Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación de inicio de sesión único SAML

Security Assertion Markup Language (SAML) es un marco para la autenticación y autorización entre un proveedor de servicios (SP) y un proveedor de identidad (IDP) donde la autenticación se intercambia mediante documentos XML firmados digitalmente. El proveedor de servicios acepta confiar en el proveedor de identidad para autenticar a los usuarios. A cambio, el proveedor de identidades genera una aserción de autenticación, que indica que se ha autenticado un usuario.

Mediante la función de autenticación SAML, puede integrar JSA fácilmente con su servidor de identidad corporativo para proporcionar inicio de sesión único y eliminar la necesidad de mantener usuarios locales de JSA . Los usuarios autenticados en su servidor de identidades pueden autenticarse automáticamente en JSA. No necesitan recordar contraseñas separadas ni escribir credenciales cada vez que acceden a JSA.

JSA es totalmente compatible con el perfil de SSO web SAML 2.0 como proveedor de servicios. Es compatible con el inicio de sesión único y el cierre de sesión único iniciados por SP e IDP.

Configuración de la autenticación SAML

Puede configurar JSA para que use el marco de inicio de sesión único del lenguaje de marcado para aserciones de seguridad (SAML) 2.0 para la autenticación y autorización de usuarios.

Para completar la configuración de SAML en JSA, debes generar un archivo de metadatos XML en el servidor del proveedor de identidades (SAML).

Siga estos pasos para configurar la autenticación SAML en el host JSA . Después de completar esta tarea, debe configurar el proveedor de identidades para que funcione con JSA.

  1. En la pestaña Administrador , haga clic en Autenticación.

  2. Haga clic en Configuración del módulo de autenticación.

  3. En la lista Módulo de autenticación, seleccione SAML 2.0.

  4. En la sección Configuración del proveedor de identidades, haga clic en Seleccionar archivo de metadatos, busque el archivo de metadatos XML creado por el proveedor de identidades y, a continuación, haga clic en Abrir.

  5. En la sección Configuración del proveedor de servicios , escriba la URL del ID de entidad .

  6. Seleccione un formato de ID de nombre:

    • No especificado (predeterminado)

    • Persistente

    • Dirección de correo electrónico

    • Nombre de sujeto del certificado X509

    • Nombre de dominio de Windows

    • Kerberos

    Nota:

    Use Sin especificar a menos que su proveedor de identidad no lo admita.

  7. Seleccione el protocolo de enlace de solicitudes:

    • HTTP-POST

    • Redireccionamiento HTTP

  8. Seleccione para Solicitar aserción firmada, a menos que el dispositivo al que se está conectando no admita aserciones firmadas.

    PRECAUCIÓN:

    Si selecciona No , se produce una comunicación no autenticada con el dispositivo SAML y no se recomienda porque permite que un atacante basado en red no autenticado acceda a recursos protegidos.

  9. Si desea que la aserción devuelta por el proveedor de identidades se cifre con un certificado JSA , seleccione Sí para Solicitar aserción cifrada.

    Nota:

    Habilitar el cifrado requiere la instalación de archivos de políticas JCE del SDK sin restricciones.

  10. Si desea firmar la solicitud de autenticación mediante un certificado JSA , seleccione en Firmar solicitud de autenticación.

  11. Si desea cerrar automáticamente la sesión de los usuarios en el proveedor de identidades cuando cierren sesión en JSA, seleccione Sí para Habilitar cierre de sesión único iniciado por el proveedor de servicios.

    Nota:

    Esta opción solo está disponible si su proveedor de identidad lo admite.

  12. Utilice uno de los métodos siguientes para configurar un certificado para firmar y descifrar:

    Tabla 1: Configurar un certificado para firmar y descifrar

    Opción

    Descripción

    Utilice el certificado de QRadar_SAML proporcionado

    Use los vínculos de la información sobre herramientas para descargar los archivos CA raíz, CA CRL raíz, CA intermedia y CRL CA intermedia del certificado, que deben cargarse en el almacén de certificados de confianza del servidor del proveedor de identidades.

    Agregar un nuevo certificado

    Haga clic en Agregar y siga las instrucciones de Importación de un nuevo certificado para firmar y descifrar para agregar un certificado personalizado.

