Configuración del inicio de sesión único de SAML en el proveedor de identidades

Editar en línea

Utilice SAML para el inicio de sesión único, lo que permite a las aplicaciones verificar la identidad de sus usuarios basándose en la autenticación realizada por Verify. Los usuarios son redirigidos a Verify para iniciar sesión. Verify verifica la identidad de los usuarios, envía la información mediante una aserción de « SAML » y confirma con el proveedor del servicio que los usuarios están autorizados a acceder al recurso y utilizarlo.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Abra al menos dos ventanas de navegador para completar la configuración. Uno para la Verify consola de administración y otro para la consola de administración de la aplicación de destino.
    • Inicie sesión en la IBM® Verify consola de administración como administrador.
    • Inicie la sesión en la consola de administración de la aplicación de destino con la cuenta de administrador.
  • Debe configurar la información básica de la instancia de la aplicación en la pestaña «General ». Consulte la sección «Configuración de los datos básicos de la aplicación ».

Acerca de esta tarea

Verify puede actuar como proveedor de identidad de inicio de sesión único o como proveedor de servicios. En esta tarea, Verify es el proveedor de identidad, y la aplicación de destino es el proveedor de servicios.

Si estás utilizando una plantilla de aplicación personalizada, consulta la sección «Aplicación personalizada» antes de continuar.

Configura Verify y el proveedor de servicios para que se comuniquen entre sí. Para habilitar el inicio de sesión único de SAML, debe proporcionar:
  • Verify junto con ciertos datos del proveedor del servicio.
  • El proveedor de servicios con determinados datos de Verify.

Si el proveedor de servicios firma su solicitud de autenticación SAML, primero debe añadir el certificado del firmante en la página Seguridad > Certificados. Consulte la sección «Gestión de certificados ».

Si el proveedor de servicios necesita otros atributos de la aserción « SAML », además de los atributos integrados, añade las fuentes de atributos necesarias en la página «Directorio > Atributos ». Consulte «Gestión de atributos ».

/v1.0/saml/federations/{federationName}Nota: Los administradores de inquilinos pueden ver y actualizar algunas configuraciones de federación de SAML a través del nuevo punto final de la API, con manageFederations los permisos de API y readFederations .
Las propiedades de configuración que se utilizan para los orígenes de identidad son:
clockSkew
La tolerancia en segundos cuando se valida la aserción SAML recibida NotBefore y NotOnOrAfter.
messageValidTime
La tolerancia en segundos cuando se valida el mensaje SAML recibido IssueInstant.
skipTargetUrlValidation
Indica si se debe omitir una validación de targetURL en SAML.

El valor predeterminado es false.

allowedTargetUrls
Indica los URL de destino permitidos para SAML.

El valor de esta propiedad de configuración es una matriz de series. Cada elemento de la matriz es un URL. El nombre de host del URL admite caracteres comodín. Por ejemplo, *.ibmcloud.com.

El valor está vacío de forma predeterminada.

signatureAlgorithm
Para la firma, un algoritmo firma digitalmente el mensaje SAML AuthnRequest; los valores admitidos son: RSA-SHA1, RSA-SHA256, RSA-SHA512, ECDSA-SHA256, ECDSA-SHA384, ECDSA-SHA512. Si está vacío, se utiliza el valor predeterminado RSA-SHA256.
El valor está vacío de forma predeterminada.
signingKeyLabel
En lo que respecta a la firma, este certificado se utiliza para firmar el dominio SAML AuthnRequest durante el inicio de sesión único. La selección predeterminada hace referencia al certificado personal predeterminado que has configurado en Seguridad > Certificados > Certificados personales.
Se ha seleccionado el certificado personal predeterminado.
decryptionKeyLabel
Utilice este certificado para descifrar el mensaje de respuesta « SAML » recibido si contiene elementos cifrados durante el inicio de sesión único. Los certificados personales predeterminados que has configurado en Seguridad > Certificados > Certificados personales.
Se ha seleccionado el certificado personal predeterminado.
Las propiedades de configuración que se utilizan para las aplicaciones son:
assertionSettings.assertionValidAfter
La tolerancia en segundos que se añade a NotOnOrAfter cuando se emite la aserción SAML.
assertionSettings.assertionValidBefore
La tolerancia en segundos que se añade a NotBefore cuando se emite la aserción SAML.
messageValidTime
La tolerancia en segundos cuando se valida el mensaje SAML recibido IssueInstant.
Las propiedades de configuración que se utilizan para los orígenes de identidad y las aplicaciones son:
crlEnabled
Comprueba la lista de revocación de certificados. La comprobación se realiza para todas las funciones que utilizan un certificado externo. Si la configuración no requiere la comprobación de lista de revocación de certificados, puede inhabilitarla. Por ejemplo, si utiliza una entidad emisora de certificados interna, es posible que prefiera inhabilitar la comprobación de lista de revocación de certificados. La cabecera HTTPcrlEnabledEl valor predeterminado de la propiedad estrue.
keySelectionCriteria
Especifique qué clave o certificado se va a utilizar para firmar, validar, cifrar o descifrar varios mensajes. Si hay varias claves o certificados con el mismo SubjectDN nombre que la clave o el certificado con el alias especificado, esta configuración determina cuál se debe utilizar. Utilice uno de los métodos de selección siguientes:
only.alias
Seleccione la clave o el certificado con el alias especificado. Este método es el predeterminado.
longest.lifetime
Para la firma, se utiliza una clave válida con el tiempo de vida más largo disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más larga hasta que la validación sea correcta.
shortest.lifetime
Para la firma, se utiliza una clave válida con el tiempo de vida más corto disponible. Para la validación, las claves que tienen el mismo SubjectDN se ordenan según la disponibilidad de tiempo de vida. Las claves se intentan secuencialmente empezando por la clave que tiene la disponibilidad de tiempo de vida más corta hasta que la validación sea correcta.
  • Tipo de datos: String
  • Ejemplo: only.alias

