Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar el inicio de sesión único con el proveedor de identidad SAML 2.0

El inicio de sesión único (SSO) es un método de autenticación que le permite iniciar sesión de forma segura en varias aplicaciones y sitios web con un único conjunto de credenciales de inicio de sesión.

Security Assertion Markup Language (SAML) es un marco para la autenticación y autorización entre un proveedor de servicios (SP) y un proveedor de identidad (IdP). Aquí, la autenticación se intercambia mediante documentos XML firmados digitalmente. El proveedor de servicios acepta confiar en el IdP para autenticar a los usuarios. A cambio, el IdP genera una aserción de autenticación que indica que un usuario está autenticado.

Ventajas

  • Con la autenticación SAML, puede integrar fácilmente Juniper ATP Cloud con su proveedor de identidad corporativo (IdP) para proporcionar inicio de sesión único. Si se autentica en su IdP, se autentica automáticamente en Juniper ATP Cloud. No necesita recordar contraseñas separadas ni escribir credenciales cada vez que acceda al portal ATP Cloud de Juniper.

  • Admitimos el protocolo SAML para SSO iniciado por el proveedor de identidades e iniciado por el proveedor de servicios. ATP Cloud de Juniper es compatible con el perfil de SSO web SAML 2.0 como proveedor de servicios.

Paso 1: Configurar las opciones de SSO en IdP

Ejemplo: configurar el inicio de sesión único con Okta como IdP

En esta sección se proporcionan instrucciones paso a paso para configurar el inicio de sesión único con Okta como proveedor de identidades (IdP):

Nota:
  • La información proporcionada en esta sección se basa en la implementación actual de SSO con SAML por parte de Okta y está sujeta a cambios. Para obtener información más detallada, consulte la documentación de Okta.

  • Ya debes tener una cuenta con Okta.
  • Debe iniciar sesión como administrador para realizar las siguientes operaciones.
  1. Inicie sesión en el portal de Okta.
  2. Vaya a Aplicaciones y haga clic en Aplicaciones > Crear integración de aplicaciones.
  3. En la sección Método de inicio de sesión, selecciona SAML 2.0 y haz clic en Siguiente.
  4. Introduzca la configuración general de la aplicación, como el nombre de la aplicación, el logotipo de la aplicación y la visibilidad de la aplicación. Haga clic en Siguiente.
  5. Configura la opción SAML. Para obtener orientaciones, consulte la Tabla 1.
  6. Haga clic en Siguiente.
  7. Elija si es cliente o socio. Haga clic en Finalizar.

    Su aplicación ahora está agregada a Okta. Haga clic en la pestaña Iniciar sesión . El archivo de metadatos IdP de Okta está disponible para su descarga. Puede usar este archivo de metadatos para importar dinámicamente la configuración de Okta IdP SSO a Juniper ATP Cloud.

  8. Vaya a Directorio > grupos > Agregar grupo y agregar grupos. Cree grupos independientes para cada rol. Por ejemplo, role_administrator, role_operator, role_observer.

    Los nombres de los grupos son importantes. Anote los nombres de los grupos, ya que se usarán para la asignación de roles de usuario en ATP Cloud Portal de Juniper. Véase el cuadro 4.

    .
  9. Haga clic en el nombre de un grupo y agregue usuarios y aplicaciones al grupo.
  10. Haga clic en Administrar personas y seleccione los usuarios de la lista. El usuario ahora se agrega de la lista No miembros a la lista Miembros .
  11. Haga clic en Guardar. El usuario está ahora asignado al grupo.
Tabla 1: Configuración de SAML de SSO para Okta

Campo

Descripción

Configuración general

URL de inicio de sesión único

La ubicación donde se envía la aserción SAML con un HTTP POST. Esto suele denominarse URL del servicio de consumidor de aserciones SAML (ACS) para su aplicación.

Ejemplo: https://canada.sky.junipersecurity.net/portal/sso/acs

URI de audiencia (ID de entidad SP)

El identificador único definido por la aplicación que es el público objetivo de la aserción SAML. Este es el ID de entidad de SP (un identificador único global) de ATP Cloud de Juniper.