    Renovar o actualizar un certificado existente

    Haga clic en Renovar para renovar el QRadar_SAML certificado si ha caducado o caduca pronto. Haga clic en Actualizar para actualizar un certificado personalizado que ha caducado o caduca pronto. Estas opciones aparecen en función del certificado que esté utilizando

  13. Seleccione uno de los siguientes métodos para autorizar a los usuarios:

    Tabla 2: Configurar un certificado para firmar y descifrar

    Opción

    Descripción

    Local

    Debe crear usuarios JSA locales y configurar sus roles y perfiles de seguridad en el Administrador de usuarios.

    Atributos de usuario

    JSA usa los atributos proporcionados en las aserciones SAML para crear usuarios locales automáticamente tras las solicitudes de autenticación. Los roles y perfiles de seguridad se asignan según el valor del atributo de rol y el atributo de perfil de seguridad. Estos atributos deben proporcionarse en las aserciones, y los roles y perfiles de seguridad ya deben existir en JSA. Los nombres de usuario, los roles de usuario y los perfiles de seguridad distinguen entre mayúsculas y minúsculas.

    Nota:

    Cuando se usa un rol con capacidades de administrador, el valor del atributo de perfil de seguridad debe ser Admin.
    Nota:

    En un entorno multiinquilino, también debe configurar el atributo Tenant para asignar usuarios a inquilinos. Si no se proporciona el atributo de inquilino, el usuario que se crea no se asigna a ningún inquilino.

  14. Haga clic en Guardar módulo de autenticación.

    El archivo de metadatos SAML de JSA se descarga automáticamente.

  15. En la pestaña Administrador , haga clic en Implementar cambios.

    Después de configurar JSA, debe configurar el proveedor de identidades con el archivo de metadatos XML guardado.

    Si seleccionó Autorización local, vaya a Administración de usuarios para crear usuarios locales. Si seleccionó Atributos de usuario, cree roles, perfiles de seguridad e inquilinos según sea necesario y, a continuación, implemente.

Instalación de archivos de políticas JCE del SDK sin restricciones

El uso de la tecnología de cifrado está controlado por la ley de los Estados Unidos. JSA Los kits para desarrolladores de soluciones (SDK) incluyen archivos de políticas de jurisdicción sólidos pero limitados. Para admitir aserciones SAML cifradas, con JSA, primero debe obtener los archivos de política de Java Cryptography Extension ( JCE) de jurisdicción ilimitada.

  1. Descargue los archivos de política de Java Cryptography Extension (JCE) sin restricciones.

  2. Descomprima el archivo comprimido.

    Seleccione los siguientes archivos JAR de la carpeta no restringida:

    • local_policy.jar

    • US_export_policy.jar

  3. Coloque los archivos en el siguiente directorio de la consola de JSA:

    /opt/ibm/java-x86_64-80/jre/lib/security/

  4. En la pestaña Administrador, haga clic en Implementar cambios.

  5. Haga clic en Configuración avanzada > reinicie el servidor web.

Importación de un nuevo certificado para firmar y descifrar

La función JSA SAML 2.0 tiene opciones para usar un certificado x509 distinto del proporcionado QRadar_SAML certificate para la firma y el cifrado.

  1. En Certificado para firma y cifrado, haga clic en Agregar.

  2. En la ventana Importar nuevo certificado, escriba un Nombre descriptivo para el certificado.

  3. Haga clic en Examinar para seleccionar un archivo de clave privada y, a continuación, haga clic en Abrir.

  4. Haga clic en Examinar para seleccionar un archivo de certificado y, a continuación, haga clic en Abrir.

  5. Si el certificado que se va a cargar tiene una CA intermedia, haga clic en Examinar para seleccionar el archivo de CA intermedia y, a continuación, haga clic en Abrir.

  6. Si la CA raíz del certificado no es una CA raíz común que esté preinstalada con el sistema operativo, haga clic en Examinar para seleccionar el archivo de CA raíz y, a continuación, haga clic en Abrir.

  7. Haga clic en Cargar para cargar el certificado.

Configurar SAML con Servicios de federación de Microsoft Active Directory

Después de configurar SAML en JSA, puedes configurar el proveedor de identidades mediante el archivo de metadatos XML que creaste durante ese proceso. En este ejemplo se incluyen instrucciones para configurar Servicios de federación de Microsoft Active Directory (AD FS) para comunicarse con JSA mediante el marco de inicio de sesión único SAML 2.0.

