SAML 2.0

Es posible establecer una conexión a través de SAML con un proveedor de identidades para que los usuarios puedan iniciar sesión en los productos de Sensedia utilizando las credenciales de ese proveedor. El proveedor elegido debe soportar el estándar SAML 2.0.

Establecer una conexión a través de SAML2.0

La configuración de una conexión con un proveedor de identidad implica los siguientes elementos:

  • Name: nombre de su proveedor SAML.

  • Enable IdP sign out flow: habilitar cierre de sesión en el IdP. Si desea que el usuario cierre sesión en el proveedor de identidad SAML al cerrar sesión acá, seleccione esta opción y configure su IdP con la información presentada en los dos campos que se mostrarán:

    • Logout URL y

    • Signing certificate.

  • Callback URL: la URL a la que su proveedor de identidad debe devolver al usuario después de la autenticación.

  • SP Entity ID: es como su proveedor identificará su entidad. Configure su proveedor de identidad con esta URN.

  • Metadata URL: la dirección para acceder a los metadatos. Consulte la documentación de su proveedor de identidad para encontrar la URL de metadatos e introdúzcala en este campo.

  • Policy: seleccione la política de acceso que se aplicará a este acceso.

Si hay políticas configuradas en el lado de su proveedor de identidad, ellas anularán esta.

Esos campos se explican en el siguiente video:

Desactivación o edición de una conexión a través de SAML 2.0

Una vez que se activa, la conexión con el proveedor de identidad puede actualizarse en cualquier momento. Para eso, haga clic en cualquier campo que desee editar, realice las modificaciones oportunas y pulse UPDATE.

Para desactivar una conexión, haga clic en el botón DISCONNECT.

Al hacer clic en el botón DISCONNECT, todos los usuarios de esa integración tendrán su acceso deshabilitado. Para restablecer la conexión, sigue de nuevo los pasos anteriores (Establecer una conexión a través de SAML2.0).

Hacer clic en DISCONNECT no cambia la configuración con su proveedor de identidad.

Inicio de sesión y control de usuarios

A diferencia del inicio de sesión de la plataforma Sensedia, ahora el inicio de sesión con nombre de usuario y contraseña aún es posible incluso después de configurar SAML 2.0.

Un usuario podrá iniciar sesión en los productos Sensedia a través de SAML o por separado.

Configurar una aplicación del API Manager en su proveedor de identidad

Para habilitar una conexión SAML 2.0, es necesario registrar una aplicación del API Manager en su proveedor de identidad.

Consulte la documentación oficial de su proveedor para obtener más ayuda con la configuración necesaria.

Vea abajo un exemplo de configuración.

*Ejemplo de configuración con Okta

La conexión a través de SAML 2.0 se puede realizar con el ISP de su elección. Hay varios proveedores, uno de ellos es Okta. Para configurarlo, siga los pasos que se indican a continuación.

  1. Si aún no tiene una, cree una cuenta en Okta.
    Acceda por el enlace https://developer.okta.com/signup/.

  2. Cree una aplicación de tipo SAML 2.0.
    Para esto, haga clic en Applications  Applications y en el botón Create App Integration, como se muestra en la figura a continuación.
    okta step1a

    Luego, en la pantalla modal que se abrirá, seleccione la opción SAML 2.0 y haga clic en Next

    "ubicación de la opción SAML 2.0

  3. Configure la aplicación, especificando un nombre para su integración; icono o logotipo (opcional) y opciones de visibilidad.
    Luego haga clic en Next.

  4. En la siguiente pantalla, complete los campos:

    • Single sign on URL: (URL de inicio de sesión único) URL de callback, que se basa en su dirección de API Manager: <MANAGER-URL>/api-manager/api/v3/saml/callback;

    • Audience URI (SP Entity ID): el valor informado en este campo será utilizado en el API Manager como "application ID";

    • Default RelayState: campo no obligatorio;

    • Name ID format: seleccione EmailAddress.

      Más abajo, en Attribute Statements (imagen a continuación), complete:

    • Name: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress ;

    • Name format: selecciona basic ;

    • Value: rellenar con: usuario.e-mail ;
      okta step4
      Luego haga clic en NEXT para completar el registro.

  5. En la pantalla que aparece* al hacer clic en NEXT, exporte los metadatos haciendo clic en Identity Provider metadata is available if this application supports dynamic configuration, identificados en la siguiente imagen.
    (*Si la pantalla no aparece, regrese al Applications  Applications y haga clic en el nombre de la aplicación que acaba de crear. En la siguiente pantalla, haga clic en la pestaña Sign On. Verá el pantalla abajo)
    okta step5
    La pantalla que se abre a continuación mostrará el contenido, que se puede guardar como metadata.xml.
    Tenga en cuenta la dirección URL - se la utilizará para configurar el API Manager.

  6. Vincule el usuario de Okta a la aplicación creada.
    Para hacerlo, haga clic en la pestaña Assignments y luego haga clic en Assign  Assign to People, como se muestra en la imagen a continuación.
    okta step6

    En la pantalla que se abre, haga clic en Assign, junto a su nombre y correo electrónico, como se muestra en la imagen a continuación.

    okta step6b

    En la siguiente pantalla, haga clic en el botón Save and Go Back.

El usuario debe estar vinculado a la aplicación creada para que pueda iniciar sesión.

Después de configurar Okta, ingresa a su API Manager.

Regrese a la parte superior de esta página para obtener más detalles sobre configurar una integración en API Manager. En resumen, en el Access Control  Integrations, complete los campos:

  • Name: nombre que registró en el paso 3;

  • SP Entity ID: nombre ingresado como Audience URI en el paso 4;

  • Metadata URL: ponga la URL que obtuviste en el paso 5;

    Haga clic en CONNECT

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]