Ejemplo: https://canada.sky.junipersecurity.net

Estado de retransmisión predeterminado

(Opcional) Identifica un recurso de aplicación específico en un escenario de inicio de sesión único iniciado por IDP. En la mayoría de los casos, esto está en blanco.

Se recomienda dejar este campo en blanco.

Formato de ID de nombre

Identifica las restricciones y reglas de procesamiento SAML para la instrucción subject de la aserción. Seleccione el formato de ID de nombre de la lista. Utilice el valor predeterminado de "Sin especificar" a menos que la aplicación requiera explícitamente un formato específico.

Este campo no se utiliza en el portal web ATP Cloud de Juniper; por lo tanto, conserva el valor predeterminado.

Nombre de usuario de la aplicación

Determina el valor predeterminado del nombre de usuario de la aplicación de un usuario. El nombre de usuario de la aplicación se utiliza para la instrucción subject de la aserción. Seleccione el nombre de usuario de la aplicación en la lista.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

Configuración avanzada

Respuesta

Determina si el mensaje de respuesta de autenticación SAML está firmado digitalmente por IDP o no. Se requiere una firma digital para garantizar la privacidad absoluta de la información intercambiada por su IdP.

Debe establecer este campo en Firmado.

Firma de aserción

Determina si la aserción SAML está firmada digitalmente o no. Se requiere una firma digital para garantizar que solo su IDP generó la aserción.

Debe establecer este campo en Firmado.

Algoritmo de firma

Determina el algoritmo de firma que se usa para firmar digitalmente la aserción y la respuesta SAML.

Okta proporciona el algoritmo de firma RSA-SHA256 y RSA-SHA1. Puede establecer cualquiera de los algoritmos.

Nota:

RSA-SHA1 quedará obsoleto pronto, por lo tanto, le recomendamos que establezca el algoritmo RSA-SHA256.

Algoritmo de síntesis

Determina el algoritmo de síntesis utilizado para firmar digitalmente la aserción y la respuesta SAML.

Okta proporciona el algoritmo de síntesis SHA256 y SHA1. Puede establecer cualquiera de los algoritmos.

Cifrado de aserción

Determina si la aserción SAML está cifrada o no. El cifrado garantiza que nadie más que el remitente y el receptor puedan entender la afirmación.

Debe establecer este campo como cifrado solo si planea habilitar Cifrar respuesta SAML en la configuración de SSO de ATP Cloud de Juniper.

Habilitar cierre de sesión único

Habilita el cierre de sesión único de SAML.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

Gancho en línea de aserción

Este campo está deshabilitado.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

Clase de contexto de autenticación

Identifica la clase de contexto de autenticación SAML para la instrucción de autenticación de la aserción.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

Autenticación de fuerza de honor

Solicitar al usuario que se vuelva a autenticar, si así lo solicita el SP.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

ID de emisor SAML

ID de emisor de IdP SAML.

Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado.

Instrucciones de atributo

Cuando creas una nueva integración SAML o modifiques una existente, puedes definir instrucciones de atributo personalizadas. Estas instrucciones se insertan en las aserciones SAML compartidas con Juniper ATP Cloud.

  1. Nombre — el nombre de referencia del atributo. La longitud máxima es de 512 caracteres. El atributo Name debe ser único en todas las instrucciones de atributo de usuario y grupo. Es donde se especifica la asignación para Juniper ATP Cloud. Ejemplo
    • Nombre (opcional)
    • Apellido (opcional)
    • Nombre de usuario (obligatorio)
    Nota:

    El atributo username es obligatorio para Juniper ATP Cloud. Se utiliza para iniciar sesión en el portal ATP Cloud de Juniper.