Para configurar el servidor de AD FS, primero debe configurar SAML en JSA. A continuación, copie el archivo de metadatos XML SAML de JSA que creó durante ese proceso en una ubicación accesible para el servidor de AD FS.

  1. En la consola de administración de AD FS, seleccione la carpeta Relaciones de confianza para usuario autenticado .

  2. En la barra lateral Acciones, haga clic en Confianza para usuario autenticado estándar y haga clic en Iniciar. Se abrirá el asistente Agregar confianza para usuario autenticado .

  3. En la ventana Seleccionar origen de datos, seleccione Importar datos sobre el usuario de confianza desde un archivo, busque el archivo de metadatos XML SAML de JSA y haga clic en Abrir.

  4. Haga clic en Siguiente.

  5. Escriba un Nombre para mostrar y agregue las notas relevantes y, a continuación, haga clic en Siguiente.

  6. Seleccione una política de control de acceso y haga clic en Siguiente.

  7. Configure las opciones adicionales que necesite y haga clic en Siguiente.

  8. Haga clic en Cerrar.

  9. En la carpeta Confianzas para usuario autenticado , seleccione la nueva confianza que ha creado y, a continuación, haga clic en Editar directiva de emisión de notificaciones.

  10. Haga clic en Agregar regla.

  11. Seleccione Enviar atributos LDAP como notificaciones en el menú Plantilla de regla de notificación y, a continuación, haga clic en Siguiente.

  12. Escriba un Nombre de regla de notificación y seleccione el almacén de atributos.

  13. Seleccione los atributos que se enviarán en la aserción, asigne al Tipo de notificación saliente adecuado y haga clic en Finalizar.

  14. Haga clic en Agregar regla.

  15. Seleccione Transformar una reclamación entrante en el menú Plantilla de regla de reclamación y, a continuación, haga clic en Siguiente.

  16. Configure las siguientes opciones:

    • Nombre de la regla de reclamación

    • Tipo de notificación entrante: valor de uso UPN

    • Tipo de notificación saliente como NameID

    • Formato NameID saliente

  17. Seleccione Pasar por todos los valores de notificación y, a continuación, haga clic en Finalizar.

  18. Si configuró JSA para usar el certificado de QRadar_SAML proporcionado para SAML, copie los archivos de CA raíz, CA intermedia y CRL descargados anteriormente en un directorio del servidor Windows. Luego abra una ventana de línea de comandos como administrador en el sistema operativo Windows y escriba los siguientes comandos:

    Los archivos se encuentran en / opt/qradar/ca/www.

Solución de problemas de autenticación SAML

Utilice la siguiente información para solucionar errores y problemas al usar SAML 2.0 con JSA.

Error de inicio o cierre de sesión

Cuando falla el inicio de sesión único o el cierre de sesión único, asegúrese de que los metadatos SAML de JSA que cargó en el proveedor de identidades coincidan con los metadatos implementados más recientes en https://<yourjsaserverhostname>/console/SAMLMetadata. Además, asegúrese de haber cargado los archivos CA raíz, CA CRL raíz, CA intermedia y CA CRL intermedia del certificado seleccionado en la ubicación correcta de los almacenes de certificados del servidor IDP. Cuando se utiliza el certificado proporcionado QRadar_SAML , puede descargar estos archivos en:

Nota:

Si está utilizando el certificado QRadar_SAML proporcionado, los pasos anteriores son necesarios después de restaurar JSA desde una copia de seguridad.

Cuenta no autorizada

Algunos problemas de configuración pueden producir este error:

This account is not authorized to access JSA. Logout from your SAML identity provider and use an authorized account to login.

Si usas la autorización local, asegúrate de que el NameID de la aserción SAML coincida con un nombre de usuario JSA existente y de que el usuario esté implementado.

Si utiliza la autorización de atributos de usuario , asegúrese de que la aserción SAML contenga el atributo de rol configurado y el atributo de perfil de seguridad con valores que coincidan con un rol implementado existente y un perfil de seguridad en JSA. Cuando se usa un rol con capacidades de administrador , el valor del atributo de perfil de seguridad debe ser Admin. Si la aserción contiene un atributo de inquilino en un entorno de multiinquilino, asegúrese de que el valor del atributo coincida con un inquilino existente en JSA.

