SAML 2.0

Es posible establecer una conexión a través de SAML con un proveedor de identidades para que los usuarios puedan iniciar sesión en los productos de Sensedia utilizando las credenciales de ese proveedor. El proveedor elegido debe soportar el estándar SAML 2.0.

No es posible generar Client Credentials utilizando inicios de sesión federados.

Establecer una conexión a través de SAML2.0

La configuración de una conexión con un proveedor de identidad implica los siguientes elementos:

  • Name: nombre de su proveedor SAML.

  • Enable IdP sign out flow: habilitar cierre de sesión en el IdP. Si desea que el usuario cierre sesión en el proveedor de identidad SAML al cerrar sesión acá, seleccione esta opción y configure su IdP con la información presentada en los dos campos que se mostrarán:

    • Logout URL y

    • Signing certificate.

  • Callback URL: la URL a la que su proveedor de identidad debe devolver al usuario después de la autenticación.

  • SP Entity ID: es como su proveedor identificará su entidad. Configure su proveedor de identidad con esta URN.

  • Metadata URL: la dirección para acceder a los metadatos. Consulte la documentación de su proveedor de identidad para encontrar la URL de metadatos e introdúzcala en este campo.

  • Role: seleccione el rol que se aplicará a este acceso.

Si hay roles configurados en el lado de su proveedor de identidad, ellos anularán este.

Esos campos se explican en el siguiente video:

Desactivación o edición de una conexión a través de SAML 2.0

Una vez que se activa, la conexión con el proveedor de identidad puede actualizarse en cualquier momento. Para eso, haga clic en cualquier campo que desee editar, realice las modificaciones oportunas y pulse UPDATE.

Para desactivar una conexión, haga clic en el botón DISCONNECT.

Al hacer clic en el botón DISCONNECT, todos los usuarios de ese inicio de sesión federado tendrán su acceso deshabilitado. Para restablecer la conexión, sigue de nuevo los pasos anteriores (Establecer una conexión a través de SAML2.0).

Hacer clic en DISCONNECT no cambia la configuración con su proveedor de identidad.

Inicio de sesión y control de usuarios

A diferencia del inicio de sesión de la plataforma Sensedia, ahora el inicio de sesión con nombre de usuario y contraseña aún es posible incluso después de configurar SAML 2.0.

Un usuario podrá iniciar sesión en los productos Sensedia a través de SAML o por separado.

Configurar una aplicación del API Manager en su proveedor de identidad

Para habilitar una conexión SAML 2.0, es necesario registrar una aplicación del API Manager en su proveedor de identidad.

Vea a continuación algunos ejemplos de configuración usando:

Consulte la documentación oficial de su proveedor para obtener más ayuda con la configuración necesaria.

Ejemplo de configuración con Okta

La conexión a través de SAML 2.0 se puede realizar con el ISP de su elección. Hay varios proveedores, uno de ellos es Okta. Para configurarlo, siga los pasos que se indican a continuación.

  1. Si aún no tiene una, cree una cuenta en Okta.
    Acceda por el enlace https://developer.okta.com/signup/.

  2. Cree una aplicación de tipo SAML 2.0.
    Para esto, haga clic en Applications  Applications y en el botón Create App Integration, como se muestra en la figura a continuación.
    okta step1a

    Luego, en la pantalla modal que se abrirá, seleccione la opción SAML 2.0 y haga clic en Next

    "ubicación de la opción SAML 2.0

  3. Configure la aplicación, especificando un nombre para el inicio de sesión federado; icono o logotipo (opcional) y opciones de visibilidad.
    Luego haga clic en Next.

  4. En la siguiente pantalla, complete los campos:

    • Single sign on URL: (URL de inicio de sesión único) URL de callback, que se basa en su dirección de API Manager: <MANAGER-URL>/api-manager/api/v3/saml/callback;

    • Audience URI (SP Entity ID): el valor informado en este campo será utilizado en el API Manager como "application ID";

    • Default RelayState: campo no obligatorio;

    • Name ID format: seleccione EmailAddress.

      okta step4

      Más abajo, en Attribute Statements, complete:

    • Name: email Format: Basic Value: user.email

    • Name: name Format: Basic Value: user.firstName

      okta step4a

      Luego haga clic en NEXT para completar el registro.

  5. En la pantalla que aparece* al hacer clic en NEXT, exporte los metadatos haciendo clic en Identity Provider metadata is available if this application supports dynamic configuration, identificados en la siguiente imagen.
    (*Si la pantalla no aparece, regrese al Applications  Applications y haga clic en el nombre de la aplicación que acaba de crear. En la siguiente pantalla, haga clic en la pestaña Sign On. Verá el pantalla abajo)
    okta step5
    La pantalla que se abre a continuación mostrará el contenido, que se puede guardar como metadata.xml.
    Tenga en cuenta la dirección URL - se la utilizará para configurar el API Manager.