  2. Name Format — el formato del atributo name. Los formatos soportados son:
    1. Sin especificar: puede ser cualquier formato definido por el perfil de Okta y debe ser interpretado por la aplicación.
    2. Referencia de URI: el nombre se proporciona como una cadena de identificador uniforme de recursos.
    3. Basic —una cadena simple; el valor predeterminado si no se especifica ningún otro formato.
  3. Valor: valor del atributo definido por el elemento Name. Los administradores pueden crear expresiones personalizadas (usando Okta Expression Language) para hacer referencia a valores en el perfil de usuario de Okta. La longitud máxima de este campo es de 1024 caracteres.

En la tabla 2 se proporciona una instrucción de atributo de ejemplo.

Instrucciones de atributo de grupo (opcional)

Si tu organización Okta utiliza grupos para categorizar a los usuarios, puedes agregar instrucciones de atributo de grupo a la aserción SAML compartida con tu aplicación.

Los grupos de usuarios se asignan a la instrucción de atributo de la respuesta SAML. El atributo group ayuda a identificar qué usuario pertenece a qué grupo.

  1. Introduce el nombre del atributo de grupo en tu aplicación SAML. Ejemplo: rol
  2. Seleccione un formato de nombre.
  3. Elija una opción de filtrado para su expresión: Comienza con, Iguala, Contiene o Hace coincidir regex
  4. Escriba la expresión que se usará para que coincida con los valores Okta GroupName y se agregará a la aserción SAML.

Puede crear atributos de grupo para role_administrtor, role_observer y role_operator y agregar usuarios al grupo.

En la tabla 3 se proporciona una instrucción de atributo de grupo de ejemplo.

Vista previa de la aserción SAML

Haga clic para ver el archivo XML que se utilizará en la aserción.

Nombre
Tabla 2: Ejemplos de instrucciones de atributo para Okta
Nombre Valor de formato
Apellido Indeterminado user.firstName
Apellido Indeterminado usuario.apellido
Correo electrónico Indeterminado user.email
Nota:

Los atributos nombre y apellido son opcionales. En Configuración del proveedor SAML de SSO de ATP Cloud de Juniper, debe establecer un campo obligatorio denominado Atributo de nombre de usuario, independientemente del valor de atributo que haya planeado establecer en ATP Cloud de Juniper, debe establecer el mismo valor de atributo en Okta IdP; de lo contrario, se producirá un error en SSO.

Por ejemplo, si planea establecer el valor del atributo de nombre de usuario en la configuración del proveedor SAML de SSO de ATP Cloud de Juniper en user.email, debe establecer el mismo atributo en el IdP de Okta con el valor de atributo como user.email.

Tabla 3: Instrucciones de atributo de grupo de ejemplo para Okta

Nombre

Formato de nombre

Filtro

 

Papel

Indeterminado

Contiene

Papel

de roles en Okta
Tabla 4: Ejemplo de mapeo de roles en Okta
MapeoMapeo de roles en Juniper ATP Cloud Portal

role_administrator

Establezca el campo Administrador en role_administrator cuando configure las opciones de SSO en ATP Cloud Portal de Juniper.

role_operator

Establezca el campo Operador en role_operator cuando configure los ajustes de SSO en ATP Cloud Portal de Juniper.

role_observer

Establezca el campo Observador en role_observer cuando configure las opciones de SSO en ATP Cloud Portal de Juniper.

Ejemplo: configurar SSO con Microsoft Azure como IdP

En esta sección se proporcionan instrucciones paso a paso para configurar SSO con Microsoft Azure como proveedor de identidades (IdP):

Nota:
  • La información proporcionada en esta sección se basa en la implementación actual de SSO con SAML por parte de Microsoft Azure y está sujeta a cambios. Para obtener información más detallada, consulte Documentación de Microsoft Azure.

  • Ya debe tener una cuenta con Microsoft Azure.
  • Debe iniciar sesión como administrador para realizar las siguientes operaciones.
  1. Inicie sesión en Azure Portal.
  2. Haga clic en Azure Active Directory > Aplicaciones empresariales.
  3. Haga clic en + Nueva aplicación > +Crear su propia aplicación.
  4. Introduzca el nombre de la aplicación y haga clic en Crear.

    La nueva aplicación aparece en la página Todas las aplicaciones.