Archivos de registro

Puede diagnosticar muchos otros problemas mediante los registros del servidor del proveedor de identidades y el registro /var/log/ qradar.error.

Restaurar el inicio de sesión del sistema para la investigación

Para investigar problemas con SAML 2.0, puedes restaurar JSA para que use el inicio de sesión predeterminado del sistema.

Copie el contenido de /opt/qradar/conf/templates/login.conf en /opt/qradar/conf/ login.conf

Como alternativa, edite el archivo / opt/qradar/conf/login.conf y cambie

ModuleClass=com.q1labs.uiframeworks.auth.configuration.SAMLLoginModule

Para

ModuleClass=com.q1labs.uiframeworks.auth.configuration.LocalPasswordLoginConfiguration

Borre la memoria caché del navegador e inicie sesión como usuario administrador. Después de completar la investigación, vuelva a cambiar el atributo y SAMLLoginModule borre la memoria caché del navegador nuevamente.

No se puede acceder a la consola de JSA después de iniciar sesión con un proveedor de identidades

Asegúrese de que el servidor DNS local pueda resolver el nombre de host de la consola de JSA . Además, asegúrese de que el equipo pueda acceder a la consola JSA utilizando el nombre de host.

Errores de inicio o cierre de sesión en el servidor IDP

Compruebe los registros del servidor IDP para determinar si los errores se deben a errores en las comprobaciones de revocación de CRL. Si es así, importe las CRL del certificado de QRadar_SAML al servidor IDP o asegúrese de que el servidor IDP pueda comunicarse con la consola de JSA mediante una conexión HTTP.

El certificado del proveedor de identidad ha caducado

Cuando el certificado del archivo de metadatos de proveedores de identidades ha caducado, no puede iniciar sesión en JSA y aparece el siguiente error en el archivo / var/log/qradar.error :

com.q1labs.uiframeworks.auth.saml.metadata.DefaultMetadataServiceImpl: [ERROR] NotAfter: <date> java.security.cert.CertificateExpiredException: NotAfter:

Para resolver este problema, pida a su proveedor de identidades que actualice el certificado en el archivo de metadatos y, a continuación, vuelva a configurar SAML en JSA para usar el nuevo archivo de metadatos IDP.

QRadar_SAML certificado ha caducado

Se muestra una notificación del sistema JSA cuando el certificado QRadar_SAML está a punto de caducar.

Antes de que caduque el certificado, debe renovarlo.

  1. En la pestaña Administrador , haga clic en Autenticación.

  2. Haga clic en Configuración del módulo de autenticación.

  3. En la lista Módulo de autenticación, seleccione SAML 2.0.

  4. Haga clic en Renovar para renovar el certificado QRadar_SAML.

  5. Haga clic en Guardar módulo de autenticación.

    El archivo de metadatos SAML de JSA se descarga automáticamente.

  6. Haga clic en los vínculos de la información sobre herramientas para descargar el certificado de CA raíz JSA y CA intermedia, así como los archivos CRL.

  7. En la pestaña Administrador , haga clic en Implementar cambios.

  8. Envíe los siguientes archivos al servidor IDP para implementar los cambios.

    • Archivo de metadatos JSA

    • Certificado de CA raíz JSA

    • Certificado de CA intermedia JSA

    • CRL Archivos

El certificado de terceros ha caducado

No es necesario utilizar el certificado QRadar_SAML que se proporciona con JSA; Puede utilizar su propio certificado de terceros. Cuando el certificado está a punto de caducar, se muestra una notificación del sistema JSA.

Antes de que caduque el certificado de terceros, debe actualizar el certificado existente o agregar uno nuevo.

  1. Haga clic en Configuración del módulo de autenticación.

  2. En la lista Módulo de autenticación, seleccione SAML 2.0.

  3. Haga clic en Agregar o actualizar.

  4. Haga clic en Guardar módulo de autenticación.

    El archivo de metadatos SAML de JSA se descarga automáticamente.

  5. Haga clic en los vínculos de la información sobre herramientas para descargar el certificado de CA raíz JSA y CA intermedia, así como los archivos CRL.

  6. En la pestaña Administrador , haga clic en Implementar cambios.

  7. Envíe los siguientes archivos al servidor IDP para implementar los cambios.

    • Archivo de metadatos JSA

    • Certificado de CA raíz JSA

    • Certificado de CA intermedia JSA

    • CRL Archivos

Documentación relacionada