Documentación de Oracle Cloud Infrastructure

Adición de una aplicación SAML

Cree una aplicación del Lenguaje de Marcado para Afirmaciones de Seguridad (SAML) y otórguela a los usuarios, para que puedan conectarse con conexión única (SSO) a las aplicaciones de SaaS que soportan SAML para SSO.

Antes de empezar:

Antes de crear la aplicación de SAML, todos los usuarios que necesiten conectarse mediante esta aplicación deben estar presentes en el proveedor de servicios (SP). Si es necesario, utilice el aprovisionamiento de SCIM para sincronizar los usuarios o grupos del proveedor de identidad (IdP) con el SP. Consulte Integración de aplicaciones personalizadas con IAM.

  1. En la página de lista Dominios, seleccione el dominio en el que desea realizar cambios. Si necesita ayuda para buscar la página de lista del dominio, consulte Lista de dominios de identidad.
  2. En la página de detalles, seleccione Aplicaciones integradas. Se muestra una lista de aplicaciones en el dominio.
  3. Seleccione Agregar aplicación.
  4. En la ventana Agregar aplicación, seleccione Aplicación SAML.
  5. Seleccione Iniciar flujo de trabajo.
  6. En la página Agregar aplicación SAML, proporcione valores para los siguientes campos:

    • En el campo Nombre, introduzca un nombre para la aplicación.

      Para aplicaciones con nombres largos, el nombre de la aplicación aparece truncado en la página Mis aplicaciones. Considere mantener los nombres de aplicación lo más cortos posible.

    • En el campo Descripción, introduzca 250 caracteres o menos para proporcionar una descripción de la aplicación.

    • Seleccione Cerrar (X) en la ventana de icono de aplicación para suprimir el icono del aplicación por defecto y, a continuación, agregue su propio icono para la aplicación.

    • Seleccione Agregar enlaces de aplicación para agregar enlaces asociados a la aplicación. Seleccione Agregar y aparecerá la ventana Agregar enlace a aplicación. Los enlaces de aplicación son servicios como Correo o Calendario ofrecidos por aplicaciones como Google u Office 365.

      En la ventana Agregar enlace de aplicación:

      1. Introduzca un Nombre para el Enlace de aplicación.

      2. En el campo Región de relé, introduzca la URL utilizada para acceder a la aplicación.

      3. Seleccione Cerrar (X) en la ventana de icono de aplicación para suprimir el icono del aplicación por defecto del enlace de aplicación y, a continuación, agregue su propio icono para la aplicación.

      4. Seleccione Visible si desea que la aplicación se muestre automáticamente en la página Mis aplicaciones de cada usuario.
        Nota

        Al seleccionar esta casilla de control, no se activa ni se desactiva SSO en la aplicación.

      5. Haga clic en Agregar.

      La información del enlace de aplicación aparecerá en la tabla de la sección Enlaces a aplicación.

      Para eliminar un enlace de aplicación, seleccione la fila y, a continuación, seleccione Eliminar.

      Nota

      Se produce un retraso (de unos segundos) entre la selección de Eliminar y que la aplicación deje de aparecer en la página Mis aplicaciones. La supresión del enlace de aplicación (y los permisos relacionados con esos enlaces de aplicación) es asíncrona. Espere unos segundos a que la tarea asíncrona elimine la aplicación y sus permisos antes Mis aplicaciones de nuevo.

    • En el campo Estado de Relé, introduzca un valor que se enviará al SP de SAML como el parámetro RelayState de SAML.

    • En el campo URL de conexión personalizada, especifique una URL de conexión personalizada. No obstante, si utiliza una página del enlace por defecto proporcionada por IAM, deje este campo en blanco.

    • En el campo Custom error URL (URL de error personalizada), introduzca la URL de las páginas de error a las que se debe redirigir a un usuario si se produce un fallo. Este campo es opcional. Sin embargo, si no se especifica, se utilizará la URL de la página de error específica del dominio. Si no está configurada ninguna de las URL de mensaje de error, el error se redirigirá a la página de errores de IAM (/ui/v1/error).

      Cuando un usuario intenta utilizar la autenticación social (por ejemplo de Google, Facebook, etc.) para conectarse a IAM, la URL del retorno de llamada se debe configurar en el campo URL del error personalizada. Los proveedores sociales necesitan esta URL de devolución de llamada para llamar a IAM> y enviar la respuesta tras la autenticación social. La URL de devolución de llamada proporcionada se utiliza para verificar si el usuario existe o no (en el caso de la primera conexión social) y mostrar un error si ha fallado la autenticación social.