Procedimiento

  1. Seleccione si desea utilizar metadatos para configurar la aplicación.
    Tabla 1. Opciones de metadatos
    Información Descripción
    Utilizar metadatos Especifica si se deben utilizar metadatos para configurar la aplicación. El valor predeterminado es «true» al crear una aplicación y «false» al actualizar una aplicación existente.
    Tipo de importación Especifica el tipo de metadatos. La fuente puede ser un archivo de metadatos o una página web ( URL ) de acceso público.
    Archivo de metadatos El botón para cargar archivos aparece cuando se selecciona «Importar metadatos desde un archivo» como tipo de importación. Haz clic aquí para subir un archivo de metadatos.
    URL de metadatos El campo « URL » aparece cuando se selecciona «Importar metadatos desde URL » como tipo de importación. Introduce la dirección URL desde la que deseas descargar el archivo de metadatos.
    Nota: Cuando la opción «Usar metadatos» está marcada, es posible que algunos de los campos de las tablas siguientes estén ocultos.
  2. Identifique el proveedor de servicios y las URL necesarias para establecer el inicio de sesión único entre los proveedores.
    Tabla 2. ID y URL
    Información Descripciones
    ID de proveedor

    VerifyEs el identificador del proveedor de la aplicación de destino el que identifica de forma única a la aplicación de destino.

    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:
    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino.

      Consulte la sección «Configuración del inicio de sesión único» para obtener instrucciones sobre cómo acceder a la página.

    • En los metadatos del proveedor de servicios.
    • En la documentación sobre la configuración del inicio de sesión único de « SAML » de la aplicación de destino.
    • Del equipo de soporte de la aplicación de destino.
    El valor depende de la aplicación de terceros. Puede ser:
    • Estático o uno de estos formatos:
      • https://{@domainName}.<application>.com
      • {@domainName}.<application>.com

      donde {@nombreDominio} corresponde al único componente dinámico del ID del proveedor y se sustituye automáticamente en el tiempo de ejecución por el valor especificado en el separador General.

      Importante: Si actualizas el ID del proveedor y, a continuación, actualizas el nombre de dominio en la pestaña «General», el valor del ID del proveedor se restablecerá a su valor predeterminado en función del nombre de dominio especificado.
    • Dinámico

      El ID de proveedor tiene varios componentes dinámicos. Como tales, el valor de campo no se rellena automáticamente.

    Nota: Solo se admiten caracteres ASCII. Para obtener más información, consulte https://ascii.cl/.
    Utilizar ID exclusivo Este recuadro de selección está disponible en algunas aplicaciones.

    Crea un identificador exclusivo para que no se produzcan conflictos de ID de proveedor duplicados en la aplicación.
    URL del servicio de consumidor de aserciones (HTTP-POST)

    Especifica el punto final del proveedor de servicios que recibe la respuesta de autenticación de SAML.

    El proveedor de identidad redirige la respuesta de autenticación de SAML a esta dirección: URL. Este punto final recibe y procesa la afirmación « SAML ».

    El proveedor de servicios puede indicar su « URL » preferido al enviar su solicitud de autenticación « SAML ».

