Preámbulo
La interconexión de la aplicación LockSelf con una federación de identidades se realiza mediante el protocolo SAMLv2. Por lo tanto, es posible interconectarla con tu cuenta de empresa de ADFS.
Antes de establecer esta interconexión, deberás verificar que el IdP puede negociar solicitudes HTTPS en TLS 1.2 como mínimo para configurar el conector de forma automática. Las versiones inferiores a TLS 1.2 o las versiones SSL están desactivadas en el servidor web de LockSelf por motivos de seguridad.
Si la configuración de tu IdP no lo permite, deberás realizar una configuración manual.
Ten en cuenta que, según las versiones de Windows Server utilizadas, las capturas de pantalla y las opciones propuestas podrían variar ligeramente.
Etapa 1: Subir a LockSelf los metadatos del IdP
Esta primera etapa consiste en recuperar el archivo de metadatos procedente de tu IdP.
Generalmente, el archivo de metadatos (formato XML) puede recuperarse mediante la siguiente URL: https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml
(donde FQDN reemplaza el nombre de dominio de tu IdP)
Recupera esta URL e introdúcela en la aplicación LockSelf. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).
Etapa 2: Recuperar los metadatos de la aplicación
Una vez subido a LockSelf tu archivo de metadatos procedente de tu IdP, podrás recuperar los metadatos de la aplicación que te servirán para crear el conector en la siguiente URL:
(donde FQDN reemplaza el nombre de dominio de tu instalación de LockSelf)
Etapa 3: Crear el conector en el IdP
Para realizar las operaciones, deberás conectarte a tu servidor Windows y dirigirte al módulo ADFS.
- Etapa 1: Una vez en el módulo, haz clic en "Add Relying Party Trust"
- Etapa 2: Luego haz clic en "Start" para iniciar la configuración
Como se indica en el preámbulo, dispones de dos posibilidades para la configuración del conector.
Si tu ADFS permite conexiones en TLS 1.2 como mínimo, tendrás la posibilidad de elegir la primera opción, que permite cargar la configuración desde una URL. En ese caso, selecciona la primera casilla e introduce la URL de metadatos de la aplicación LockSelf:
Si obtienes un error en esta etapa, tienes dos soluciones:
- O bien activar el soporte de TLS 1.2 en el módulo ADFS: https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs#enable-and-disable-tls-12 ;
- O bien utilizar la segunda opción "Import data about the relying party from a file".
Para ello, deberás recuperar el archivo XML de la aplicación (disponible accediendo directamente a la URL de la etapa 2) y colocar este archivo en el servidor ADFS. Una vez hecho, podrás hacer clic en "Browse" y buscar tu archivo.
Una vez hecho esto, haz clic en "Next".
- Etapa 3: Elige un nombre para el conector. Este nombre es indicativo, puedes elegir el que desees. También puedes añadir una nota relativa al conector.
- Etapa 4: Elige tus políticas de conexión. Te recomendamos no configurar MFA en esta etapa, para poder realizar las primeras pruebas sin restricción. Una vez realizadas y validadas las pruebas, podrás volver a este conector y cambiar este punto de configuración.
- Etapa 5: Ahora elige la política de acceso a este conector por usuario. Para las pruebas de conexión, te recomendamos permitir que todos los usuarios puedan conectarse. Podrás aplicar una restricción más adelante, una vez verificada y validada la instalación.
-
Etapa 6: Una vez que hayas hecho clic en "Next", verificarás varias pestañas del resumen final.
- En la pestaña Identifiers, verifica que la URL de los metadatos de la aplicación esté presente:
-
- En las pestañas Encryption y Signature, verifica que el certificado corresponde al certificado de tu instalación de LockSelf.
- En la pestaña Endpoints, verifica que tienes las dos URL como en la captura de pantalla siguiente:
- En las pestañas Encryption y Signature, verifica que el certificado corresponde al certificado de tu instalación de LockSelf.
-
- Una vez terminado, haz clic en "Next" y luego en "Close". Aparece entonces una nueva ventana para la creación de las reglas de claims.