    • En el campo URL de devolución de llamada de enlace social personalizada, introduzca la URL a las que IAM puede redirigir después de haber completado la vinculación de un usuario entre proveedores sociales e IAM>. Este campo es opcional.

      Cuando crea una aplicación personalizada mediante los SDK personalizados de IAM> y se integra con las conexiones sociales de IAM>, la aplicación personalizada debe tener la URL a través de la conexión social de enlace de llamada que se puede redirigir después de haber completado el enlace del usuario entre la red social e IAM.

  7. En las secciones Configuración de Visualización de la página Agregar aplicación SAML, realice las siguientes selecciones:

    • Active la casilla de control Mostrar en Mis aplicaciones para especificar que desea que la aplicación SAML se muestre en la página Mis aplicaciones.

      Si selecciona la casilla de control de Mostrar en Mis Aplicaciones en la aplicación, la aplicación será visible en la página Mis Aplicaciones, pero al seleccionar esta casilla de verificación no activa ni desactiva el inicio de sesión único en la aplicación.

      El indicador para activar o desactivar la SSO proviene de la plantilla de aplicación.

    • Seleccione la casilla de controlEl usuario puede solicitar acceso si desea que la aplicación se muestre en el catálogo. Esta opción permite a los usuarios finales solicitar acceso a la aplicación desde su página Mis aplicaciones seleccionando Agregar y, a partir de ahí, seleccionando la aplicación en el catálogo.

    Nota

    No olvide activar la aplicación para que los usuarios puedan solicitar acceso.
  8. Cuando Se crea la aplicación SAML desde cero en vez de crear una aplicación SAML preconfigurada a partir del Catálogo de aplicaciones, aparece la sección Autenticación y autorización. Por defecto, la casilla de control Forzar permisos como autorización está seleccionada. Esta casilla de verificación permite a los usuarios acceder solamente a las aplicaciones a las que ha asignado u otorgado acceso. Si esta casilla de verificación está seleccionada, IAM puede controlar la conexión a la aplicación SAML en función de los permisos otorgados a los usuarios y grupos. Si la casilla de control no esta seleccionada, cualquier usuario autenticado tiene acceso a la aplicación independientemente del estado del asignación.
  9. Seleccione Siguiente y configure el SSO para la aplicación SAML.
  10. En la sección General de la página Configurar conexión única, defina lo siguiente:

    • Identificador de Entidad: introduzca un nombre único global para una entidad SAML. El identificador de identidad suele ser la URL de un proveedor del servicio o un proveedor del servicio.

    • Se necesita confirmación de asunto del titulares de claves: active esta opción y, a continuación, introduzca el punto final en el proveedor del servicio donde el proveedor del identidad puede enviar afirmaciones de titular de clave de autenticación de SAML (HOK).

    • URL de Consumidor de Afirmaciones: introduzca la URL a la que el proveedor para la identidad SAML envía la afirmación de SAML. Esta URL debe comenzar por el protocolo HTTP o HTTPS.

      Como parte del soporte de conexión de varias regiones de OCI Identity, los clientes ahora pueden conectarse a sus aplicaciones incluso si la región principal no está disponible. Para activar esta capacidad, cuando los dominios de identidad de IAM actúan como proveedor de servicios, se incluye una URL del servicio de afirmación del consumidor (ACS) en la solicitud de autenticación SAML. Los proveedores de identidad externos (como Azure, Okta, Google y otros) utilizan esta URL de ACS para devolver la respuesta SAML a los dominios de identidad de IAM. Tenga en cuenta que esta función no es compatible actualmente con los proveedores de identidad (por ejemplo, Google Identity Provider) que realizan la validación personalizada de la URL de ACS por su parte.

    • Formato de Identificador de Nombre: seleccione el tipo de formato que desea utilizar para el identificador de Nombre. El proveedor de servicios y el proveedor de identidad utilizan este formato para identificar fácilmente un asunto durante su comunicación.

      Nota

      Si integra IAM con la aplicación MS SharePoint basada en la aplicación WS Fed 1.1, las siguientes opciones no están disponibles en el formato de Identificador de nombre: Persistente, Kerberos y Transitorio.

