Configurando la autenticación en AD FS con SAML 2.0 |
En esta sección, será presentado un paso a paso para demostrar la configuración de todas las partes involucradas en la autenticación. Para eso, considere como base el servicio de identidad instalado en un servidor Windows Server 2012 R2, que tiene soporte nativo a AD FS y al protocolo de autenticación SAML 2.0:
1.La primera etapa de la configuración consiste en obtener los metadatos del proveedor de identidad. Los datos están contenidos en un único archivo llamado "FederationMetadata.xml". Este archivo contiene la información necesaria para que SE Suite consiga interpretar los mensajes intercambiados con el servicio durante el proceso de autenticación, como certificados digitales y direcciones de acceso. El proveedor de identidad ofrece una URL de acceso para que sea posible descargar el archivo, como se ejemplifica a continuación:
URL de acceso para download del archivo de metadatos del proveedor de identidad:
Ejemplo considerando como dirección del servidor de ADFS "trevor.contoso.local":
2.Después de obtener el archivo Federationmetadata.xml del servicio de identidad, simplemente impórtelo en SE Suite accediendo al componente SE Configuración Autenticación (CM008) sección Servicios de autenticación SAML 2.0. Si esta sección está deshabilitada, simplemente seleccione el modo de autenticación SAML 2.0, en la sección "Opciones de autenticación".
3.Una vez hecho esto, debe generar el certificado y exportar el archivo SESUITE_metadata.xml de SE Suite.
El archivo generado tiene la información necesaria para que el servidor de identidad (AD FS) consiga interpretar los mensajes enviados por SE Suite durante el proceso de autenticación, como, el certificado generado y URLs de acceso del sistema. Él será importado en AD FS.
4.La importación del archivo Sesuite_metadata.xml en AD FS, es hecha por AD FS Management. Vea cómo realizar esta operación: i.En el panel Acciones, ubicado en el lado derecho de la pantalla, haga un clic en la opción Agregar relación de confianza para usuario autenticado...
ii.En este momento, el asistente se abrirá. Haga un clic en la opción Iniciar. iii.En la etapa Seleccionar origen de datos, seleccione la opción "Importar datos sobre la relación/usuario de confianza de un archivo" y en el siguiente campo, seleccione el archivo SESUITE_metadata.xml. Hecho eso, haga un clic en Siguiente:
iv.En la etapa Especificar nombre para exhibición, informe un nombre para identificar la configuración. Hecho eso, haga un clic en Siguiente:
v.En la etapa ¿Configurar la autenticación multifactor ahora?, seleccione la opción "No deseo establecer la configuración de autenticación multifactor para esta relación/usuario de confianza en este momento.". Hecho eso, haga un clic en Siguiente:
vi.En la etapa Elegir reglas de autorización de emisión, seleccione la opción "Permitir que todos los usuarios tengan acceso a esta relación/usuario de confianza". Hecho eso, haga un clic en Siguiente:
vii.Verifique la información mostrada en la pestaña Puntos de extremos de la etapa Listo para agregar relación de confianza para usuario autenticado, verificando si la URL mostrada corresponde a la URL de acceso a SE Suite correcta. Hecho eso, haga un clic en Siguiente:
viii. En la etapa Concluir, marque la opción "Abrir el cuadro de diálogo Editar reglas de declaración de esta relación/usuario de confianza al cerrar el asistente" y enseguida, haga un clic en Cerrar:
5.Enseguida, se debe configurar "Editar reglas de declaración". Si la opción de editar las reglas de declaración no fue marcada anteriormente, es posible acceder a las reglas de declaración accediendo al menú Relying Party Trusts Editar reglas de notificación de AD FS Management:
i.Para agregar una nueva regla, en la pestaña Reglas de transformación de emisión de la pantalla que se abrirá, haga un clic en la opción Agregar regla:
ii.En la etapa Elegir tipo de regla, seleccione la opción "Enviar atributos LDAP como declaraciones" y haga un clic en Siguiente:
iii.En la etapa Configurar regla de declaración, configure los campos como se muestra en la imagen a continuación. Hecho esto, haga un clic en Finalizar:
iv.Hecho eso, la regla creada será presentada en el listado de la pestaña Reglas de transformación de emisión. Haga un clic en OK para finalizar la edición de las reglas de declaración.
6.La última etapa de la configuración de la autenticación integrada vía SAML 2.0, antes de probar la autenticación, es la configuración de los navegadores:
|