Información general
Los servicios de federación de Active Directory (ADFS) son un componente de Windows Server que permite a las organizaciones usar el acceso de inicio de sesión único (SSO) con otras apps. En esta guía, detallaremos la configuración requerida para ADFS a fin de integrar correctamente tu SSO con Workplace.
Configuración de ADFS para usar SSO en Workplace
- El sistema de SSO debe usar la versión 2019 o 2016 de Windows Server, los servicios de dominio de Active Directory (ADDS) y los servicios de federación de Active Directory (ADFS), versión 4 o 5.
- Es necesario que tengas asignado el rol de administrador del sistema en la cuenta de Workplace.
- El usuario administrador de Workplace debe tener exactamente la misma dirección de correo electrónico que tu usuario correspondiente de Active Directory. Si las direcciones de correo electrónico no coinciden (incluso en el uso de mayúsculas y minúsculas), no podrás completar este procedimiento correctamente.
Estas instrucciones también se aplican a la configuración de Windows Server, versión 2012 R2 o 2008 R2 con AD FS v2, pero puede haber algunas diferencias mínimas en el proceso de configuración. Te recomendamos que actualices las versiones más recientes de Window Server.
Sigue estos pasos en Workplace para encontrar los parámetros que necesitas para configurar ADFS.
Ve al panel para administradores y accede a la sección Seguridad.
Ve a la pestaña Autenticación.
Marca la casilla Inicio de sesión único (SSO).
Toma nota de los valores URL de "Audience" y URL de "Recipient", que necesitarás durante el paso de configuración de ADFS.
Para que ADFS permita la autenticación federada (es decir, el SSO) para un sistema externo, debes configurar una relación de confianza para usuario autenticado. Esta configuración identifica al sistema externo, junto con la tecnología específica que se usa para el SSO. Por medio de este procedimiento, se creará una relación de confianza para usuario autenticado que genera aserciones SAML 2.0 para Workplace.
Abre el complemento de administración de ADFS. Haz clic en
Veracidades de usuarios de confianza y elige
Agregar veracidad del usuario de confianza.
Elige el botón de opción
Compatible con notificaciones. Haz clic en
Iniciar.
Selecciona
Escribir manualmente los datos sobre el usuario de confianza y haz clic en
Siguiente.
Configura DisplayName como Workplace. Haz clic en
Siguiente.
Haz clic en
Siguiente para omitir el paso opcional de selección de un certificado de firma de tokens.
Haz clic en la casilla
Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO. Ingresa la
URL de "Recipient" de Workplace que anotaste en el cuadro de texto de la URL de servicio SSO de SAML 2.0 del usuario de confianza y haz clic en
Siguiente.
Ingresa tu
URL de "Audience" de Workplace en el cuadro de texto
RelyingPartyTrust Identifier, haz clic en
Agregar y, luego, en
Siguiente.
Haz clic en
Siguiente para aceptar la política predeterminada
Directiva de control de acceso.
Revisa la configuración y haz clic en
Siguiente para agregar la relación de confianza para usuario autenticado.
Deja la casilla seleccionada para abrir el cuadro de diálogo
Editar reglas de notificación cuando se cierre el asistente y haz clic en
Cerrar.
Después de autenticar a un usuario, las reglas de notificación de ADFS especifican los atributos de datos (y el formato de esos atributos) que se enviarán a Workplace en la respuesta SAML. Como Workplace requiere un elemento de identificador de nombre que contenga la dirección de correo electrónico del usuario, este ejemplo muestra una configuración con dos reglas:
- La primera regla obtiene el nombre principal de usuario del usuario de Active Directory (es decir, el nombre de la cuenta de Windows del usuario).
- La segunda regla transforma el nombre principal del usuario en un identificador de nombre con formato de correo electrónico.
Configura ADFS para crear las dos reglas de notificación y configurar el SSO para Workplace.
La ventana Editar reglas de notificación para Workplace se abrirá automáticamente. Si no se abre, puedes editar las reglas de notificación desde el complemento de administración de ADFS. Para ello, selecciona la relación de confianza para usuario autenticado y, en la ventana de la derecha, selecciona Editar reglas de notificación.
En la pestaña
Reglas de transformación de emisión, haz clic en
Agregar regla… para empezar una regla nueva.
Crea la primera regla para recuperar el campo de dirección de correo electrónico de Active Directory cuando el usuario esté autenticado.
En la plantilla de reglas de notificación, selecciona
Enviar atributos LDAP como notificaciones y haz clic en
Siguiente para continuar.
Establece el nombre de la regla de notificación en
Obtener atributos LDAP. Establece el almacén de atributos en
Active Directory. En la primera fila, establece el campo
Atributo LDAP en
Direcciones de correo electrónico y
Tipo de notificación saliente en
Direcciones de correo electrónico.
Haz clic en Finalizar para agregar la regla.
Crea la segunda regla para asignar el campo de correo electrónico a la aserción Name Id en la respuesta SAML.
Haz clic en Crear regla… para empezar una segunda regla nueva.
En
Plantilla de regla de notificación, selecciona
Transformar una notificación entrante y haz clic en
Siguiente para continuar.
En
Nombre de regla de notificación, ingresa
Transformar dirección de correo electrónico. En
Tipo de notificación entrante, selecciona
Dirección de correo electrónico. En
Tipo de notificación saliente, selecciona
Id. de nombre. En
Formato de id. de nombre saliente, selecciona
Correo electrónico. Por último, acepta la selección del botón de opción predeterminado
Pasar a través todos los valores de notificaciones y haz clic en
Finalizar para agregar la regla.
Haz clic en
Aplicar para implementar las reglas de notificación.
Para completar la configuración, necesitamos recuperar algunos parámetros que se tienen que configurar en Workplace.
Para finalizar esta configuración y lograr que ADFS genere una aserción SAML válida, debes poder autenticarte en ADFS como usuario con la misma dirección de correo electrónico que el administrador de Workplace (distingue entre mayúsculas y minúsculas).
Abre el complemento de administración de ADFS.
Ve a ADFS > Servicio > Puntos de conexión.
Confirma la URL de los metadatos de ADFS en el encabezado "Metadatos".
Desde un navegador web, abre el archivo de metadatos de ADFS. Esta ubicación será algo así: https://:{your-fully-qualified-:active-directory-domain}:/FederationMetadata/:2007-06/:FederationMetadata.xml.
Toma nota de la URL del emisor de SAML, que se encuentra en el atributo entityID del elemento EntityDescriptor.
También tendrás que tomar nota de tu URL de SAML, que se encuentra en el atributo Location del elemento AssertionConsumerService que tiene Binding type configurado como urn::oasis::names::tc::SAML:2.0::bindings::HTTP-POST.
Una vez que hayas revisado la configuración del proveedor de identidad:
Desde la consola de administración de AD FS, elige
ADFS > Servicio > Certificados. Haz clic derecho en el certificado de firma de tokens y haz clic en
Ver certificado…
Elige la pestaña
Detalles y haz clic en el botón
Copiar a archivo…
Haz clic en
Siguiente para iniciar el asistente. Elige
X.509 codificado base 64 (.CER).
Elige una ubicación en el sistema de archivos para guardar el archivo del certificado exportado.
Haz clic en Finalizar para completar la exportación.
Necesitarás tu URL de SAML, la URL del emisor de SAML y el archivo del certificado exportado para completar la configuración del SSO de Workplace. Sigue los pasos que se proporcionan en Inicio de sesión único (SSO).
