Interconexión Shibboleth

Preámbulo

La interconexión de la aplicación LockSelf con una federación de identidades se realiza mediante el protocolo SAMLv2. Por lo tanto, es posible interconectar la aplicación con tu IdP Shibboleth.

Ten en cuenta que, según la instalación realizada y la versión de Shibboleth utilizada, los elementos propuestos podrían variar ligeramente.

Etapa 1: Subir a LockSelf los metadatos del IdP

Esta primera etapa consiste en recuperar el archivo de metadatos procedente de tu IdP.

Recupera la URL o el archivo de metadatos e introdúcelo en la aplicación LockSelf. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).

Etapa 2: Recuperar los metadatos de la aplicación

Una vez subido a LockSelf tu archivo de metadatos procedente de tu IdP, podrás recuperar los metadatos de la aplicación que te servirán para crear el conector en la siguiente URL:

https://FQDN/saml2/metadata

(donde FQDN reemplaza el nombre de dominio de tu instalación de LockSelf)

Etapa 3: Adaptar el archivo metadata-providers.xml

Esta tercera etapa permitirá añadir LockSelf a tu lista de service provider.

Por lo tanto, deberás añadir en este archivo el siguiente elemento:

<MetadataProvider id="LockSelf"
  xsi:type="FileBackedHTTPMetadataProvider"
  backingFile="%{idp.home}/metadata/lockself-metadata.xml"
  disregardTLSCertificate="true"
  metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>
  • "BackingFile" debe corresponder a la ruta donde pueden recuperarse los metadatos de la aplicación LockSelf (recuperados en la etapa 2)
  • "MetadataURL" debe corresponder a la URL de acceso a los metadatos de LockSelf. FQDN debe reemplazarse por el nombre de dominio elegido para tu instalación

Etapa 4: Preparar los atributos

Ahora debes preparar los atributos que el IdP enviará a la aplicación. Como recordatorio, los tres atributos a enviar son:

  • firstname (que contiene el nombre del usuario)
  • lastname (que contiene el apellido del usuario)
  • mail (que contiene el correo electrónico del usuario)

En el archivo attribute-filter.xml, deberás crear estos atributos si no están definidos. Por ejemplo:

<AttributeFilterPolicy>
  <AttributeRule attributeID="firstname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="lastname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="mail">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
</AttributeFilterPolicy>

Etapa 5: Bind de los atributos

Una vez que los atributos estén creados y sean utilizables, deberás crear las reglas que permitan vincular (bind) los atributos de un usuario al nombre esperado por la aplicación LockSelf.

Para ello, deberás modificar el archivo attribute-resolver-ldap.xml y basarte en el ejemplo siguiente:

<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>

<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>

<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
  <resolver:Dependency ref="myLDAP" />
  <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>
  • "sourceAttributeID" corresponde a los valores procedentes de tu IdP. Deberás adaptar este valor según la configuración de ese IdP

Etapa 6: Verificar la conexión

Una vez realizadas estas etapas, podrás probar el conector:

  • Etapa 1: Para poder probar correctamente, abre una ventana de navegación privada y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar la caché".
  • Etapa 2: En la pestaña SSO, introduce tu correo electrónico en el campo mostrado o haz clic directamente en el botón "Conectarme".
  • Etapa 3: En esta etapa serás redirigido al portal SSO de Shibboleth de tu organización, donde podrás autenticarte.
  • Etapa 4: Una vez autenticado, serás redirigido a LockSelf, que te pedirá crear el código PIN asociado a tu cuenta.

Consulta esta documentación si lo necesitas: La conexión SSO (Single Sign-On).

Etapa 7: Actualizar el conector

A veces es necesario actualizar los certificados de firma/cifrado de tokens en el conector Shibboleth.

En ese caso, deberás actualizar el nuevo archivo de metadatos del IdP, en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación: Configuración de la interconexión SSO.

Actualización