    El valor depende de la aplicación de terceros. Puede ser:
    • Estático o uno de estos formatos:
      • https://{@domainName}.<application>.com/saml/consume
      • https://{@domainName}.<application>.com/saml/callback

      donde {@nombreDominio} corresponde al único componente dinámico del URL de servicio consumidor de aserciones y se sustituye automáticamente en el tiempo de ejecución por el valor especificado en el separador General.

    • Dinámico

      El URL de servicio consumidor de aserciones tiene varios componentes dinámicos. Como tales, el valor de campo no se rellena automáticamente.

    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:
    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino.

      Consulte la sección «Configuración del inicio de sesión único» para obtener instrucciones sobre cómo acceder a la página.

    • En los metadatos del proveedor de servicios.
    • En la documentación sobre la configuración del inicio de sesión único de « SAML » de la aplicación de destino.
    • Del equipo de soporte de la aplicación de destino.
    Nota:

    Para aplicaciones personalizadas, puede tener varios URL del servicio del consumidor de aserciones. Puede especificar hasta 1500 URL. Puede modificar el valor de índice del URL, pero cada valor debe ser exclusivo. También puede seleccionar el URL que desea tener como URL predeterminado.
    URL de gestión de identificadores de nombre (HTTP-POST)
    Nota: Esta opción solo está disponible en una plantilla de aplicación personalizada configurada con Persistent el formato « NameID » y cuyo identificador de nombre sea Not Specified«».

    Especifica el punto final en el proveedor de servicios que recibe la solicitud SAML Manage Name ID y la respuesta SAML Manage Name ID .

    El proveedor de identidades redirige la solicitud SAML Manage Name ID y la respuesta SAML Manage Name ID a este URL. Este punto final recibe y procesa la solicitud SAML Manage Name ID y la respuesta SAML Manage Name ID.

    El valor depende de la aplicación de terceros.

    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:

    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino. Consulte las instrucciones de Configuración de inicio de sesión único de la aplicación para obtener información sobre cómo acceder a la página.

    • En los metadatos del proveedor de servicios.
    • En la documentación de configuración del inicio de sesión único de SAML de la aplicación de destino.
    • Del equipo de soporte de la aplicación de destino.
    Utilizar inicio de sesión único iniciado por el proveedor de identidades
    Nota: Esta opción solo está disponible en una plantilla de aplicación personalizada.

    Seleccione esta opción si el proveedor de servicios da soporte al inicio de sesión iniciado por el proveedor de identidades. En este escenario, los usuarios inician la sesión directamente en el sitio del proveedor de identidades y luego acceden al proveedor de servicios.

    Si está habilitado, se crea automáticamente el inicio de sesión único iniciado por el proveedor de identidad URL. Es el servidor de autenticación ( URL ) el que inicia el flujo de SSO desde el proveedor de identidades. No es necesario que facilites la dirección de inicio de sesión único (SSO) del proveedor de servicios : URL.

    Si esta opción no está activada, se debe indicar el SSO del proveedor de servicios URL. Es el servidor de autenticación ( URL ) el que inicia el flujo de SSO desde el proveedor de servicios.
    URL de destino

    Es la página de destino del usuario en la aplicación de destino, donde se redirige al usuario después de iniciar la sesión.

    No se refiere necesariamente a la consola de administración de la aplicación de destino. Puede ser cualquiera de los recursos protegidos del proveedor de servicios que es el destino final de un inicio de sesión único.

    Este campo solamente se visualiza si se dan estas condiciones:
    • La aplicación de destino da soporte al estado de relé.
    • La aplicación de destino da soporte al inicio de sesión único iniciado por el proveedor de identidades. Este URL solo se utiliza cuando el inicio de sesión único lo inicia el proveedor de identidades SAML 2.0.
    • El valor de destino « URL » es dinámico o tiene más de un valor posible.
    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:
    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino.

      Consulte la sección «Configuración del inicio de sesión único» para obtener instrucciones sobre cómo acceder a la página.

    • Desde el sitio web de la aplicación de destino.
      1. Vaya a la página de destino del destino.
      2. Copie y pegue el URL en este campo.
    URL de inicio de sesión único (SSO) del Proveedor de servicios

    Es el punto final del proveedor de servicios el que inicia la solicitud de autenticación SAML desde el navegador del usuario y devuelve una respuesta de autenticación SAML para verificar la identidad del usuario.

    Este campo solamente se visualiza si se dan estas condiciones:
    • La aplicación de destino da soporte al inicio de sesión único iniciado por el proveedor de servicios.
    • El URL de inicio de sesión único (SSO) del Proveedor de servicios es dinámico o tiene más de un valor posible.
    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:
    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino.

      Consulte la sección «Configuración del inicio de sesión único» para obtener instrucciones sobre cómo acceder a la página.

