Interconexión Azure

Preamble

La interconexión de la aplicación LockSelf con una federación de identidades se realiza a través del protocolo SAMLv2. Por lo tanto, es posible interconectar la aplicación con su cuenta Azure enterprise.

Paso 1: Crear el conector en el IDP

Entra en tu interfaz de administración de Azure en la sección de aplicaciones empresariales:

https://portal.azure.com/?quickstart=True#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AppAppsPreview

Paso 1: Haz clic en "Nueva aplicación" y en "Crea tu propia aplicación".
Paso 2: Crea tu propia aplicación.

Screenshot_2022-02-21_at_5.03.12_PM.png

Screenshot_2022-02-21_at_5.04.08_PM.png

Paso 2: Defina un nombre para el conector, normalmente "LockSelf" y haga clic en la tercera casilla de verificación "Integrar cualquier otra aplicación que no se encuentre en la galería (Non-gallery)". Por último, haz clic en "Crear".

Screenshot_2022-02-21_at_5.05.39_PM.png

Paso 3: En el menú de la izquierda, haz clic en "Inicio de sesión único" y, a continuación, en "SAML".

Screenshot_2022-02-21_at_5.09.52_PM.png

Screenshot_2022-02-21_at_5.11.48_PM.png

Paso 2: Configurar el conector

Hay dos pasos para configurar el conector.

Paso 1: Modificar el primer bloque "Basic SAML configuration"

Screenshot_2022-02-21_at_5.14.59_PM.png

Rellena la información como se indica a continuación:

Screenshot_2022-02-21_at_5.17.25_PM.png

- Identificador (entity ID): corresponde a la URL de los metadatos de la aplicación.
  - https://FQDN/saml2/metadata
- Response URL (URL Assertion Consumer Service): corresponde a la URL de respuesta que será llamada por el conector.
  - https://FQDN/saml2/response
- URL de inicio de sesión (opcional): corresponde a la URL de inicio de sesión para sus usuarios.
  - https://FQDN/?sso

(donde FQDN reemplaza el nombre de dominio de su instalación de LockSelf).

Paso 2: Edite el segundo bloque "Atributos y reivindicaciones"

Screenshot_2022-02-21_at_5.21.51_PM.png

En esta fase, tendrá que devolver reclamaciones obligatorias como arriba. Tenga cuidado de distinguir entre mayúsculas y minúsculas.

Paso 3 (opcional): Si quieres escalar ciertos grupos de usuarios a LockSelf, necesitarás añadir una reclamación de grupo.

Screenshot_2022-03-23_at_3.49.37_PM.png

En el caso de que tus grupos se traigan desde un directorio LOCAL:

Marque la casilla "Grupos asignados a la aplicación" y luego "sAMAccountName" como atributo de origen.

Screenshot_2022-03-23_at_3.50.44_PM.png

🚨 Por favor, ten en cuenta que sólo los grupos sincronizados desde un Directorio Activo local utilizando AAD Connect Sync 1.2.70.0 o posterior podrán mostrarse en LockSelf. Además, compruebe que su plan Azure ofrece esta funcionalidad.

En el caso de que tus grupos sean grupos de seguridad gestionados directamente en Azure AD:

Marque la casilla de verificación "Grupos asignados a la aplicación" y, a continuación, "Nombres de visualización de grupos en la nube solamente (versión previa)" como atributo de origen.

Haz clic en "Opciones avanzadas" y luego marca "Personalizar el nombre de la reclamación de grupo". Por último, escribe "ggrupos" en el Nombre (procura distinguir entre mayúsculas y minúsculas).

Screenshot_2022-03-23_at_3.53.46_PM.png

Sólo los grupos que añadas en el siguiente paso podrán aparecer en LockSelf.

Una vez realizada esta operación, deberás avisar a tu Account Manager para que activemos esta opción en la parte de la aplicación.

Paso 3: Autorizar a los usuarios a acceder a la aplicación

Este paso consiste en elegir qué usuarios o grupos de usuarios pueden acceder al conector y, por lo tanto, a la aplicación.

Autorizar a los usuarios para acceder a la aplicación

Para ello, deberás hacer clic en el menú "Usuarios y grupos" de la izquierda.

Screenshot_2022-02-21_at_5.44.04_PM.png

A continuación, elija los usuarios / grupos autorizados.

Screenshot_2022-02-21_at_5.45.48_PM.png

Paso 4: Recuperar metadatos del IDP

Una vez configurado el conector, podrás recuperar los metadatos del IDP.

Los metadatos se recuperan a través de una URL, disponible en el bloque "Certificado de firma SAML" en la línea "URL de metadatos de la federación de aplicaciones"

Screenshot_2022-02-22_at_10.19.31_AM.png

Copie y pegue esta URL, y rellénela en la aplicación LockSelf. Para ello, consulta esta documentación: Configuración de interconexión de SSO (sólo nube privada).

Paso 5: Comprobar la conexión

Una vez hayas completado estos pasos, podrás probar el conector:

Paso 1: Para probar correctamente, abre un navegador privado y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar caché".
Paso 2: En la pestaña SSO, introduce tu correo electrónico en el campo que se muestra o haz clic directamente en el botón "Conectarme".
- Si esto no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la esquina superior derecha y comprueba que en el campo URL de la API pone /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
Paso 3: En este paso serás redirigido al portal Azure SSO de tu organización donde podrás autenticarte.
Paso 4: Una vez autenticado, se le redirigirá a LockSelf, que le pedirá que cree el código PIN asociado a su cuenta.

Consulta esta documentación si lo necesitas: La conexión SSO (Single Sign-On).

Paso 6: Actualizar el conector

A veces es necesario realizar una actualización del certificado de firma / cifrado de token en el conector de Azure.

Actualización del conector de Azure.

En este caso, será necesario actualizar el nuevo archivo de metadatos IDP, en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación:Configuración de la interconexión SSO.

Actualización 10 de diciembre de 2024 16:22