Inicio
Inicio

Autenticación

Descubre las opciones para permitir a los usuarios acceder a Workplace.

Información general

Los servicios de federación de Active Directory (ADFS) son un componente de Windows Server que permite a las organizaciones usar el acceso de inicio de sesión único (SSO) con otras apps. En esta guía, detallaremos la configuración requerida para ADFS a fin de integrar correctamente tu SSO con Workplace.

Configuración de ADFS para usar SSO en Workplace

Requisitos previos

  • El sistema de SSO debe usar la versión 2019 o 2016 de Windows Server, los servicios de dominio de Active Directory (ADDS) y los servicios de federación de Active Directory (ADFS), versión 4 o 5.
  • Es necesario que tengas asignado el rol de administrador del sistema en la cuenta de Workplace.
  • El usuario administrador de Workplace debe tener exactamente la misma dirección de correo electrónico que tu usuario correspondiente de Active Directory. Si las direcciones de correo electrónico no coinciden (incluso en el uso de mayúsculas y minúsculas), no podrás completar este procedimiento correctamente.
?
Estas instrucciones también se aplican a la configuración de Windows Server, versión 2012 R2 o 2008 R2 con AD FS v2, pero puede haber algunas diferencias mínimas en el proceso de configuración. Te recomendamos que actualices las versiones más recientes de Window Server.

Recopilación de parámetros necesarios para configurar ADFS

Sigue estos pasos en Workplace para encontrar los parámetros que necesitas para configurar ADFS.

1
Ve al panel para administradores y accede a la sección Seguridad.

2
Ve a la pestaña Autenticación.

3
Marca la casilla Inicio de sesión único (SSO).

4
Toma nota de los valores URL de "Audience" y URL de "Recipient", que necesitarás durante el paso de configuración de ADFS.

Creación de relación de confianza para usuario autenticado en ADFS

Para que ADFS permita la autenticación federada (es decir, el SSO) para un sistema externo, debes configurar una relación de confianza para usuario autenticado. Esta configuración identifica al sistema externo, junto con la tecnología específica que se usa para el SSO. Por medio de este procedimiento, se creará una relación de confianza para usuario autenticado que genera aserciones SAML 2.0 para Workplace.

1
Abre el complemento de administración de ADFS. Haz clic en Veracidades de usuarios de confianza y elige Agregar veracidad del usuario de confianza.

2
Elige el botón de opción Compatible con notificaciones. Haz clic en Iniciar.

3
Selecciona Escribir manualmente los datos sobre el usuario de confianza y haz clic en Siguiente.

4
Configura DisplayName como Workplace. Haz clic en Siguiente.

5
Haz clic en Siguiente para omitir el paso opcional de selección de un certificado de firma de tokens.

6
Haz clic en la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO. Ingresa la URL de "Recipient" de Workplace que anotaste en el cuadro de texto de la URL de servicio SSO de SAML 2.0 del usuario de confianza y haz clic en Siguiente.

7
Ingresa tu URL de "Audience" de Workplace en el cuadro de texto RelyingPartyTrust Identifier, haz clic en Agregar y, luego, en Siguiente.

8
Haz clic en Siguiente para aceptar la política predeterminada Directiva de control de acceso.

9
Revisa la configuración y haz clic en Siguiente para agregar la relación de confianza para usuario autenticado.

10
Deja la casilla seleccionada para abrir el cuadro de diálogo Editar reglas de notificación cuando se cierre el asistente y haz clic en Cerrar.

Creación de reglas de notificación

Después de autenticar a un usuario, las reglas de notificación de ADFS especifican los atributos de datos (y el formato de esos atributos) que se enviarán a Workplace en la respuesta SAML. Como Workplace requiere un elemento de identificador de nombre que contenga la dirección de correo electrónico del usuario, este ejemplo muestra una configuración con dos reglas:

  • La primera regla obtiene el nombre principal de usuario del usuario de Active Directory (es decir, el nombre de la cuenta de Windows del usuario).
  • La segunda regla transforma el nombre principal del usuario en un identificador de nombre con formato de correo electrónico.

