Configurar el inicio de sesión único con el proveedor de identidad SAML 2.0
El inicio de sesión único (SSO) es un método de autenticación que le permite iniciar sesión de forma segura en varias aplicaciones y sitios web con un único conjunto de credenciales de inicio de sesión.
Security Assertion Markup Language (SAML) es un marco para la autenticación y autorización entre un proveedor de servicios y un proveedor de identidad (IdP). Aquí, la autenticación se intercambia mediante documentos XML firmados digitalmente. El proveedor de servicios acepta confiar en el IdP para autenticar a los usuarios. A cambio, el IdP genera una aserción de autenticación que indica que un usuario está autenticado.
Beneficios
-
Con la autenticación SAML, puede integrar fácilmente ATP Cloud de Juniper con su IdP corporativo para proporcionar SSO. Si se autentica en su IdP, se autentica automáticamente en Juniper ATP Cloud. No necesita recordar contraseñas separadas ni escribir credenciales cada vez que acceda al portal ATP Cloud de Juniper.
-
Solo admitimos el protocolo SAML para el inicio de sesión único iniciado por el proveedor de servicios. ATP Cloud de Juniper es compatible con el perfil de SSO web SAML 2.0 como proveedor de servicios.
Paso 1: Configurar las opciones de SSO en IdP
- Ejemplo: configurar el inicio de sesión único con Okta como IdP
- Ejemplo: configurar SSO con Microsoft Azure como IdP
Ejemplo: configurar el inicio de sesión único con Okta como IdP
En esta sección se proporcionan instrucciones paso a paso para configurar el inicio de sesión único con Okta como IdP:
-
La información proporcionada en esta sección se basa en la implementación actual de SSO con SAML por parte de Okta y está sujeta a cambios. Para obtener información más detallada, consulte la documentación de Okta.
- Ya debes tener una cuenta con Okta.
- Debe iniciar sesión como administrador para realizar las siguientes operaciones.
- Inicie sesión en el portal de Okta.
- Vaya a Aplicaciones y haga clic en Aplicaciones > Crear integración de aplicaciones.
- En la sección Método de inicio de sesión, selecciona SAML 2.0 y haz clic en Siguiente.
- Introduzca la configuración general de la aplicación, como el nombre de la aplicación, el logotipo de la aplicación y la visibilidad de la aplicación. Haga clic en Siguiente.
- Configura la opción SAML. Para obtener orientaciones, consulte la Tabla 1.
- Haga clic en Siguiente.
- Elija si es cliente o socio. Haga clic en Finalizar.
Su aplicación ahora está agregada a Okta. Haga clic en la pestaña Iniciar sesión . El archivo de metadatos IdP de Okta está disponible para su descarga. Puede usar este archivo de metadatos para importar dinámicamente la configuración de Okta IdP SSO a Juniper ATP Cloud.
- Vaya a Directorio > grupos > Agregar grupo y agregar grupos. Cree grupos independientes para cada rol. Por ejemplo, role_administrator, role_operator, role_observer.
Los nombres de los grupos son importantes. Anote los nombres de los grupos, ya que se usarán para la asignación de roles de usuario en ATP Cloud Portal de Juniper. Véase el cuadro 4.
. - Haga clic en el nombre de un grupo y agregue usuarios y aplicaciones al grupo.
- Haga clic en Administrar personas y seleccione los usuarios de la lista. El usuario ahora se agrega de la lista No miembros a la lista Miembros .
- Haga clic en Guardar. El usuario está ahora asignado al grupo.