    • En la documentación sobre la configuración del inicio de sesión único de « SAML » de la aplicación de destino.
    • Del equipo de soporte de la aplicación de destino.
  3. Si el proveedor de servicios da soporte al cierre de sesión único, configure los valores de cierre de sesión único.
    Nota: Si alguna aplicación de la sesión actual no responde a una solicitud de cierre de sesión enviada desde IBM Verify, el cierre de sesión único se detendrá en esa aplicación. Para reanudar el cierre de sesión único de la siguiente aplicación, el usuario debe volver a realizar el cierre de sesión único.
    Tabla 3. Configuración de cierre de sesión único
    Información Descripción
    URL de cierre de sesión único (HTTP-POST)

    Especifica el punto final del proveedor de servicios que recibe la solicitud de cierre de sesión SAML y la respuesta de cierre de sesión SAML.

    El proveedor de identidad redirige la solicitud de cierre de sesión de SAML y la respuesta de cierre de sesión de SAML a esta dirección: URL. Este punto final recibe y procesa la solicitud de cierre de sesión SAML y la respuesta de cierre de sesión SAML.

    El valor depende de la aplicación de terceros.

    Puede obtener esta información de la aplicación de terceros. En función de la aplicación de destino, esta información puede provenir de cualquiera de los siguientes orígenes aplicables:

    • En la página Configuración de inicio de sesión único de la consola de administración de la aplicación de destino. Consulte las instrucciones de configuración del inicio de sesión único de la aplicación para obtener información sobre cómo acceder a la página.
    • En los metadatos del proveedor de servicios.
    • En la documentación de configuración del inicio de sesión único de SAML de la aplicación de destino.
    • Del equipo de soporte de la aplicación de destino.
  4. Configure las opciones de firma. Utilice una firma digital para establecer una relación de confianza entre Verify usted y el proveedor del servicio.
    Tabla 4. Opciones de firma
    Información Descripciones
    Firmar respuesta de autenticación
    Nota: Esta opción solo está disponible en una plantilla de aplicación personalizada.
    Indica si el proveedor de identidad firma la aserción « SAML » y la respuesta de autenticación.
    Nota: Algunos proveedores de servicios no pueden aceptar una respuesta de autenticación firmada.

    Cuando se selecciona esta opción, tanto la afirmación « SAML » como la respuesta de autenticación se firman.

    Si no se selecciona esta opción, solo se firma la afirmación « SAML ». La afirmación « SAML » siempre aparece firmada, independientemente de si la casilla de verificación está marcada o no.
    Algoritmo de firma
    Nota: Esta opción solo está disponible en una plantilla de aplicación personalizada.

    El algoritmo de firma firma digitalmente la afirmación « SAML » o la respuesta de autenticación « SAML ».

    Utilice el algoritmo de firma digital para resumir los datos y, a continuación, cifrar ese resumen. Seleccione entre los algoritmos soportados:
    • RSA-SHA1
    • RSA-SHA256
    • RSA-SHA512
    • ECDSA-SHA256
    • ECDSA-SHA384
    • ECDSA-SHA512

    La mayoría de las aplicaciones utilizan el algoritmo « RSA-SHA256 » como algoritmo predeterminado para firmar la afirmación « SAML » o la respuesta de autenticación.

    RSA-SHA1 se dejará de utilizar y solo se proporciona para su uso con aplicaciones antiguas que no admiten un cifrado más potente.
    Certificado de firma

    Muestra todos los certificados personales que se han cargado desde la página «Configuración > Certificados > Certificados personales ».

    Selecciona el certificado personal que has subido para la aplicación seleccionada.
    Validar firma de solicitud SAML

    Indica si el proveedor de servicios firma la solicitud de autenticación SAML al iniciar el flujo de inicio de sesión único SAML.

    La firma de la solicitud de autenticación de la aplicación « SAML » puede ser obligatoria para algunos proveedores de servicios y opcional para otros.

    Una vez seleccionada esta opción, debe seleccionar los certificados personales.

    Nota: Esta opción no está disponible para los proveedores de servicios que no firman su solicitud de autenticación SAML.
    Validar firma de solicitud de cierre de sesión de SAML Indica si el mensaje de solicitud de cierre de sesión entrante requiere una firma.

    Una vez seleccionada esta opción, debe seleccionar los certificados personales.
    Validar firma de respuesta de cierre de sesión de SAML Indica si el mensaje de respuesta de cierre de sesión entrante requiere una firma.

