Configuración de Identity Federation
Para configurar un proveedor de identidad en Private Cloud Appliance, asegúrese de que tiene su archivo de metadatos y de que se han verificado los requisitos del certificado de CA. Agregue las asignaciones de grupo necesarias para activar la autenticación de usuarios federados.
Siga las instrucciones paso a paso de esta sección para gestionar los proveedores de identidad y sus asignaciones de grupo.
Gestión de proveedores de identidad
Adición de Active Directory como proveedor de identidad
-
Conéctese a la interfaz de usuario web de servicio.
-
Abra el menú de navegación y haga clic en Proveedor de identidad.
-
En la página Identity Providers, haga clic en Create Identity Provider.
-
En la página Create an Identity Provider, proporcione la siguiente información:
-
Nombre mostrado
Nombre que ven los usuarios federados al seleccionar el proveedor de identidad que se va a utilizar para conectarse a la interfaz de usuario web de servicio. Este nombre debe ser único en todos los proveedores de identidad y no se puede cambiar.
-
Descripción
Descripción fácil de recordar del proveedor de identidad.
-
Contextos de autenticación
Haga clic en Agregar referencia de clase y seleccione un contexto de autenticación de la lista.
Cuando se especifican uno o más valores, Private Cloud Appliance (la parte de confianza) espera de que el proveedor para la identidad utilice uno de los mecanismos para la autenticación especificados al autenticar el usuario. La respuesta SAML devuelta del proveedor de identidad debe contener una sentencia de autenticación con esa referencia en la clase del contexto. Si el contexto para la autentificación de respuesta de SAML no coincide con lo especificado aquí, el servicio de autentificación de Private Cloud Appliance rechaza la respuesta de SAML con un 400.
-
Cifrar afirmación (opcional)
Cuando está activado, el servicio de autorización espera afirmaciones cifradas del proveedor de identidad. Solo el servicio de autorización puede descifrar la afirmación. Cuando no está activado, el servicio de autorización espera que los tokens SAML no estén cifrados, pero protegidos, por SSL.
-
Forzar autenticación (opcional)
Cuando está activada, siempre se pide a los usuarios que se autentiquen en su proveedor de identidad cuando el servicio de autorización los redirige. Cuando no está activada, no se pide a los usuarios que vuelvan a autenticarse si ya tienen una sesión de conexión activa con el proveedor de identidad.
-
URL de metadatos
Introduzca la URL del documento
FederationMetadata.xmldel proveedor de identidad.Por defecto, el archivo de metadatos para ADFS se encuentra en
https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.
-
-
Haga clic en Crear Proveedor de Identidad.
Al nuevo proveedor de identidad se le asigna un OCID y se muestra en la página Proveedores de Identidad
Después de agregar el proveedor de identidad, debe configurar las asignaciones de grupo entre Private Cloud Appliance y Active Directory. Consulte Gestión de asignaciones de grupo para un proveedor de identidad.
Actualización de un proveedor de identidad
-
Abra el menú de navegación y haga clic en los proveedores de identidad.
Se muestra una lista de los proveedores para la identidad.
-
Para el proveedor de identidad que desea actualizar, haga clic en el icono Acciones (tres puntos) y, por último, haga clic en Editar.
-
Cambie cualquiera de la siguiente información. Sin embargo, tenga en cuenta que cambiar esta información puede afectar a la federación.
-
Descripción
-
Contextos de autenticación
Agregar o suprimir una referencia de clase.
-
Cifrar afirmación
Active o desactive las afirmaciones cifradas del proveedor de identidad.
-
Forzar Autenticación
Active o desactive la autenticación de redireccionamiento del proveedor de identidad.
-
URL de metadatos
Introduzca la URL de un nuevo documento FederationMetadata.xml del proveedor de identidad.
-
-
Haga clic en Actualizar proveedor de identidad.
Visualización de Proveedores de Identidad y Detalles de Configuración
La página de detalles del proveedor de identidad muestra información general, como contextos de autenticación. También proporciona la configuración del proveedor de identidad, que incluye la URL de redirección. En esta página, también puede editar el proveedor de identidad y gestionar las asignaciones de grupo.