| Campo |
Descripción |
|---|---|
| Configuración general |
|
| URL de inicio de sesión único |
La ubicación donde se envía la aserción SAML con un HTTP POST. Esto suele denominarse URL del servicio de consumidor de aserciones SAML (ACS) para su aplicación. Ejemplo: https://canada.sky.junipersecurity.net/portal/sso/acs |
| URI de audiencia (ID de entidad SP) |
El identificador único definido por la aplicación que es el público objetivo de la aserción SAML. Este es el ID de entidad de SP (un identificador único global) de ATP Cloud de Juniper. |
| Estado de retransmisión predeterminado |
(Opcional) Identifica un recurso de aplicación específico en un escenario de inicio de sesión único iniciado por IdP. En la mayoría de los casos, este campo está en blanco. ATP Cloud de Juniper no admite SSO iniciado por IdP. Le recomendamos que deje este campo en blanco. |
| Formato de ID de nombre |
Identifica las restricciones y reglas de procesamiento SAML para la instrucción subject de la aserción. Seleccione el formato de ID de nombre de la lista. Utilice el valor predeterminado de "Sin especificar" a menos que la aplicación requiera explícitamente un formato específico. Este campo no se utiliza en el portal web ATP Cloud de Juniper; por lo tanto, conserva el valor predeterminado. |
| Nombre de usuario de la aplicación |
Determina el valor predeterminado del nombre de usuario de la aplicación de un usuario. El nombre de usuario de la aplicación se utiliza para la instrucción subject de la aserción. Seleccione el nombre de usuario de la aplicación en la lista. Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| Configuración avanzada |
|
| Respuesta |
Determina si el mensaje de respuesta de autenticación SAML está firmado digitalmente por IDP o no. Se requiere una firma digital para garantizar la privacidad absoluta de la información intercambiada por su IdP. Debe establecer este campo en Firmado. |
| Firma de aserción |
Determina si la aserción SAML está firmada digitalmente o no. Se requiere una firma digital para garantizar que solo su IDP generó la aserción. Debe establecer este campo en Firmado. |
| Algoritmo de firma |
Determina el algoritmo de firma que se usa para firmar digitalmente la aserción y la respuesta SAML. Okta proporciona el algoritmo de firma RSA-SHA256 y RSA-SHA1. Puede establecer cualquiera de los algoritmos.
Nota:
RSA-SHA1 quedará obsoleto pronto, por lo tanto, le recomendamos que establezca el algoritmo RSA-SHA256. |
| Algoritmo de síntesis |
Determina el algoritmo de síntesis utilizado para firmar digitalmente la aserción y la respuesta SAML. Okta proporciona el algoritmo de síntesis SHA256 y SHA1. Puede establecer cualquiera de los algoritmos. |
| Cifrado de aserción |
Determina si la aserción SAML está cifrada o no. El cifrado garantiza que nadie más que el remitente y el receptor puedan entender la afirmación. Debe establecer este campo como cifrado solo si planea habilitar Cifrar respuesta SAML en la configuración de SSO de ATP Cloud de Juniper. |
| Habilitar cierre de sesión único |
Habilita el cierre de sesión único de SAML. Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| Gancho en línea de aserción |
Este campo está deshabilitado. Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| Clase de contexto de autenticación |
Identifica la clase de contexto de autenticación SAML para la instrucción de autenticación de la aserción. Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| Autenticación de fuerza de honor |
Solicitar al usuario que se vuelva a autenticar, si así lo solicita el proveedor de servicios. Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| ID de emisor SAML |
ID de emisor de IdP SAML Este campo no se utiliza en la nube ATP de Juniper; por lo tanto, conserva el valor predeterminado. |
| Instrucciones de atributo |
Cuando creas una nueva integración SAML o modifiques una existente, puedes definir instrucciones de atributo personalizadas. Estas instrucciones se insertan en las aserciones SAML compartidas con Juniper ATP Cloud.
En la tabla 2 se proporciona una instrucción de atributo de ejemplo. |
| Instrucciones de atributo de grupo (opcional) |
Si tu organización Okta utiliza grupos para categorizar a los usuarios, puedes agregar instrucciones de atributo de grupo a la aserción SAML compartida con tu aplicación. Los grupos de usuarios se asignan a la instrucción de atributo de la respuesta SAML. El atributo group ayuda a identificar qué usuario pertenece a qué grupo.
Puede crear atributos de grupo para role_administrtor, role_observer y role_operator y agregar usuarios al grupo. En la tabla 3 se proporciona una instrucción de atributo de grupo de ejemplo. |
| Vista previa de la aserción SAML |
Haga clic para ver el archivo XML que se utilizará en la aserción. |
| Nombre | Nombre Valor de formato | |
|---|---|---|
| Nombre | No especificado | user.firstName |
| Apellido | No especificado | usuario.apellido |
| Correo electrónico | No especificado | user.email |
Los atributos nombre y apellido son opcionales. En Configuración del proveedor SAML de SSO de ATP Cloud de Juniper, debe establecer un campo obligatorio denominado Atributo de nombre de usuario. Sea cual sea el valor de atributo que haya planeado establecer en ATP Cloud de Juniper, debe establecer el mismo valor de atributo en Okta IdP; de lo contrario, se producirá un error en el inicio de sesión único.