  5. Haga clic en el nombre de la aplicación.
  6. Haga clic en Asignar usuarios y grupos > Agregar usuario o grupo.

    Aparecerá la página Agregar asignación.

  7. Haga clic en Ninguno seleccionado. Elija los usuarios y grupos de la lista Usuarios y grupos y haga clic en Seleccionar.
    Nota:

    Cuando se asigna un grupo a una aplicación, solo tendrán acceso los usuarios directamente del grupo. La asignación no cae en cascada a grupos anidados.

  8. Haga clic en Asignar. Para usuarios y grupos de ejemplo, consulte la tabla 5
  9. Vaya a Administrar > inicio de sesión único > SAML. Configure los ajustes según las directrices proporcionadas en la tabla 6.
  10. Haga clic en Prueba para comprobar si SSO funciona.
    Nota:

    Debe agregar usuarios a Usuarios y grupos antes de poder iniciar sesión.

  11. Vaya a Cifrado de token de > seguridad > Importar certificado y cargue el certificado de cifrado. El administrador del IdP debe generar y cargar el certificado para habilitar el cifrado de token
Tabla 5: Configuración de usuarios y grupos de ejemplo para Microsoft Azure
Nombre para mostrar Tipo de objeto Rol asignado

role_administrator

Grupo

Usuario

role_observer

Grupo

Usuario

role_operator

Grupo

Usuario

Tabla 6: Configuración de SSO para Microsoft Azure

Campo

Descripción

Configuración básica de SAML

Identificador (ID de entidad)

(Obligatorio) El identificador predeterminado será la audiencia de la respuesta SAML para el inicio de sesión único iniciado por IDP. Este valor debe ser único en todas las aplicaciones del inquilino de Azure Active Directory

Ejemplo: https://amer.sky.junipersecurity.net

URL de respuesta (URL del servicio de consumidor de aserciones)

(Obligatorio) La URL de respuesta predeterminada será el destino de la respuesta SAML para el inicio de sesión único iniciado por IDP. La dirección URL de respuesta es donde la aplicación espera recibir el token de autenticación. Esto también se conoce como el "Servicio de consumidor de aserciones" (ACS) en SAML.

Ejemplo: https://amer.sky.junipersecurity.net/portal/sso/acs

URL de inicio de sesión

(Opcional) Esta dirección URL contiene la página de inicio de sesión de esta aplicación que realizará el inicio de sesión único iniciado por el proveedor de servicios. Déjelo en blanco si desea realizar un inicio de sesión único iniciado por el proveedor de identidades.

Estado de retransmisión

(Opcional) El estado de retransmisión indica a la aplicación dónde redirigir a los usuarios una vez completada la autenticación, y el valor suele ser una dirección URL o una ruta de URL que lleva a los usuarios a una ubicación específica dentro de la aplicación. El valor de este formulario solo surte efecto en un flujo de SSO iniciado por IdP.

Atributos de usuario y reclamaciones

Parámetros que definen qué grupos de control de acceso asociar a ATP. Los grupos de control de acceso se asignan a los roles ATP de Juniper.

Identificador único de usuario

(Opcional) Proporcione el identificador del nombre.

Ejemplo: user.userprincipalname [nameid-format:emailAddress]

+Añadir nueva reclamación

Defina las notificaciones que usa Azure AD para rellenar los tokens SAML emitidos en la nube ATP de Juniper.

Para agregar una nueva notificación:

  1. Haga clic en + Agregar nueva reclamación.

    Aparecerá la página Administrar reclamación.

  2. Escriba el nombre y el espacio de nombres de la notificación.
  3. Seleccione la fuente.
  4. Seleccione el atributo de origen en la lista desplegable.
  5. (Opcional) Especifique la condición de notificación.
  6. Haga clic en Guardar.

Véase el cuadro 7.

Nota:

Los atributos givenname y apellido son opcionales. En Configuración del proveedor SAML de SSO de ATP Cloud de Juniper, debe establecer un campo obligatorio denominado Atributo de nombre de usuario. Independientemente del valor de atributo que haya planeado establecer en ATP Cloud de Juniper, debe establecer el mismo valor de atributo en el IdP de Azure; de lo contrario, se producirá un error en el inicio de sesión único.