  6. Vincule el usuario de Okta a la aplicación creada.
    Para hacerlo, haga clic en la pestaña Assignments y luego haga clic en Assign  Assign to People, como se muestra en la imagen a continuación.
    okta step6

    En la pantalla que se abre, haga clic en Assign, junto a su nombre y correo electrónico, como se muestra en la imagen a continuación.

    okta step6b

    En la siguiente pantalla, haga clic en el botón Save and Go Back.

El usuario debe estar vinculado a la aplicación creada para que pueda iniciar sesión.

Después de configurar Okta, ingresa a su API Manager.

Regrese a la parte superior de esta página para obtener más detalles sobre configurar una integración en API Manager. En resumen, en el Access Control  Integrations, complete los campos:

  • Name: nombre que registró en el paso 3;

  • SP Entity ID: nombre ingresado como Audience URI en el paso 4;

  • Metadata URL: ponga la URL que obtuviste en el paso 5;

    Haga clic en CONNECT


Ejemplo de configuración utilizando Azure AD

Para configurar Azure AD como proveedor de identidad, siga estos pasos:

1. Cree un Cliente

  • Acceda a su cuenta en Microsoft Azure y haga clic en Microsoft Entra ID.
    azure step1 entra id

  • Haga clic en Aplicaciones Empresariales.
    azure step2 apps

  • Si ya tiene una aplicación creada para el API Manager, vaya al paso 2 - Configure el SAML.
    De lo contrario, haga clic en + Nueva aplicación. azure step3 create app

  • Haga clic en Crear su propia aplicación.
    azure step4 create own app

  • Proporcione:

    • El nombre que desea asignar a su aplicación y

    • El propósito de uso de su aplicación: seleccione "Integrar cualquier otra aplicación que no encuentre en la galería".
      azure step5 create own app

  • Haga clic en Crear.

  • Verá las propiedades de su aplicación, incluyendo su ID y el ID del objeto.
    azure step6 app properties

2. Configure el SAML

  • Después de crear la aplicación, aún en la pantalla de Visión general, haga clic en Configurar inicio de sesión único.
    azure step7 configure sso

  • Haga clic en SAML.
    azure step8 configure saml

  • Si está configurando por primera vez, la pantalla Configurar el inicio de sesión único con SAML aparecerá como en la imagen a continuación.
    Haga clic en Editar en la sección "Configuración básica de SAML".
    azure step9 edit saml

  • Complete los campos:

    • Identificador (ID de la Entidad): Proporcione el SP Entity ID.

    • URL de Respuesta (URL del Servicio del Consumidor de Declaraciones): Proporcione el Callback URL.
      azure saml identificator url

      • El Identificador y la URL de Respuesta pueden obtenerse en:

        • Access Control Settings > Federated Login
          ac federated login

        • Haga clic en SAML2 y en el botón [CONFIGURAR INICIO DE SESIÓN FEDERADO] (el botón se habilitará cuando haga clic en SAML2)
          ac saml2
          ac saml2 identifier url

  • Haga clic en GUARDAR para guardar las configuraciones.
    azure step10 save saml

  • Haga clic en Editar en la sección "Atributos y Declaraciones". azure step11 edit attributes

  • Al lado de user.givenname y user.surname, haga clic en …​ y luego en Eliminar para removerlos, y después haga clic en OK para confirmar.
    azure step12 remove attributes

  • Después de eliminar user.givenname y user.surname, solo deben permanecer los campos email, name y Identificador Exclusivo del Usuario.

  • El Namespace de los campos que se mantendrán vendrá completado. Limpie este campo.
    Por ejemplo, el Namespace del campo email aparece así:
    azure example email namespace
    y debe quedar así:
    azure example email namespace clean
    Elimine el contenido del campo Namespace para los tres: email, name y Identificador Exclusivo del Usuario.

3. Anote la Metadata URL

  • En la sección "Certificados SAML", copie el contenido del campo URL de metadatos de federación de aplicativos.
    azure step13 metadata url

  • Configure su Sensedia Platform siguiendo los pasos a continuación. Si es necesario, regrese al inicio de esta página para más detalles sobre la configuración de una integración en el API Manager.

    • Ingrese a Access Control Settings > Federated Login
      ac federated login

    • Haga clic en SAML2 y en el botón [CONFIGURE FEDERATED LOGIN] (el botón se habilitará cuando haga clic en SAML2)
      ac saml2

      • Name: indique el mismo nombre utilizado en crear un client;

      • Metadata URL: introduzca la URL que acabamos de copiar desde "Certificados SAML";

      • Role: rol predeterminado que se asignará a los usuarios cuando inicien sesión a través de la integración.
        azure step14 metadata role

  • Haga clic en CREATE

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]