Por ejemplo, si planea establecer el valor del atributo de nombre de usuario en la configuración del proveedor SAML de SSO de ATP Cloud de Juniper en user.email, debe establecer el mismo atributo en el IdP de Okta con el valor de atributo como user.email.
| Nombre |
Formato de nombre |
Filtro |
|
|---|---|---|---|
| rol |
No especificado |
Contiene |
rol |
| Mapeo de roles en Okta | Mapeo de roles en Juniper ATP Cloud Portal |
|---|---|
| role_administrator |
Establezca el campo Administrador en role_administrator cuando configure las opciones de SSO en ATP Cloud Portal de Juniper. |
| role_operator |
Establezca el campo Operador en role_operator cuando configure los ajustes de SSO en ATP Cloud Portal de Juniper. |
| role_observer |
Establezca el campo Observador en role_observer cuando configure las opciones de SSO en ATP Cloud Portal de Juniper. |
Ejemplo: configurar SSO con Microsoft Azure como IdP
En esta sección se proporcionan instrucciones paso a paso para configurar SSO con Microsoft Azure como IdP:
-
La información proporcionada en esta sección se basa en la implementación actual de SSO con SAML por parte de Microsoft Azure y está sujeta a cambios. Para obtener información más detallada, consulte Documentación de Microsoft Azure.
- Ya debe tener una cuenta con Microsoft Azure.
- Debe iniciar sesión como administrador para realizar las siguientes operaciones.
- Inicie sesión en Azure Portal.
- Haga clic en Azure Active Directory > Aplicaciones empresariales.
- Haga clic en + Nueva aplicación > +Crear su propia aplicación.
- Introduzca el nombre de la aplicación y haga clic en Crear.
La nueva aplicación aparece en la página Todas las aplicaciones.
- Haga clic en el nombre de la aplicación.
- Haga clic en Asignar usuarios y grupos > Agregar usuario o grupo.
Aparecerá la página Agregar asignación.
- Haga clic en Ninguno seleccionado. Elija los usuarios y grupos de la lista Usuarios y grupos y haga clic en Seleccionar.
Nota:
Cuando se asigna un grupo a una aplicación, solo tendrán acceso los usuarios directamente del grupo. La asignación no cae en cascada a grupos anidados.
- Haga clic en Asignar. Para usuarios y grupos de ejemplo, consulte la tabla 5
- Vaya a Administrar > inicio de sesión único > SAML. Configure los ajustes según las directrices proporcionadas en la tabla 6.
- Haga clic en Prueba para comprobar si SSO funciona.
Nota:
Debe agregar usuarios a Usuarios y grupos antes de poder iniciar sesión.