Etapa 4: Crear la primera claim
La primera claim permitirá enviar a LockSelf varias informaciones relativas al usuario. En particular su nombre, su apellido y su correo electrónico para poder autenticarlo en la aplicación LockSelf.
- Etapa 1: Haz clic en "Add Rule"
- Etapa 2: Selecciona en la lista "Send LDAP Attributes as Claims" y luego haz clic en "Next"
-
Etapa 3:
- Escribe en el primer campo un nombre de claim. Este nombre es a título indicativo.
- En el menú select "Start", selecciona "Active Directory". Luego mapea los atributos como en la captura de pantalla siguiente:
Los elementos de la primera columna deben seleccionarse de la lista. Ten en cuenta que, si tu directorio está en francés, Surname aparece como Nom.
Los elementos de la segunda columna deben escribirse con el teclado. Son los nombres de atributos que debe recuperar LockSelf. Ten cuidado de respetarlos.
Etapa 5: Crear la segunda claim
La segunda claim permitirá enviar el name id del usuario a la aplicación LockSelf.
- Etapa 1: Haz clic de nuevo en "Add Rule" y elige en el menú desplegable "Transform an Incoming Claim".
-
Etapa 2: El nombre del atributo es, una vez más, a título indicativo.
- En el primer menú desplegable Incoming Claim Type, elige "UPN"
- En el segundo menú desplegable Outgoing Claim Type, elige "Name ID" (ten en cuenta que, para los ADFS en francés, el campo es ID de nom)
- Por último, en el último menú desplegable Outgoing name ID format, elige "Email".
Haz clic en "Finish".
Etapa 6: Verificar la conexión
Una vez realizadas estas etapas, podrás probar el conector:
-
Etapa 1: Para poder probar correctamente, abre una ventana de navegación privada y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar la caché".
-
Etapa 2: En la pestaña SSO, introduce tu correo electrónico en el campo mostrado o haz clic directamente en el botón "Conectarme".
- Si no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la parte superior derecha y verifica que en el campo URL API esté efectivamente escrito /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc.
- Si no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la parte superior derecha y verifica que en el campo URL API esté efectivamente escrito /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc.
-
Etapa 3: En esta etapa serás redirigido al portal SSO de ADFS de tu organización, donde podrás autenticarte.
- Etapa 4: Una vez autenticado, serás redirigido a LockSelf, que te pedirá crear el código PIN asociado a tu cuenta.
Consulta esta documentación si lo necesitas: La conexión SSO (Single Sign-On).
Etapa 7: Actualizar el conector
Dos casos requieren una actualización del conector.
-
Caso 1: A veces es necesario actualizar los certificados de firma/cifrado de tokens en el conector ADFS. En ese caso, deberás actualizar el nuevo archivo de metadatos del IdP, en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).
-
Caso 2: Cuando se realiza una actualización de los certificados SSL en tu instalación de LockSelf, deberás actualizar el conector en el módulo ADFS.
- Si creaste el conector mediante la URL: puedes hacer clic derecho en el conector y hacer clic en "Update from Federation Metadata":
- Si creaste el conector mediante el archivo de metadatos de la aplicación, deberás realizar la actualización mediante PowerShell. Para ello:
- Abre una sesión de PowerShell como administrador
-
Ejecuta el comando
Update-AdfsRelyingPartyTrust -TargetName "[CONNECTOR_NAME]" -Metadatafile [FederationMetadata.xml]- Donde [CONNECTOR_NAME] es igual al nombre del conector y [FederationMetadata.xml] es igual a la ruta del archivo de metadatos de la aplicación.
- Antes de ejecutar este comando, te recomendamos leer la documentación oficial de Microsoft al respecto: https://docs.microsoft.com/en-us/powershell/module/adfs/update-adfsrelyingpartytrust?view=windowsserver2022-ps
- Donde [CONNECTOR_NAME] es igual al nombre del conector y [FederationMetadata.xml] es igual a la ruta del archivo de metadatos de la aplicación.
- Si creaste el conector mediante la URL: puedes hacer clic derecho en el conector y hacer clic en "Update from Federation Metadata":
Actualización