    • Valor de Identificador de Nombre: seleccione el valor de identificador de Nombre para identificar al usuario conectado. Las opciones disponibles son Nombre del usuario, la dirección de Correo electrónico principal del usuarios y Expresión. Al seleccionar la opción Expresión, introduzca una expresión de ruta de acceso como valor en el cuadro de texto. No hay límite de caracteres para el valor; sin embargo, hay reglas de validación que se realizan en el valor para cualquier carácter no válido que No se pueda asignar.

      A continuación, se muestran algunos ejemplos de expresiones de ruta de acceso:

      • Para enviar "home email" como valor del atributo de afirmación, utilice:
        $(user.emails[type eq "home"].value)
      • Para enviar el nombre de usuario concatenados con el apellido como atributo de afirmación, utilice:
        #concat($(user.name.givenName), $(user.name.familyName))
      • Para enviar un atributo a cuenta denominado SALARY como valor del atributo a afirmación, utilice:
        $(account.SALARY)
      • Para incluir un atributo department de la extensión del esquema personalizado, utilice:
        $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department)

    • Certificado de firma: cargue el certificado de firmas que se utiliza para cifrar la afirmación de SAML.

      Nota

      Algunos exploradores muestran las rutas de archivo precedidas por c:\fakepath\. Este comportamiento es una función de seguridad del explorador y no interrumpe el proceso de carga.
  11. Utilice la siguiente tabla para definir una configuración de SAML más detallada en la sección Configuraciones Adicionales.
    Opción Descripción
    SSO firmada

    Seleccione Afirmación para indicar que desea que la afirmación de SAML se firme. Seleccione Respuesta cuando desee que la respuesta para autenticación SAML esté firmada.
    Incluir certificado de firma en firma

    Seleccione la Casilla de Control para incluir el Certificado de Firma en la Firma; por ejemplo, cuando la aplicación necesita que el Certificado de Firma se envíe junto con la afirmación.
    Algoritmo de hash de firma

    Seleccione el tipo de algoritmo de firma que desea utilizar para firmar la afirmación o la respuesta, ya sea SHA-256 o SHA-1. SHA-256 genera un hash fijo de 256 bits. SHA-1 genera un valor hash de 160 bits conocido como resumen de mensaje.

    Nota: En un entorno con FIPS activado, defina el Algoritmo de hash de firma en SHA-256, el único algoritmo de hash soportado, para evitar errores durante el SSO.

    Activar desconexión única

    Seleccione esta opción para configurar la desconexión única de SAML. La desconexión única permite a un usuario desconectarse de todos los sitios que participan en una sesión federada casi simultáneamente. Esta casilla de verificación está seleccionada de forma predeterminada. Anule su selección si no desea activar la desconexión única.
    Enlace de desconexión

    Seleccione si la solicitud de desconexión se envía como REDIRECT (se transporta mediante mensajes de respuesta de código de estado HTTP 302) o como POST (se transporta en el contenido de control de formulario HTML, que utiliza un formato base-64). Este cuadro de lista solo aparece si selecciona la casilla de controlActivar desconexión única.
    URL de desconexión única

    Introduzca la ubicación (HTTP o HTTPS) a la que se envía la solicitud de desconexión. Este campo solo aparece si selecciona la casilla de controlActivar desconexión única.
    URL de respuesta de desconexión

    Introduzca la ubicación (HTTP o HTTPS) a la que se envía la respuesta de desconexión. Este campo solo aparece si selecciona la casilla de controlActivar desconexión única.
    Cifrar afirmación

    Seleccione esta opción si desea cifrar la afirmación y, a continuación, defina el algoritmo de cifrado que desea utilizar y cargue el certificado de cifrado.
    Certificado de cifrado

    Seleccione Cargar para cargar el certificado de cifrado que se utiliza para cifrar la afirmación de SAML. Este botón solo aparece si selecciona la casilla de controlCifrar afirmación.
    Algoritmo de cifrado

    Seleccione el algoritmo de cifrado que desea utilizar para cifrar la afirmación de SAML. Este cuadro de lista solo aparece si selecciona la casilla de controlCifrar afirmación.
    Algoritmo de Cifrado de Clave

    Seleccione el algoritmo de cifrado de clave que desea utilizar para cifrar la afirmación de SAML. Este cuadro de lista solo aparece si selecciona la casilla de controlCifrar afirmación.
  12. En la sección Configuración de atributo, agregue atributos específicos de usuario y específicos de grupo a la afirmación de SAML. Esto resulta útil si la aplicación utiliza atributos específicos del usuario o específicos del grupo y desea enviar esa información como parte de la afirmación de SAML.
  13. Seleccione Atributos adicionales y, a continuación, utilice la siguiente tabla para especificar el atributo de usuario que desea incluir. La información de usuario de la sentencia de atributo contiene una lista de atributos. Cada atributo incluye un nombre y una lista de valores (si hay varios valores de atributo). Cada valor incluye un valor y el formato del valor.
    Opción Descripción
    Nombre

    Introduzca el nombre del atributo de afirmación de SAML.
    Formato

    Seleccione el formato de este atributo Básico, Referencia de URI o Sin especificar.