- Vaya a Cifrado de token de > seguridad > Importar certificado y cargue el certificado de cifrado. El administrador del IdP debe generar y cargar el certificado para habilitar el cifrado de token
| Nombre para mostrar | Tipo de objeto | Rol asignado |
|---|---|---|
| role_administrator |
Grupo |
Usuario |
| role_observer |
Grupo |
Usuario |
| role_operator |
Grupo |
Usuario |
| Campo |
Descripción |
|---|---|
| Configuración básica de SAML |
|
| Identificador (ID de entidad) |
(Obligatorio) El identificador predeterminado será la audiencia de la respuesta SAML para el inicio de sesión único iniciado por IDP. Este valor debe ser único en todas las aplicaciones del inquilino de Azure Active Directory Ejemplo: https://amer.sky.junipersecurity.net |
| URL de respuesta (URL del servicio de consumidor de aserciones) |
(Obligatorio) La URL de respuesta predeterminada será el destino de la respuesta SAML para el inicio de sesión único iniciado por IDP. La dirección URL de respuesta es donde la aplicación espera recibir el token de autenticación. Esto también se conoce como el "Servicio de consumidor de aserciones" (ACS) en SAML. Ejemplo: https://amer.sky.junipersecurity.net/portal/sso/acs |
| URL de inicio de sesión |
(Opcional) Esta dirección URL contiene la página de inicio de sesión de esta aplicación que realizará el SSO iniciado por el proveedor de servicios. Déjelo en blanco si desea realizar un inicio de sesión único iniciado por IdP. |
| Estado de retransmisión |
(Opcional) El estado de retransmisión indica a la aplicación dónde redirigir a los usuarios una vez completada la autenticación, y el valor suele ser una dirección URL o una ruta de URL que lleva a los usuarios a una ubicación específica dentro de la aplicación. El valor de este formulario solo surte efecto en un flujo de SSO iniciado por IdP. ATP Cloud de Juniper no admite SSO iniciado por IdP. Le recomendamos que deje este campo en blanco. |
| Atributos de usuario y reclamaciones Parámetros que definen qué grupos de control de acceso asociar a ATP. Los grupos de control de acceso se asignan a los roles ATP de Juniper. |
|
| Identificador único de usuario |
(Opcional) Proporcione el identificador del nombre. Ejemplo: user.userprincipalname [nameid-format:emailAddress] |
| +Añadir nueva reclamación |
Defina las notificaciones que usa Azure AD para rellenar los tokens SAML emitidos en la nube ATP de Juniper. Para agregar una nueva notificación:
Véase el cuadro 7.
Nota:
Los atributos givenname y apellido son opcionales. En Configuración del proveedor SAML de SSO de ATP Cloud de Juniper, debe establecer un campo obligatorio denominado Atributo de nombre de usuario. Independientemente del valor de atributo que haya planeado establecer en ATP Cloud de Juniper, debe establecer el mismo valor de atributo en el IdP de Azure; de lo contrario, se producirá un error en el inicio de sesión único. Por ejemplo, si planea establecer el valor del atributo de nombre de usuario en la configuración del proveedor SAML de SSO de ATP Cloud de Juniper en dirección de correo electrónico, debe establecer el mismo nombre de atributo en el IdP de Azure con el valor de atributo como user.mail. |
| + Agregar una reclamación de grupo |
Defina las notificaciones de grupo que usa Azure AD para rellenar los tokens SAML emitidos en Juniper ATP Cloud. Para agregar una nueva notificación de grupo:
|
| Certificado de firma SAML |
|
| Estado |
Muestra el estado del certificado SAML usado por Azure AD para firmar tokens SAML emitidos para la aplicación. |
| Huella digital |
Muestra la huella digital del certificado SAML. |
| Expiración |
Muestra la fecha de caducidad del certificado SAML. |
| Correo electrónico de notificación |
Muestra la dirección de correo electrónico de notificación. |
| URL de metadatos de federación de aplicaciones |
Muestra la dirección URL de metadatos del IdP de Azure para SAML. |
| Certificado (Base64) |
(Opcional) Haga clic para descargar el certificado Base64. |
| Certificado (sin procesar) |
(Opcional) Haga clic para descargar el certificado sin procesar. |
| XML de metadatos de federación |
(Opcional) Haga clic para descargar el documento de metadatos de federación. |
| Algoritmo de firma | Determina el algoritmo de firma que se usa para firmar digitalmente la aserción y la respuesta SAML. Azure proporciona un algoritmo de firma RSA-SHA256 y RSA-SHA1. Puede establecer cualquiera de los algoritmos.
