Navigation:  Configuración de la autenticación en un servicio de directorio > Autenticación en AD FS vía SAML 2.0 >

Configurando la autenticación en AD FS con SAML 2.0

 Top  Previous  Top  Next

En esta sección, será presentado un paso a paso para demostrar la configuración de todas las partes involucradas en la autenticación. Para eso, considere como base el servicio de identidad instalado en un servidor Windows Server 2012 R2, que tiene soporte nativo a AD FS y al protocolo de autenticación SAML 2.0:

 

1.La primera etapa de la configuración consiste en obtener los metadatos del proveedor de identidad. Los datos están contenidos en un único archivo llamado "FederationMetadata.xml". Este archivo contiene la información necesaria para que SE Suite consiga interpretar los mensajes intercambiados con el servicio durante el proceso de autenticación, como certificados digitales y direcciones de acceso. El proveedor de identidad ofrece una URL de acceso para que sea posible descargar el archivo, como se ejemplifica a continuación:

 

URL de acceso para download del archivo de metadatos del proveedor de identidad:

https://[SERVER ADFS]/FederationMetadata/2007-06/FederationMetadata.xml

 

Ejemplo considerando como dirección del servidor de ADFS "trevor.contoso.local":

https://trevor.contoso.local/FederationMetadata/2007-06/FederationMetadata.xml

 

sda0044

 

2.Después de obtener el archivo Federationmetadata.xml del servicio de identidad, simplemente impórtelo en SE Suite accediendo al componente SE Configuración arrowrgray Autenticación (CM008) arrowrgray sección Servicios de autenticación arrowrgray SAML 2.0. Si esta sección está deshabilitada, simplemente seleccione el modo de autenticación SAML 2.0, en la sección "Opciones de autenticación".

 

El archivo FederationMetadata.xml contiene certificados digitales que tienen una fecha de expiración. Después del vencimiento de los certificados, puede ser necesaria una nueva configuración. Para obtener más detalles, consulte la sección Reconfigurando la autenticación en AD FS con SAML 2.0.

 

3.Una vez hecho esto, debe generar el certificado y exportar el archivo SESUITE_metadata.xml de SE Suite.

 

El archivo generado tiene la información necesaria para que el servidor de identidad (AD FS) consiga interpretar los mensajes enviados por SE Suite durante el proceso de autenticación, como, el certificado generado y URLs de acceso del sistema. Él será importado en AD FS.

 

4.La importación del archivo Sesuite_metadata.xml en AD FS, es hecha por AD FS Management. Vea cómo realizar esta operación:

i.En el panel Acciones, ubicado en el lado derecho de la pantalla, haga un clic en la opción Agregar relación de confianza para usuario autenticado...

 

sda0045

 

ii.En este momento, el asistente se abrirá. Haga un clic en la opción Iniciar.

iii.En la etapa Seleccionar origen de datos, seleccione la opción "Importar datos sobre la relación/usuario de confianza de un archivo" y en el siguiente campo, seleccione el archivo SESUITE_metadata.xml. Hecho eso, haga un clic en Siguiente:

 

sda0046

 

iv.En la etapa Especificar nombre para exhibición, informe un nombre para identificar la configuración. Hecho eso, haga un clic en Siguiente:

 

sda0047

 

v.En la etapa ¿Configurar la autenticación multifactor ahora?, seleccione la opción "No deseo establecer la configuración de autenticación multifactor para esta relación/usuario de confianza en este momento.". Hecho eso, haga un clic en Siguiente:

 

sda0048

 

vi.En la etapa Elegir reglas de autorización de emisión, seleccione la opción "Permitir que todos los usuarios tengan acceso a esta relación/usuario de confianza". Hecho eso, haga un clic en Siguiente:

 

sda0049

 

vii.Verifique la información mostrada en la pestaña Puntos de extremos de la etapa Listo para agregar relación de confianza para usuario autenticado, verificando si la URL mostrada corresponde a la URL de acceso a SE Suite correcta. Hecho eso, haga un clic en Siguiente:

 

sda0050

 

viii. En la etapa Concluir, marque la opción "Abrir el cuadro de diálogo Editar reglas de declaración de esta relación/usuario de confianza al cerrar el asistente" y enseguida, haga un clic en Cerrar:

 

sda0051

 

5.Enseguida, se debe configurar "Editar reglas de declaración". Si la opción de editar las reglas de declaración no fue marcada anteriormente, es posible acceder a las reglas de declaración accediendo al menú Relying Party Trusts arrowrgray Editar reglas de notificación de AD FS Management:

 

sda0052

 

i.Para agregar una nueva regla, en la pestaña Reglas de transformación de emisión de la pantalla que se abrirá, haga un clic en la opción Agregar regla:

 

sda0053

 

ii.En la etapa Elegir tipo de regla, seleccione la opción "Enviar atributos LDAP como declaraciones" y haga un clic en Siguiente:

 

sda0054

iii.En la etapa Configurar regla de declaración, configure los campos como se muestra en la imagen a continuación. Hecho esto, haga un clic en Finalizar:

 

sda0055

 

En algunos proveedores de identidad puede ser necesario especificar el identificador de la credencial en la configuración de SAML. Para eso, acceda al menú "Configuration > Authentication (CM008) > Authentication services > SAML 2.0", edite el registro de configuración, y en el campo "Credential ID", informe el valor "Name ID".

 

iv.Hecho eso, la regla creada será presentada en el listado de la pestaña Reglas de transformación de emisión. Haga un clic en OK para finalizar la edición de las reglas de declaración.

 

6.La última etapa de la configuración de la autenticación integrada vía SAML 2.0, antes de probar la autenticación, es la configuración de los navegadores:

hmtoggle_arrow1Google Chrome

Es necesario incluir Google Chrome en la lista de navegadores con protección de autenticación en el servidor de autenticación ADFS. Vea cómo realizar esta operación:

 

i.Vía PowerShell, ejecute el siguiente comando para deshabilitar la protección de autenticación (momentáneamente):

Set-ADFSProperties –ExtendedProtectionTokenCheck None

 

ii.Ejecute el siguiente comando para listar los navegadores que son compatibles con la protección en la autenticación:

Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents

 

iii.Seleccione todos los navegadores listados y agregue el navegador "Mozilla/5.0" y ejecute el siguiente comando:

Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client", "Mozilla/5.0")

 

iv.Hecho eso, reinicie el servicio de ADFS. Después de reiniciar el servicio, la protección de autenticación será habilitada nuevamente.

sda0056

 

v.Verifique si los comandos fueron ejecutados correctamente, conforme el ejemplo a continuación:

sda0057

 

Para verificar si el navegador fue incluido correctamente en la lista, después de reiniciar el servicio, basta ejecutar nuevamente el comando del paso ii, para que sean listados los navegadores con soporte a la protección en la autenticación y verificar si "Mozilla/5.0" está en la lista:

sda0058

 
hmtoggle_arrow1Internet Explorer

Para que Internet Explorer se utilice para la autenticación integrada con SAML, se recomienda incluir la URL de acceso a SE Suite en sitios de confianza. Para eso, acceda al menú Herramientas arrowrgray Opciones de internet arrowrgray pestaña Seguridad:

sda0059