Autenticación en Microsoft Azure vía SAML 2.0

SE Suite tiene la autenticación integrada vía SAML 2.0 en la plataforma Azure, de Microsoft, homologado. Microsoft Azure es una plataforma destinada a la ejecución de aplicaciones y servicios, basada en conceptos de computación en nube. Los conceptos y la forma de funcionamiento de la autenticación en esta plataforma son muy parecidos con el modelo presentado anteriormente, y solo difieren en el orden de intercambio de los archivos de metadatos entre el sistema y el servicio (para Azure, debe ser generado primero el archivo de metadatos de SE Suite). Vea, a continuación, como configurar la autenticación vía SAML 2.0 en la plataforma Azure:

1.Para configurar la autenticación de usuarios vía SAML, acceda al componente Configuration

Authentication (CM008), seleccione en el menú lateral, Authentication Options y marque la opción SAML 2.0.

2.Seleccione, en el menú lateral, Authentication services

SAML 2.0 y agregue una nueva configuración. En la pantalla que se abrirá, informe en el campo ID un identificador para esta configuración. Después, haga clic en el botón Generate new certificate, informe la cantidad de años de validez de este certificado y, después, haga clic en el botón Generate para generar el certificado.

3.Aún en Service Provider Metadata (SP), haga clic en el botón Download metadata file para realizar la descarga del archivo metadatos. Guarde la configuración haciendo clic en Apply.

¡IMPORTANTE!

▪El upload del archivo de metadatos del proveedor de identidad será hecho posteriormente, en esta misma pantalla.

▪Si el menú "SAML 2.0" está deshabilitado, verifique si el campo SAML 2.0 está marcado en la sección "Opciones de autenticación".

4.Enseguida, acceda a la plataforma de Azure Active Directory y realice la configuración que se describe a continuación:

¡IMPORTANTE!

Para realizar las configuraciones a continuación, se debe tener una aplicación empresarial previamente registrada en la plataforma Azure Active Directory. Si aún no tiene una aplicación empresarial registrada, vea cómo registrar una en Configuración de aprovisionamiento vía SCIM con plataforma Azure Active Directory Configurando una aplicación empresarial en Azure Active Directory.

i.En Azure Active Directory, ubique la aplicación empresarial haciendo clic en el menú lateral izquierdo Enterprise applications;

ii.Seleccione All applications para que sean listadas las aplicaciones empresariales registradas;

iii.Ubique la aplicación empresarial para la que desea configurar la autenticación SAML 2.0.

5.Seleccione la aplicación empresarial y, enseguida, en el menú lateral izquierdo, acceda a Single sign-on y seleccione el método SAML.

6.En la secuencia, haga clic en Upload metadata file, cargue el archivo de metadatos “SESUITE_metadata.xml” cuya descarga fue realizada previamente por SE Suite en la pantalla de configuración de SAML 2.0 y agréguelo haciendo clic en Add.

Nota: Si el archivo presenta dos URLs iguales, será necesario eliminar una de ellas y después guardar.

Una vez hecho eso, los campos Identifier (Entity ID), Reply URL (Assertion Consumer Service URL) y Logout Url, en la sección “Basic SAML Configuration”, deben llenarse automáticamente terminando en ".../softexpert/selogin", ".../softexpert/saml" y “.../softexpert/selogin/samlsso”, respectivamente.

7.Después de cargar el archivo de metadatos, haga clic en el link Download, en la sección "SAML Signing Certificate", en "Federation Metadata XML", para realizar la descarga de las configuraciones.

8.En SE Suite, acceda al componente Configuración

Autenticación (CM008), ubique la configuración SAML y edítela. En Identity Provider Metadata, haga clic en el botón Import metadata file e informe el archivo de configuración XML obtenido del Azure. Guarde la configuración.

9.Enseguida, es necesario configurar el atributo que será utilizado por el Azure para autenticar vía SAML 2.0 con el login del usuario registrado en SE Suite, en la autenticación integrada.

De forma predeterminada, SE Suite, en la autenticación integrada SAML 2.0, utiliza el atributo configurado en el claim name Unique User Identifier (Name ID) para autenticar a los usuarios.

Es necesario verificar que el atributo configurado en el claim name Unique User Identifier (Name ID) sea el mismo que se utilizó como inicio de sesión en el aprovisionamiento de usuarios (LDAP, SCIM, Web Service, entre otros) o en el registro manual de usuario por parte de SE Suite. Si no es el mismo, es necesario cambiar el atributo de este claim o registrar uno nuevo y, posteriormente, configurarlo en el registro SAML 2.0, en SE Suite.

Para crear un nuevo claim en Azure, simplemente seleccione la aplicación empresarial deseada, acceda al menú Single sign-on de la aplicación empresarial, ubique la sección User Attributes & Claims y haga clic en Edit para editar. Enseguida, haga clic en el botón Add new claim para agregar un nuevo claim, informe el nombre deseado para este nuevo claim y seleccione el atributo deseado para él.

En SE Suite, para configurar la autenticación integrada para un nuevo claim, es necesario informar el nombre de este nuevo claim en el campo Credential ID, en la configuración de SAML 2.0.

¡IMPORTANTE!

Independientemente del tipo de aprovisionamiento utilizado (LDAP, SCIM, Web Service, entre otros), o el registro manual de usuarios directamente en SE Suite, el atributo configurado para la autenticación en las configuraciones de SAML de la aplicación empresarial en Azure Active Directory debe ser equivalente al valor registrado en el inicio de sesión del usuario en SE Suite.