Nota:
RSA-SHA1 quedará obsoleto pronto, por lo tanto, le recomendamos que establezca el algoritmo RSA-SHA256. |
| Configurar la aplicación (Juniper ATP Cloud) |
|
| URL de inicio de sesión |
Muestra la dirección URL de inicio de sesión de Microsoft Azure. Será redirigido a la URL de inicio de sesión para la autenticación. Ejemplo: https://login.microsoftonline.com/ff08d407-69c4-4850-9af0-29034d31ab36/saml2 |
| Identificador de Azure AD |
Muestra el público objetivo de la aserción SAML. Es el identificador de entidad (un identificador único global) del IdP de Azure. Ejemplo: https://sts.windows.net/ff08d407-69c4-4850-9af0-29034d31ab36/ |
| URL de cierre de sesión |
Muestra la dirección URL de cierre de sesión para Microsoft Azure. Este campo aún no es compatible con Juniper ATP Cloud. |
| Nombre del atributo | Origen Descripción del valor del atributo | |
|---|---|---|
| Nombre de pila | usuario.nombredado | El atributo givenname se utilizará para asignar el apellido del usuario en ATP Cloud. |
| apellido | usuario.apellido | El atributo apellido se utilizará para asignar el apellido del usuario en ATP Cloud. |
| dirección de correo electrónico | usuario.mail | |
| El atributo emailaddress se utilizará para asignar la dirección de correo electrónico del usuario en ATP Cloud. |
Paso 2: Configurar las opciones de SSO en el portal web de Juniper ATP Cloud
Consulte Configurar opciones de SSO.
Paso 3: Activar la configuración de SSO
Para activar la configuración de SSO, inicie sesión en el portal ATP Cloud de Juniper, vaya a haga clic en Activar.
Paso 4: Probar la configuración de SSO
SSO iniciado por el proveedor de servicios (Juniper ATP Cloud): inicie sesión en el portal web de Juniper ATP Cloud con SSO. Si inicia sesión en el portal web de ATP Cloud de Juniper antes de autenticarse con IdP SSO, en función del dominio ATP Cloud, se le redirigirá al portal de IdP para su autenticación. Después de la autenticación con IdP, ha iniciado sesión en el portal web ATP Cloud de Juniper.
-
Proveedor de identidad: cuando inicia sesión en la cuenta de SSO de IdP, se proporciona una lista de aplicaciones que están integradas con IdP y puede acceder a cualquiera de las aplicaciones. Por ejemplo, si hace clic en la aplicación ATP Cloud de Juniper, se le dirigirá al portal web de ATP Cloud de Juniper.
Solucionar problemas de configuración de SSO
Utilice la siguiente información para solucionar errores y problemas al usar SAML 2.0 con ATP Cloud de Juniper.
- Reino
-
La opción de SSO se configura por dominio. Tanto los usuarios locales como los SAML pueden coexistir en un dominio. De forma predeterminada, el creador del dominio (administrador) es el usuario local.
-
Si SSO falla debido a una configuración incorrecta y el usuario de SSO no puede iniciar sesión, póngase en contacto con el creador del dominio (administrador), que tiene acceso de inicio de sesión local al dominio. El administrador puede iniciar sesión con la URL del portal de clientes de ATP Cloud y corregir la configuración de SSO para el dominio.
-
- Mapeo de roles
-
ATP Cloud de Juniper tiene los roles de "administrador", "operador" y "observador" establecidos como parte del caso de uso de creación de perfiles de usuario.
-
Para autenticar usuarios de ATP con IdP, debe tener al menos un grupo en IdP que defina a los usuarios de ATP, que eventualmente se asignarán a roles de ATP.
-
Los usuarios pueden crear un grupo de IdP para cada tipo de rol de ATP: 'admin', 'operador', 'observador' y asignar los roles adecuadamente durante la configuración del IdP.
-
Si el grupo de usuarios no coincide con la asignación en el IdP, se muestra un mensaje de error al usuario.
-
- Autenticación multifactor
-
Si el IdP proporciona su propia capacidad de autenticación escalonada, el usuario de SSO será redirigido al sitio de SSO para la autenticación escalonada. La autenticación multifactor en Juniper ATP Cloud está deshabilitada si está habilitado el inicio de sesión único.
-
Los usuarios locales del mismo reino pueden seguir usando la autenticación multifactor (MFA) de ATP.
-
- Contraseña
-
Los usuarios de SSO que hayan olvidado la contraseña deben iniciar sesión en el sitio del IdP para restablecerla. Cuando un usuario intenta realizar un inicio de sesión único proporcionando el nombre del dominio, el portal de ATP Cloud redirigirá al usuario al sitio del IdP para la autenticación. Si se produce un error en la autenticación de usuario en el sitio del IdP. a continuación, el usuario debe restablecer la contraseña desde el sitio del IdP.
-
La opción Olvidé mi contraseña en el portal ATP Cloud de Juniper es para los dominios que no están configurados con SSO.
-