Preamble
La interconexión de la aplicación LockSelf con una federación de identidades se realiza a través del protocolo SAMLv2. Por lo tanto, es posible interconectar la aplicación con su cuenta corporativa ADFS.
Antes de establecer esta interconexión, deberá comprobar que el IDP puede negociar peticiones HTTPS en TLS 1.2 como mínimo para configurar el conector automáticamente. Las versiones inferiores a TLS 1.2 o las versiones SSL están deshabilitadas en el servidor web de LockSelf por razones de seguridad.
Si la configuración de su IDP no lo permite, tendrá que establecer una configuración manual.
Si la configuración de su IDP no lo permite, tendrá que establecer una configuración manual.
Cuidado, dependiendo de las versiones de Windows Server utilizadas, las capturas de pantalla y las opciones ofrecidas podrían variar ligeramente.
Paso 1: Depositar los metadatos IDP en LockSelf
Este primer paso consiste en recuperar el archivo de metadatos de su IDP.
LockSelf.
Generalmente, el archivo de metadatos (formato XML) puede recuperarse a través de la siguiente URL: https://FQDN/FederationMetadata/2007-06/FederationMetadata.xml
(donde FQDN sustituye al nombre de dominio de su IDP)
Recupera esta URL, e introdúcela en la aplicación LockSelf. Para ello, consulte esta documentación: Configuración de interconexión SSO (sólo nube privada).
Paso 2: Recuperar los metadatos de la aplicación
.Una vez que el archivo de metadatos de su IDP se haya cargado en LockSelf, puede recuperar los metadatos de la aplicación que utilizará para crear el conector en la siguiente URL:
(donde FQDN sustituye al nombre de dominio de tu instalación de LockSelf)
Paso 3: Crear el conector en el IDP
Para realizar las operaciones, necesitarás conectarte a tu servidor Windows e ir al módulo ADFS.
- Paso 1: Una vez en el módulo, haz clic en "Add Relying Party Trust"
- .
- Paso 2: A continuación, haga clic en "Iniciar", para iniciar la configuración
- Habilitar el soporte TLS1.2 en el módulo ADFS: https://docs.microsoft.com/fr-fr/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs#enable-and-disable-tls-12 ;
- O bien utilizar la segunda opción "Importar datos sobre la parte que confía desde un archivo".
- Paso 3: Elige un nombre para el conector. Este nombre es orientativo, puedes elegir el que más te guste. También puedes añadir una nota relacionada con el conector.
- Este nombre es indicativo.
- Paso 4: Elige tus políticas de conexión. Recomendamos no configurar ninguna AMF en esta fase, para poder realizar las primeras pruebas sin restricciones. Una vez realizadas y validadas las pruebas, puedes volver a este conector, y cambiar este punto de configuración.
- Posiciones de conexión.
- Paso 5: Ahora elige la política de acceso para este conector por usuario. Para las pruebas de conexión, recomendamos permitir que todos los usuarios puedan conectarse. Puede hacer una restricción más tarde, una vez que la instalación haya sido comprobada y validada.
- Para las pruebas de conexión, recomendamos permitir que todos los usuarios puedan conectarse.
-
Paso 6: Una vez hayas pulsado "Siguiente", comprobarás varias pestañas en el resumen final.
- En la pestaña Identificadores, comprueba que la URL de los metadatos de la aplicación está presente:
- .
-
- En las pestañas Cifrado y Firma, compruebe que el certificado coincide con el certificado de su instalación de LockSelf.
- En la pestaña Endpoints, comprueba que tienes las dos URLs como en la captura de pantalla siguiente:
- En las pestañas Cifrado y Firma, compruebe que el certificado coincide con el certificado de su instalación de LockSelf.
-
- Una vez que haya terminado, haga clic en "Siguiente" y luego en "Cerrar". A continuación, aparecerá una nueva ventana para crear las reglas de reclamaciones.
- Paso 1: Haga clic en "Añadir regla"
- Paso 2: Seleccione de la lista "Enviar atributos LDAP como reclamaciones" y, a continuación, haga clic en "Siguiente" .
-
Paso 3:
- Escriba en el primer campo un nombre para la reclamación. Este nombre es orientativo.
- Escriba en el primer campo un nombre de reclamación.
- En el menú de selección "Inicio", seleccione "Active Directory". A continuación, asignar los atributos como en la siguiente captura de pantalla :
-
Los elementos de la primera columna deben seleccionarse de la lista. Atención, si tiene su directorio en francés, apellido se indica Nombre.
