y, como se explicó en la sección anterior, es necesario crear un mapeo para que estos datos se transmitan a la Plataforma Axur de forma estandarizada, independientemente del proveedor.
En esta sección, el enfoque es tomar cada uno de los grupos que creó en la sección de creación de grupos y decirle a Microsoft Entra ID cómo se deben mapear estos nombres de grupo en el momento del envío a la Plataforma Axur.
Siga las imágenes para crear los grupos y sus mapeos en la configuración de Microsoft Entra ID. Utilice los datos proporcionados en las imágenes para realizar la configuración en su plataforma:
Campo | Valor |
Nombre (requerido) | Grupo |
Espacio de nombres (en lugar del ID de entidad como en la tabla original) |
|
Obtención de datos del proveedor de ID de Microsoft Entra
Como estamos utilizando Microsoft Entra ID como nuestro proveedor de identidad, es necesario obtener cierta información que pueda decirle a la Plataforma Axur con quién se comunicará y si su información es segura y fiable.
En el caso de Microsoft Entra ID, puede descargar el archivo .xml con la información o copiar un enlace que lleva a los mismos datos. Puede hacer lo que prefiera, ya que ambas opciones son compatibles con la Plataforma Axur.
Guarde esta información, ya que la utilizaremos al configurar SSO en la plataforma Axur.
Asignar grupos/usuarios a la aplicación
Ahora solo queda asignar usuarios o grupos a la nueva aplicación que has creado. Sigue las instrucciones paso a paso de las imágenes para hacerlo:
Para asignar grupos:
Para asignar usuarios :
En esta sección, puede asignar tanto grupos como usuarios directamente. Simplemente seleccione del menú después de buscar. Por lo tanto, para ambos casos (creación de grupos a través del proveedor y gestión de grupos a través de la propia Plataforma Axur), podemos configurar la aplicación con facilidad.
Algunos errores comunes
La información del Proveedor de Servicios (SP) (Plataforma Axur en este caso). Verifique los datos de la sección correspondiente y asegúrese de que sean los mismos.
La información del Proveedor de Identidad (IdP) (Microsoft Entra ID en este caso). Verifique que el archivo que descargó o el enlace que copió sea válido y no haya sido modificado.
La información de acceso a la aplicación. Verifique las asignaciones de grupos o usuarios directos.
Errores específicos
Error | Descripción | Cómo Resolver |
Non Authorized IdP or expired IdP login | IdP no autorizado o sesión expirada | Verifique los Metadatos de Federación y el IdP. |
Missing value for string parameter [email claim] | Claim de correo electrónico ausente o vacía | Asegúrese de que el atributo de correo electrónico esté configurado correctamente en el IdP. |
Redirection error | URL de endpoint incorrecta en el IdP | Verifique que los endpoints estén configurados correctamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | La aserción no estaba destinada al SP | Verifique que el entityId configurado en la aplicación sea com:axur:sso. |
Authentication statement is too old to be used with value {date} | La declaración de autenticación ha expirado | La duración de la sesión del IdP excede los 7 días. Contacte con el soporte para ajustarla. |
Validation of protocol message signature failed | La firma del mensaje SAML es inválida | Verifique que los Metadatos de Federación se proporcionaron correctamente. |
Esto concluye las configuraciones necesarias en el proveedor Microsoft Entra ID. Vuelva a la guía de configuración en la plataforma para finalizar la creación de su aplicación.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