Por ejemplo, si planea establecer el valor del atributo de nombre de usuario en la configuración del proveedor SAML de SSO de ATP Cloud de Juniper en dirección de correo electrónico, debe establecer el mismo nombre de atributo en el IdP de Azure con el valor de atributo como user.mail.

+ Agregar una reclamación de grupo

Defina las notificaciones de grupo que usa Azure AD para rellenar los tokens SAML emitidos en Juniper ATP Cloud.

Para agregar una nueva notificación de grupo:

  1. Haga clic en + Agregar una notificación de grupo.

    Aparecerá la página Reclamaciones de grupo.

  2. Para los grupos asociados a los usuarios, elija Todos los grupos.
  3. Seleccione el atributo source.
    • Si el atributo de origen es sAMAccountName, debe especificar el nombre del rol como atributo para la asignación de roles en el portal ATP Cloud de Juniper. Por ejemplo, rol: role_administrator
    • Si el atributo de origen es ID de grupo, debe especificar el ID de referencia como atributo para la asignación de roles en el portal ATP Cloud de Juniper. Por ejemplo, rol: abcdef
    Nota:
    • El atributo source solo funciona para grupos sincronizados desde un Active Directory local mediante AAD Connect Sync 1.2.70.0 o superior.
    • Si no tiene Azure Active Directory para extraer los usuarios y grupos, elija ID de grupo como atributo de origen en el IdP de Azure y proporcione el identificador de grupo respectivo en los atributos de grupo de configuración de SSO de ATP Cloud de Juniper.
  4. Seleccione la casilla Personalizar el nombre del grupo .
  5. Especifique el nombre y el espacio de nombres. Por ejemplo, si el nombre del grupo es rol, en la respuesta SAML a ATP Cloud de Juniper, el nombre del grupo "rol" será la clave y el valor de la clave será el nombre del rol, donde se agregan los usuarios.
  6. Haga clic en Guardar.

    El rol de notificación de grupo se crea con valor como user.groups.

Certificado de firma SAML

Estado

Muestra el estado del certificado SAML usado por Azure AD para firmar tokens SAML emitidos para la aplicación.

Huella digital

Muestra la huella digital del certificado SAML.

Expiración

Muestra la fecha de caducidad del certificado SAML.

Correo electrónico de notificación

Muestra la dirección de correo electrónico de notificación.

URL de metadatos de federación de aplicaciones

Muestra la dirección URL de metadatos del IdP de Azure para SAML.

Ejemplo: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/federationmetadata/2007-06/federationmetadata.xml?appid=6915f8ab-640a-4e1c-bb67-5e81a14f7898

Certificado (Base64)

(Opcional) Haga clic para descargar el certificado Base64.

Certificado (sin procesar)

(Opcional) Haga clic para descargar el certificado sin procesar.

XML de metadatos de federación

(Opcional) Haga clic para descargar el documento de metadatos de federación.

Firma Algoritham

Determina el algoritmo de firma que se usa para firmar digitalmente la aserción y la respuesta SAML.

Azure proporciona un algoritmo de firma RSA-SHA256 y RSA-SHA1. Puede establecer cualquiera de los algoritmos.

Nota:

RSA-SHA1 quedará obsoleto pronto, por lo tanto, le recomendamos que establezca el algoritmo RSA-SHA256.

Configurar la aplicación (Juniper ATP Cloud)

URL de inicio de sesión

Muestra la dirección URL de inicio de sesión de Microsoft Azure. Será redirigido a la URL de inicio de sesión para la autenticación.

Ejemplo: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2

Identificador de Azure AD

Muestra el público objetivo de la aserción SAML. Es el identificador de entidad (un identificador único global) del IdP de Azure.

Ejemplo: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/

URL de cierre de sesión

Muestra la dirección URL de cierre de sesión de Microsoft Azure.