-
Abra el menú de navegación y haga clic en los proveedores de identidad.
Se muestra una lista de los proveedores para la identidad.
-
Para el proveedor de identidad cuyos detalles desea ver, haga clic en el icono Acciones (tres puntos) y, a continuación, haga clic en Ver detalles.
Se muestra la página de detalles de proveedores de identidad.
Supresión de un Proveedor de Identidad
Si desea eliminar la opción para que los usuarios federados se conecten a Private Cloud Appliance, debe suprimir el proveedor de identidad, que también suprime todas las asignaciones de grupo asociadas.
-
Abra el menú de navegación, haga clic en Identity y, a continuación, haga clic en Federation.
Se muestra una lista de los proveedores para la identidad.
-
Para el proveedor de identidad que desea suprimir, haga clic en el icono Acciones (tres puntos) y, luego, haga clic en Suprimir.
-
En la petición de datos Suprimir proveedor de identidad, haga clic en Confirmar.
Gestión de Asignaciones de Grupo para un Proveedor de Identidad
Al trabajar con asignaciones de grupo, recuerde lo siguiente:
-
Un grupo de Active Directory determinado se asigna a un único grupo de Private Cloud Appliance.
-
Los nombres de grupo de Private Cloud Appliance no deben contener espacios y no se pueden cambiar posteriormente. Los caracteres permitidos son letras, números, guiones, puntos, guiones bajos y signos más (+).
-
No se puede actualizar una asignación de grupo, pero puede suprimir la asignación y agregar una nueva.
Para que los usuarios federados puedan conectarse a la interfaz de usuario web de servicio, debe proporcionarles la URL. Asegúrese de que ha configurado todas las asignaciones de grupo necesarias; de lo contrario, un usuario federado no podrá realizar ninguna operación en Private Cloud Appliance.
Creación de una asignación de grupo
Realice los siguientes pasos para cada grupo de proveedores de identidad que desee asignar:
-
Abra el menú de navegación y haga clic en IDP Group Mappings.
Se muestra una lista de las asignaciones de grupos de proveedores de identidad.
-
Haga clic en Crear Asignación de Grupos.
Se muestra el formulario de asignación de grupo de IDP
-
En el campo Nombre, introduzca un nombre para la asignación de grupos de IDP.
-
En el campo Nombre de grupo de IDP, introduzca el nombre exacto del grupo de proveedores de identidad.
-
En la lista Nombre de grupo de administradores, seleccione el grupo de Private Cloud Appliance que desea asignar al grupo de proveedores de identidad.
-
Opcionalmente, introduzca una descripción para el grupo.
-
Haga clic en Crear asignación de grupo del proveedor de identidad.
La nueva asignación de grupo se muestra en la lista.
Actualización de una asignación de grupo
-
Abra el menú de navegación y haga clic en IDP Group Mappings.
Se muestra una lista de las asignaciones de grupos de proveedores de identidad.
-
Para la asignación de grupo que desea actualizar, haga clic en el icono Acciones (tres puntos) y, luego, haga clic en Editar.
Se muestra el formulario de asignación de grupo de IDP.
-
Modifique cualquiera de los siguientes campos. Sin embargo, tenga en cuenta que cambiar esta información puede afectar a la federación.
-
Nombre
-
Nombre de grupo de IDP
-
Nombre del grupo de administradores
-
Descripción
-
-
Haga clic en Modificar asignación de grupo de IDP.
La asignación de grupo actualizada se muestra en la lista.
Supresión de una asignación de grupo
-
Abra el menú de navegación y haga clic en IDP Group Mappings.
Se muestra una lista de las asignaciones de grupos de proveedores de identidad.
-
Para la asignación de grupo que desea suprimir, haga clic en el icono Acciones (tres puntos) y, a continuación, haga clic en Suprimir.
-
En la petición de datos Eliminar asignación de grupo de IDP, haga clic en Confirmar.