Los elementos de la segunda columna deben introducirse con el teclado. Son los nombres de atributos que deben ser recuperados por LockSelf. Tenga cuidado de respetarlos.
Paso 5: Crear la segunda demanda
El segundo claim enviará el id del nombre del usuario a la aplicación LockSelf.
- Paso 1: Haga clic en "Añadir regla" de nuevo y elija "Transformar una reclamación entrante" en el menú desplegable.
- Paso 2:
-
Paso 2: El nombre del atributo vuelve a ser orientativo.
- En el primer menú desplegable Tipo de reclamación entrante, elija "UPN" .
- En el segundo menú desplegable Tipo de reclamación saliente, elija "Nombre ID" (tenga en cuenta que, para ADFS en francés, el campo es Nombre ID)
- Por último, en el último menú desplegable Formato de ID de nombre saliente, elija "Correo electrónico" .
-
Haga clic en "Finalizar".
Paso 6: Comprobar la conexión
Una vez hayas completado estos pasos, podrás probar el conector:
-
Paso 1: Para probar correctamente, abre un navegador privado y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar caché".
-
Paso 2: En la pestaña SSO, introduce tu correo electrónico en el campo que se muestra o haz clic directamente en el botón "Conectarme".
- Si esto no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la esquina superior derecha y comprueba que en el campo URL de la API pone /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si esto no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la esquina superior derecha y comprueba que en el campo URL de la API pone /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
-
Paso 3: En esta etapa se le redirigirá al portal ADFS SSO de su organización donde podrá autenticarse.
- Paso 4: Una vez autenticado, se le redirigirá a LockSelf, que le pedirá que cree el código PIN asociado a su cuenta.
Consulta esta documentación si lo necesitas: La conexión SSO (Single Sign-On).
Paso 7: Actualizar el conector
Dos casos requieren que se actualice el conector.
-
Caso 1: A veces es necesario realizar una actualización de los certificados de firma/cifrado de tokens en el conector ADFS. En este caso, será necesario actualizar el nuevo fichero de metadatos IDP, en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulte esta documentación: Configuración de la interconexión SSO (sólo nube privada).
-
Caso 2: Cuando se realice una actualización del certificado SSL en su instalación LockSelf, deberá actualizar el conector en el módulo ADFS.
- Si ha creado el conector a través de la URL: puede hacer clic con el botón derecho en el conector y hacer clic en "Actualizar desde los metadatos de la federación":
- Si creó el conector a través del archivo de metadatos de la aplicación, deberá actualizarlo a través de Powershell. Para ello:
- Abra una sesión de Powershell como administrador .
- Ejecute el comando
Update-AdfsRelyingPartyTrust -TargetName "[CONNECTOR_NAME]" -Metadatafile [FederationMetadata.xml]
- Donde [CONNECTOR_NAME] es igual al nombre del conector y [FederationMetadata.xml] es igual a la ruta del archivo de metadatos de la aplicación.
- Antes de ejecutar este comando, le recomendamos que lea la documentación oficial de Microsoft al respecto: https://docs.microsoft.com/en-us/powershell/module/adfs/update-adfsrelyingpartytrust?view=windowsserver2022-ps
- Donde [CONNECTOR_NAME] es igual al nombre del conector y [FederationMetadata.xml] es igual a la ruta del archivo de metadatos de la aplicación.
- Si ha creado el conector a través de la URL: puede hacer clic con el botón derecho en el conector y hacer clic en "Actualizar desde los metadatos de la federación":
-
Paso 1: Para probar correctamente, abre un navegador privado y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar caché".
Como se indica en el preámbulo, tienes dos opciones para configurar el conector.
Si su ADFS permite conexiones TLS1.2 como mínimo, tendrá la opción de elegir la primera opción, que permite cargar la configuración desde una URL. En este caso, seleccione la primera casilla de verificación, e introduzca la URL de metadatos de la aplicación LockSelf:
Si en esta fase te da error, tienes dos soluciones:
Para ello, tendrá que recuperar el archivo XML de la aplicación (disponible yendo directamente a la URL del paso 2) y colocar este archivo en el servidor ADFS. Una vez hecho esto, puede hacer clic en "Examinar", y buscar su archivo.
Una vez hecho esto, haga clic en "Siguiente".
Paso 4: Crear la primera reclamación
La primera reclamación servirá para enviar varias informaciones sobre el usuario a LockSelf. En particular, sus apellidos, su nombre y su correo electrónico para que pueda autenticarse en la aplicación LockSelf.
Actualización