Preparación para crear reglas de notificación

Configura ADFS para crear las dos reglas de notificación y configurar el SSO para Workplace.

1
La ventana Editar reglas de notificación para Workplace se abrirá automáticamente. Si no se abre, puedes editar las reglas de notificación desde el complemento de administración de ADFS. Para ello, selecciona la relación de confianza para usuario autenticado y, en la ventana de la derecha, selecciona Editar reglas de notificación.

2
En la pestaña Reglas de transformación de emisión, haz clic en Agregar regla… para empezar una regla nueva.

Creación de la primera regla

Crea la primera regla para recuperar el campo de dirección de correo electrónico de Active Directory cuando el usuario esté autenticado.

1
En la plantilla de reglas de notificación, selecciona Enviar atributos LDAP como notificaciones y haz clic en Siguiente para continuar.

2
Establece el nombre de la regla de notificación en Obtener atributos LDAP. Establece el almacén de atributos en Active Directory. En la primera fila, establece el campo Atributo LDAP en Direcciones de correo electrónico y Tipo de notificación saliente en Direcciones de correo electrónico.

3
Haz clic en Finalizar para agregar la regla.

Creación de la segunda regla

Crea la segunda regla para asignar el campo de correo electrónico a la aserción Name Id en la respuesta SAML.

1
Haz clic en Crear regla… para empezar una segunda regla nueva.

2
En Plantilla de regla de notificación, selecciona Transformar una notificación entrante y haz clic en Siguiente para continuar.

3
En Nombre de regla de notificación, ingresa Transformar dirección de correo electrónico. En Tipo de notificación entrante, selecciona Dirección de correo electrónico. En Tipo de notificación saliente, selecciona Id. de nombre. En Formato de id. de nombre saliente, selecciona Correo electrónico. Por último, acepta la selección del botón de opción predeterminado Pasar a través todos los valores de notificaciones y haz clic en Finalizar para agregar la regla.

4
Haz clic en Aplicar para implementar las reglas de notificación.

Recopilación de parámetros de ADFS necesarios para configurar Workplace

Para completar la configuración, necesitamos recuperar algunos parámetros que se tienen que configurar en Workplace.

?
Para finalizar esta configuración y lograr que ADFS genere una aserción SAML válida, debes poder autenticarte en ADFS como usuario con la misma dirección de correo electrónico que el administrador de Workplace (distingue entre mayúsculas y minúsculas).
1
Abre el complemento de administración de ADFS.

2
Ve a ADFS > Servicio > Puntos de conexión.

3
Confirma la URL de los metadatos de ADFS en el encabezado "Metadatos".

4
Desde un navegador web, abre el archivo de metadatos de ADFS. Esta ubicación será algo así: https://:​{your-fully-qualified-:​active-directory-domain}:​/FederationMetadata/:​2007-06/:​FederationMetadata.xml.

5
Toma nota de la URL del emisor de SAML, que se encuentra en el atributo entityID del elemento EntityDescriptor.

6
También tendrás que tomar nota de tu URL de SAML, que se encuentra en el atributo Location del elemento AssertionConsumerService que tiene Binding type configurado como urn::​oasis::​names::​tc::​SAML:2.0::​bindings::​HTTP-POST.

Conversión del certificado a formato X.509

Una vez que hayas revisado la configuración del proveedor de identidad:

1
Desde la consola de administración de AD FS, elige ADFS > Servicio > Certificados. Haz clic derecho en el certificado de firma de tokens y haz clic en Ver certificado…

2
Elige la pestaña Detalles y haz clic en el botón Copiar a archivo…

3
Haz clic en Siguiente para iniciar el asistente. Elige X.509 codificado base 64 (.CER).

4
Elige una ubicación en el sistema de archivos para guardar el archivo del certificado exportado.

5
Haz clic en Finalizar para completar la exportación.

Finalización de la configuración de SSO de Workplace

Necesitarás tu URL de SAML, la URL del emisor de SAML y el archivo del certificado exportado para completar la configuración del SSO de Workplace. Sigue los pasos que se proporcionan en Inicio de sesión único (SSO).