Preámbulo
La interconexión de la aplicación LockSelf con una federación de identidad se realiza mediante el protocolo SAMLv2. Por lo tanto, es posible conectar la aplicación con tu IDP Shibboleth.
Atención: según la instalación realizada y la versión de Shibboleth utilizada, los elementos presentados pueden variar ligeramente.
Paso 1: Subir los metadatos del IDP a LockSelf
Este primer paso consiste en recuperar el archivo de metadatos de tu IDP.
Obtén la URL o el archivo de metadatos e introdúcelos en la aplicación LockSelf. Para ello, consulta esta documentación: Configuración de la interconexión SSO (solo nube privada).
Paso 2: Recuperar los metadatos de la aplicación
Una vez subido el archivo de metadatos de tu IDP a LockSelf, podrás recuperar los metadatos de la aplicación que necesitarás para crear el conector en la siguiente URL:
(donde FQDN reemplaza el nombre de dominio de tu instalación LockSelf)
Paso 3: Adaptar el archivo metadata-providers.xml
Este tercer paso permite añadir LockSelf a tu lista de proveedores de servicios.
Tendrás que añadir el siguiente elemento a este archivo:
<MetadataProvider id="LockSelf"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/lockself-metadata.xml"
disregardTLSCertificate="true"
metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>- «BackingFile» debe corresponder a la ruta donde se pueden recuperar los metadatos de la aplicación LockSelf (recuperados en el Paso 2).
- «MetadataURL» debe corresponder a la URL de acceso a los metadatos de LockSelf. FQDN debe reemplazarse por el nombre de dominio elegido para tu instalación.
Paso 4: Preparar los atributos
Ahora debes preparar los atributos que el IDP enviará a la aplicación. Como recordatorio, los tres atributos a enviar son:
- firstname (que contiene el nombre del usuario)
- lastname (que contiene el apellido del usuario)
- mail (que contiene el correo electrónico del usuario)
En el archivo attribute-filter.xml, tendrás que crear estos atributos si aún no están definidos. Por ejemplo:
<AttributeFilterPolicy>
<AttributeRule attributeID="firstname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="lastname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>Paso 5: Vinculación de atributos
Una vez que los atributos estén creados y disponibles, tendrás que crear las reglas que vincularán los atributos del usuario con el nombre esperado por la aplicación LockSelf.
Para ello, tendrás que modificar el archivo attribute-resolver-ldap.xml basándote en el ejemplo siguiente:
<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>- «sourceAttributeID» corresponde a los valores de tu IDP. Este valor debe adaptarse según la configuración de ese IDP.
Paso 6: Verificar la conexión
Una vez realizados estos pasos, podrás probar el conector:
-
Paso 1: Para realizar una prueba correctamente, abre una ventana de navegación privada y ve a la URL de tu infraestructura (https://FQDN/?sso). Si usas la extensión del navegador, haz clic en el icono de engranaje y luego en «Vaciar caché».
-
Paso 2: En la pestaña SSO, introduce tu correo electrónico en el campo mostrado o haz clic directamente en el botón «Iniciar sesión».
- Si no funciona, en la página de inicio de sesión haz clic en los iconos de engranaje en la parte superior derecha y verifica que en el campo URL de API haya /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc...
- Si no funciona, en la página de inicio de sesión haz clic en los iconos de engranaje en la parte superior derecha y verifica que en el campo URL de API haya /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc...
-
Paso 3: Serás redirigido al portal SSO de Shibboleth de tu organización, donde podrás autenticarte.
- Paso 4: Una vez autenticado, serás redirigido a LockSelf, que te pedirá crear el código PIN asociado a tu cuenta.
Consulta esta documentación si es necesario: La conexión SSO (Single Sign-On).
Paso 7: Actualizar el conector
A veces es necesario actualizar los certificados de firma o cifrado de tokens en el conector Shibboleth.
En ese caso, tendrás que actualizar el nuevo archivo de metadatos del IDP en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación: Configuración de la interconexión SSO.
Actualización