Preamble
La interconexión de la aplicación LockSelf con una federación de identidades se realiza a través del protocolo SAMLv2. Por lo tanto, es posible interconectar la aplicación con su IDP Shibboleth.
Protocolo SAMLv2.
Cuidado, según la instalación realizada y la versión de Shibboleth utilizada, los elementos propuestos podrían variar ligeramente.
Paso 1: Depositar los metadatos del IDP en LockSelf
Este primer paso consiste en recuperar el archivo de metadatos de tu IDP.
Recuperar el URL o archivo de metadatos, y poblarlo en la aplicación LockSelf. Para ello, consulte esta documentación:Configuración de la interconexión de SSO (sólo nube privada).
Paso 2: Recuperar los metadatos de la aplicación
.(donde FQDN sustituye al nombre de dominio de tu instalación de LockSelf)
Paso 3: Adaptar el archivo metadata-providers.xml
Este tercer paso añadirá LockSelf a tu lista de proveedores de servicios.
Este tercer paso añadirá LockSelf a tu lista de proveedores de servicios.
Por lo tanto, tendrá que añadir el siguiente elemento a este archivo:
<MetadataProvider id="LockSelf">.
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/lockself-metadata.xml"
disregardTLSCertificate="true"
metadataURL="https://FQDN/saml2/metadata">
</MetadataProvider>
- "BackingFile" debe corresponder a la ruta donde se pueden recuperar los metadatos de la aplicación LockSelf (recuperados en el paso 2) .
- "MetadataURL" debe corresponder al URL de acceso a los metadatos de LockSelf. FQDN debe sustituirse por el nombre de dominio elegido para su instalación .
Paso 4: Preparar los atributos
Ahora tienes que preparar los atributos que enviará el IDP a la aplicación. A modo de recordatorio, los tres atributos que se enviarán son:
- firstname (que contiene el nombre de pila del usuario)
- apellido (que contiene el nombre del usuario)
- Nombre (que contiene el nombre del usuario)
- mail (contiene el correo electrónico del usuario)
En el archivo attribute-filter.xml, tendrás que crear estos atributos si no están definidos. Por ejemplo:
<AttributeFilterPolicy>
<AttributeRule attributeID="firstname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="lastname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
Paso 5: Vincular atributos
Una vez que los atributos han sido creados y pueden ser utilizados, necesitarás crear las reglas que enlazarán los atributos de un usuario con el nombre esperado por la aplicación LockSelf.
Para hacer esto, necesitarás crear las reglas que enlazarán los atributos de un usuario con el nombre esperado por la aplicación LockSelf.
Para ello, tendrás que modificar el fichero attribute-resolver-ldap.xml y basarte en el ejemplo que se muestra a continuación:
¡<!-- LockSelf -->
<resolver:AttributeDefinition xsi:type="ad:Simple" id="firstname" sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="firstname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="lastname" sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="lastname" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="mail" />
</resolver:AttributeDefinition>
- "sourceAttributeID" corresponde a los valores tomados de su IDP. Deberá adaptar este valor según la configuración de este IDP .
Paso 6: Comprobar la conexión
Una vez hayas completado estos pasos, podrás probar el conector:
-
Paso 1: Para probar correctamente, abre un navegador privado y dirígete a la URL de tu infraestructura (https://FQDN/?sso). Si utilizas la extensión del navegador, haz clic en la rueda dentada y luego en "Vaciar caché".
-
Paso 2: En la pestaña SSO, introduce tu correo electrónico en el campo que se muestra o haz clic directamente en el botón "Conectarme".
- Si esto no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la esquina superior derecha y comprueba que en el campo URL de la API pone /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
- Si esto no funciona, en la página de inicio de sesión, haz clic en las ruedas dentadas de la esquina superior derecha y comprueba que en el campo URL de la API pone /api/ al final del nombre de dominio dedicado. Por ejemplo: https://votreentreprise.lockself-cloud.com/api/, https://lockself.votreentreprise.com/api/, etc ...
-
Paso 3: En este paso, se le redirigirá al portal Shibboleth SSO de su organización donde podrá autenticarse.
- Paso 4: Una vez autenticado, se le redirigirá a LockSelf, que le pedirá que cree el código PIN asociado a su cuenta.
Consulta esta documentación si lo necesitas: La conexión SSO (Single Sign-On).
Paso 7: Actualizar el conector
A veces es necesario realizar una actualización de los certificados de firma/cifrado de tokens en el conector Shibboleth.
Actualizar el conector.
En este caso, será necesario actualizar el nuevo fichero de metadatos IDP, en la pestaña Configuración de la cuenta de Administrador, en el módulo SSO. Para ello, consulta esta documentación:Configuración de la interconexión SSO.
Actualización