Este campo aún no es compatible con Juniper ATP Cloud.

del atributo
Tabla 7: Agregar nueva notificación para Azure AD
NombreOrigen Descripción del valor del atributo
Nombre de pila usuario.nombredado El atributo givenname se utilizará para asignar el apellido del usuario en ATP Cloud.
Apellido usuario.apellido El atributo apellido se utilizará para asignar el apellido del usuario en ATP Cloud.
dirección de correo electrónico usuario.mail  
    El atributo emailaddress se utilizará para asignar la dirección de correo electrónico del usuario en ATP Cloud.

Paso 2: Configurar las opciones de SSO en el portal web de Juniper ATP Cloud

Consulte Configurar opciones de SSO.

Paso 3: Activar la configuración de SSO

Para activar la configuración de SSO, inicie sesión en el portal ATP Cloud de Juniper, vaya a Administration > Single Sign-On Setting (Configuración de inicio de sesión único administración) y haga clic en Activar.

Paso 4: Probar la configuración de SSO

  • SSO iniciado por el proveedor de servicios (Juniper ATP Cloud): inicie sesión en el portal web de Juniper ATP Cloud con SSO. Si inicia sesión en el portal web de ATP Cloud de Juniper antes de autenticarse con IdP SSO, en función del dominio ATP Cloud, se le redirigirá al portal de IdP para su autenticación. Después de la autenticación con IdP, ha iniciado sesión en el portal web ATP Cloud de Juniper.

  • Proveedor de identidad: cuando inicia sesión en la cuenta de SSO de IdP, se proporciona una lista de aplicaciones que están integradas con IdP y puede acceder a cualquiera de las aplicaciones. Por ejemplo, si hace clic en la aplicación ATP Cloud de Juniper, se le dirigirá al portal web de ATP Cloud de Juniper.

Solucionar problemas de configuración de SSO

Utilice la siguiente información para solucionar errores y problemas al usar SAML 2.0 con ATP Cloud de Juniper.

  • Reino
    • La opción de SSO se configura por dominio. Tanto los usuarios locales como los SAML pueden coexistir en un dominio. De forma predeterminada, el creador del dominio (administrador) es el usuario local.

    • Si SSO falla debido a una configuración incorrecta y el usuario de SSO no puede iniciar sesión, póngase en contacto con el creador del dominio (administrador), que tiene acceso de inicio de sesión local al dominio. El administrador puede iniciar sesión con la URL del portal de clientes de ATP Cloud y corregir la configuración de SSO para el reino.

  • Mapeo de roles
    • ATP Cloud de Juniper tiene los roles de "administrador", "operador" y "observador" establecidos como parte del caso de uso de creación de perfiles de usuario.

    • Para autenticar usuarios de ATP con IdP, debe tener al menos un grupo en IdP que defina a los usuarios de ATP, que eventualmente se asignarán a roles de ATP.

    • Los usuarios pueden crear un grupo de IdP para cada tipo de rol de ATP: 'admin', 'operador', 'observador' y asignar los roles adecuadamente durante la configuración del IdP.

    • Si el grupo de usuarios no coincide con la asignación en el IdP, se muestra un mensaje de error al usuario.

  • Autenticación multifactor
    • Si el IdP proporciona su propia capacidad de autenticación escalonada, el usuario de SSO será redirigido al sitio de SSO para la autenticación escalonada. La autenticación multifactor en Juniper ATP Cloud está deshabilitada si está habilitado el inicio de sesión único.

    • Los usuarios locales del mismo reino pueden seguir utilizando la autenticación multifactor de ATP.

  • Contraseña
    • Los usuarios de SSO que hayan olvidado la contraseña deben iniciar sesión en el sitio del IdP para restablecerla. Cuando un usuario intenta realizar un inicio de sesión único proporcionando el nombre del dominio, el portal de ATP Cloud redirigirá al usuario al sitio del IdP para la autenticación. Si se produce un error en la autenticación de usuario en el sitio del IdP. a continuación, el usuario debe restablecer la contraseña desde el sitio del IdP.

    • La opción Olvidé mi contraseña en el portal ATP Cloud de Juniper es para los dominios que no están configurados con SSO.