Interconexión ADFS

La interconexión de la aplicación LockSelf con una federación de identidad se realiza mediante el protocolo SAMLv2. Por lo tanto, es posible conectarla con tu cuenta de empresa ADFS.

Antes de establecer esta conexión, tendrás que verificar que el IDP puede negociar solicitudes HTTPS en TLS 1.2 como mínimo para configurar el conector de forma automática. Las versiones inferiores a TLS 1.2 o las versiones SSL están desactivadas en el servidor web LockSelf por razones de seguridad.

Si la configuración de tu IDP no lo permite, habrá que establecer una configuración manual.

Atención: según las versiones de Windows Server utilizadas, las capturas de pantalla y las opciones disponibles pueden variar ligeramente.

Paso 1: Subir los metadatos del IDP a LockSelf

Este primer paso consiste en recuperar el archivo de metadatos de tu IDP.

Generalmente, el archivo de metadatos (formato XML) se puede obtener mediante la siguiente URL: https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml

(donde FQDN reemplaza el nombre de dominio de tu IDP)

Obtén esta URL e introdúcela en la aplicación LockSelf. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).

Paso 2: Recuperar los metadatos de la aplicación

Una vez subido el archivo de metadatos de tu IDP a LockSelf, podrás recuperar los metadatos de la aplicación que necesitarás para crear el conector en la siguiente URL:

https://FQDN/saml2/metadata

(donde FQDN reemplaza el nombre de dominio de tu instalación LockSelf)

Paso 3: Crear el conector en el IDP

Para realizar estas operaciones, tendrás que conectarte a tu servidor Windows y acceder al módulo ADFS.

• Paso 1: Una vez en el módulo, haz clic en «Add Relying Party Trust».

• Paso 2: A continuación, haz clic en «Start» para comenzar la configuración.

Como se indica en el preámbulo, tienes dos posibilidades para configurar el conector.

Si tu ADFS admite conexiones en TLS 1.2 como mínimo, podrás elegir la primera opción, que permite cargar la configuración desde una URL. En ese caso, selecciona la primera casilla e introduce la URL de metadatos de la aplicación LockSelf:

Si encuentras un error en este paso, tienes dos soluciones:

• Activar la compatibilidad con TLS 1.2 en el módulo ADFS: https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs#enable-and-disable-tls-12;
• O usar la segunda opción «Import data about the relying party from a file».

Para ello, tendrás que recuperar el archivo XML de la aplicación (disponible accediendo directamente a la URL del Paso 2) y colocarlo en el servidor ADFS. Una vez hecho esto, podrás hacer clic en «Browse» y buscar tu archivo.

Una vez completado, haz clic en «Next».

• Paso 3: Elige un nombre para el conector. Este nombre es indicativo; puedes elegir el que desees. También puedes añadir una nota sobre el conector.

• Paso 4: Elige tus políticas de conexión. Recomendamos no configurar MFA en este paso para poder realizar las primeras pruebas sin restricciones. Una vez realizadas y validadas las pruebas, podrás volver a este conector y cambiar este punto de configuración.

• Paso 5: Ahora elige la política de acceso a este conector por usuario. Para las pruebas de conexión, recomendamos permitir que todos los usuarios puedan conectarse. Podrás aplicar restricciones más adelante, una vez verificada y validada la instalación.

• Paso 6: Una vez que hayas hecho clic en «Next», verificarás varias pestañas del resumen final.
  • En la pestaña Identifiers, verifica que la URL de metadatos de la aplicación está presente:

•  
  • En las pestañas Encryption y Signature, verifica que el certificado corresponde al certificado de tu instalación LockSelf.
     
  • En la pestaña Endpoints, verifica que tienes las dos URLs como en la captura de pantalla siguiente:

•  
  • Una vez terminado, haz clic en «Next» y luego en «Close». Aparecerá una nueva ventana para la creación de las reglas de claims.

Paso 4: Crear la primera claim

La primera claim permitirá enviar a LockSelf varios datos del usuario, concretamente su apellido, nombre y correo electrónico para autenticarlo en la aplicación LockSelf.

• Paso 1: Haz clic en «Add Rule».

• Paso 2: Selecciona «Send LDAP Attributes as Claims» en la lista y haz clic en «Next».

• Paso 3:
  • Escribe un nombre de claim en el primer campo. Este nombre es solo indicativo.
  • En el menú desplegable «Start», selecciona «Active Directory». Luego mapea los atributos como en la captura de pantalla siguiente:

Los elementos de la primera columna se seleccionan en la lista. Atención: si tu directorio está en francés, Surname aparece como Nom.

Los elementos de la segunda columna se escriben manualmente. Son los nombres de atributos que LockSelf debe recibir. Respétalos exactamente.

Paso 5: Crear la segunda claim

La segunda claim permitirá enviar el name ID del usuario a la aplicación LockSelf.

• Paso 1: Haz clic de nuevo en «Add Rule» y elige «Transform an Incoming Claim» en el menú desplegable.

• Paso 2: El nombre del atributo es de nuevo solo indicativo.
  • En el primer menú desplegable Incoming Claim Type, elige «UPN».
  • En el segundo menú desplegable Outgoing Claim Type, elige «Name ID» (nota: en instancias ADFS en francés, el campo es ID de nom).
  • Por último, en el último menú desplegable Outgoing name ID format, elige «Email».

Haz clic en «Finish».

Paso 6: Verificar la conexión

Una vez realizados estos pasos, podrás probar el conector:

• Paso 1: Para realizar una prueba correctamente, abre una ventana de navegación privada y ve a la URL de tu infraestructura (https://FQDN/?sso). Si usas la extensión del navegador, haz clic en el icono de engranaje y luego en «Vaciar caché».
   
• Paso 2: En la pestaña SSO, introduce tu correo electrónico en el campo mostrado o haz clic directamente en el botón «Iniciar sesión».
  • Si no funciona, en la página de inicio de sesión haz clic en los iconos de engranaje en la parte superior derecha y verifica que en el campo URL de API haya /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc...
     
• Paso 3: Serás redirigido al portal SSO de ADFS de tu organización, donde podrás autenticarte.
   
• Paso 4: Una vez autenticado, serás redirigido a LockSelf, que te pedirá crear el código PIN asociado a tu cuenta.

Consulta esta documentación si es necesario: La conexión SSO (Single Sign-On).

Paso 7: Actualizar el conector

Hay dos casos que requieren actualizar el conector.

• Caso 1: A veces es necesario actualizar los certificados de firma o cifrado de tokens en el conector ADFS. En ese caso, tendrás que actualizar el nuevo archivo de metadatos del IDP en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).
   
• Caso 2: Cuando se realiza una actualización de los certificados SSL en tu instalación LockSelf, tendrás que actualizar el conector en el módulo ADFS.
  • Si creaste el conector mediante la URL: puedes hacer clic derecho en el conector y seleccionar «Update from Federation Metadata»:
    
  • Si creaste el conector mediante el archivo de metadatos de la aplicación, tendrás que actualizar mediante PowerShell. Para ello:
    • Abre una sesión de PowerShell como administrador.

    • Ejecuta el comando:

      Update-AdfsRelyingPartyTrust -TargetName "[CONNECTOR_NAME]" -Metadatafile [FederationMetadata.xml]

      • Donde [CONNECTOR_NAME] es el nombre del conector y [FederationMetadata.xml] es la ruta del archivo de metadatos de la aplicación.
        • Antes de ejecutar este comando, te recomendamos leer la documentación oficial de Microsoft al respecto: https://docs.microsoft.com/en-us/powershell/module/adfs/update-adfsrelyingpartytrust?view=windowsserver2022-ps