    Nota: Al integrar IAM con una aplicación MS SharePoint basada en el protocolo WS Fed 1.1, el menú Formato se sustituye por Espacio. de nombres.
    Tipo
    Seleccione una de las siguientes opciones para especificar el valor del atributo de afirmación:

    • Atributo de usuario

      Seleccione esta opción para seleccionar una de la lista predefinida de atributos del usuario o atributos del grupo en el menú Valor como valor del atributo del afirmación. Para especificar atributos de grupo, seleccione Atributivo de usuario y, en el campo Valor, seleccione Afiliación de grupos.

    • Expresión/literal

      Seleccione esta opción si no se puede utilizar ninguno de los valores predefinidos en el menú Valor. Puede proporcionar una expresión en el recuadro de texto Valor para especificar el valor del atributo del afirmación de SAML.

      Para especificar atributos de grupo, seleccione Expresión/literal y especifique una expresión para recuperar los grupos.

      Ejemplo: la siguiente expresión especifica que el valor del atributo de SAML deben ser los nombres de todos los grupos a los que pertenece el usuario: $(user.groups[*].display).
    Valor de tipo

    Seleccione o introduzca el valor que desea enviar como parte de la afirmación según el Tipo que ha seleccionado.

    Cuando el tipo es Atributo del usuario, puede seleccionar una de la lista predefinida de atributos del usuario como valor del atributo del afirmación. Seleccione la opción Afiliación de grupos en el menú si desea enviar la afiliación de grupos de usuarios como valor del atributo, afirmación. Las columnas Condición y Valor aparecen cuando se selecciona Afiliación de grupos.

    Cuando el tipo es Expresión/literal, el campo de valor es un cuadro de texto y puede introducir cualquier expresión en ruta para especificar cuál debe ser el valor del atributo.

    Estos son algunos ejemplos de expresiones de ruta:

    • Para enviar una lista de valores literales como valor del atributo de afirmación, utilice ["value1", "value2", "value3"].

    • Para enviar el "home email" como valor del atributo de afirmación, utilice $(user.emails[type eq "home"].value).

    • Para enviar el nombre de usuario concatenado con el apellido como atributo de afirmación, utilice #concat($(user.name.givenName), $(user.name.familyName)).

    • Para enviar un atributo de cuenta denominado SALARY como valor del atributo de afirmación, utilice $(account.SALARY).

    • Para incluir un atributo department de la extensión de esquema personalizado, utilice $(user.urn:ietf:params:scim:schemas:idcs:extension:custom:User:department).

    • Para enviar un valor literal como valor de afirmación, utilice aLiteralValue.
    Condición

    Seleccione una condición en el menú para filtrar la afiliación a grupos. Este campo solo se activa cuando selecciona Atributo del usuario como Tipo y Afiliación de grupos como Valor del tipo. Los valores disponibles son: Igual por, Empieza por y Todos los grupos.
    Valor de condición

    Introduzca el valor de filtro que se utilizará al filtrar las afiliaciones a grupos.
  14. Haga clic en Terminar. La aplicación se agrega en estado desactivado. Para activar la aplicación, consulte Activación de aplicaciones.
  15. En la sección Configuración de SSO, para importar el certificado que firma IAM en su aplicación, seleccione Descargar certificado que firma para descargar primero el archivo de certificado en formato PEM. La aplicación SAML utiliza este certificado para verificar que la afirmación de SAML es válida.
  16. En la sección Configuración de SSO, para importar los metadatos del proveedor IAM en su aplicación, seleccione Descargar metadatos del proveedor de identidad para descargar primero el archivo de metadatos en formato XML. La aplicación SAML necesita esta información para que pueda confiar y procesar la afirmación de SAML generada por IAM como parte del proceso del federación. Esta información incluye, por ejemplo, soporte para enlace y perfil, puntos finales de conexión e información de certificado. Para obtener la emisión del certificado raíz de IAM, consulte Obtención del certificado de CA raíz.