    Una vez seleccionada esta opción, debe seleccionar los certificados personales.
  5. Configure las opciones de cifrado. Active el cifrado para proteger el contenido de la declaración « SAML », de modo que solo el destinatario previsto pueda acceder a él.
    Tabla 5. Opciones de cifrado
    Información Descripciones
    Cifrar aserción
    Cifra toda la declaración « SAML » que se envía al proveedor de servicios. Solamente el proveedor de servicios deseado puede descifrar y entender su contenido.
    Nota: Esta opción solo está disponible para los proveedores de servicios que admiten el cifrado.
    Algoritmo de cifrado de aserción SAML

    El algoritmo cifra el contenido de la afirmación « SAML ».

    Seleccione entre los siguientes algoritmos AES (estándar de cifrado avanzado) o DES (estándar de cifrado de datos):
    AES-128
    Utiliza una clave de 128 bits en modo AES-CBC. La transformación de datos se repite más de 10 ciclos.
    AES-192
    Utiliza una clave de 192 bits en modo AES-CBC. La transformación de datos se repite más de 12 ciclos.
    AES-256
    Utiliza una clave de 256 bits en modo AES-CBC. La transformación de datos se repite más de 14 ciclos. Es el valor predeterminado o el algoritmo de cifrado que se utiliza frecuentemente.
    DES triple
    Utiliza una clave de datos de longitud triple que consta de tres claves DES de 8 bytes para cifrar 8 bytes de datos. Utiliza el siguiente método:
    • Cifra los datos utilizando la primera clave.
    • Descifra el resultado utilizando la segunda clave.
    • Cifra el segundo resultado utilizando la tercera clave.
    AES-128-GCM
    Utiliza una clave de 128 bits en el modo AES- GCM.
    AES-192-GCM
    Utiliza una clave de 192 bits en el modo AES- GCM.
    AES-256-GCM
    Utiliza una clave de 256 bits en el modo AES- GCM.
    Nota: Esta opción está disponible para todas las aplicaciones que admiten el cifrado.
    Algoritmo de transporte de clave de cifrado El algoritmo cifra la clave de cifrado de la aserción. Seleccione entre los siguientes algoritmos.
    RSA-OAEP

    Esquema de cifrado de claves públicas. Se ha diseñado para cifrar solo mensajes cortos, normalmente claves secretas para el cifrado simétrico.

    Visita http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    RSA-v1.5
    Esquema de firma.

    Véase http://www.w3.org/2001/04/xmlenc#rsa-1_5

    Nota: El algoritmo de transporte de claves de cifrado « RSA-v1.5 » dejará de ser compatible a partir de marzo de 2024.
    Nota: Esta opción está disponible para todas las aplicaciones que admiten el cifrado.
    Certificado de cifrado del proveedor de servicios

    Muestra todos los certificados de cifrado de los proveedores de servicios que se han importado en Seguridad > Certificados > Certificados de firmante.

    Seleccione el certificado de cifrado que Verify debe utilizarse junto con el algoritmo de cifrado de aserciones de « SAML » seleccionado para cifrar el contenido de la aserción « SAML ».
  6. Identifica las fuentes de atributos del proveedor de identidad para la aserción « SAML ». Consulte el tema «Configuración de la interfaz de programación de aplicaciones ( SAML )» y los atributos de asignación.
  7. Seleccione la política que determina cómo los usuarios pueden acceder a la aplicación.

    Puede seguir utilizando la política de acceso predeterminada que está asignada, que es Permitir acceso desde todos los dispositivos. También puede desmarcar la casilla de verificación y hacer clic en Editar para seleccionar una opción de la lista de políticas de acceso predefinidas. Para obtener más información, consulta las políticas de acceso.

  8. Haz clic en «Guardar ».

Qué hacer a continuación

  • Facilite al proveedor de servicios la información necesaria para completar la configuración del Verify inicio de sesión único de SAML entre Verify [nombre] y el proveedor de servicios. Consulte las instrucciones que se proporcionan en la interfaz de usuario.

    Si la aplicación « SAML » está configurada con el «Certificado personal predeterminado» como certificado de firma, puede descargar los metadatos de « SAML » desde «Verify at https://{tenantName}/v1.0/saml/federations/saml20ip/metadata». Si la aplicación SAML está configurada con un certificado personal distinto del predeterminado, con la etiqueta « {actualKeyLabel} » como certificado de firma, puede descargar los metadatos de SAML desde https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}.

  • Añada titularidades de usuario o grupo para permitir el acceso a las aplicaciones configuradas. Consulte «Gestión de derechos de las aplicaciones» (por parte del administrador o del propietario de la aplicación).
  • Aplique autenticación de dos factores para obtener control de seguridad añadido en usuarios que inician sesión en las aplicaciones configuradas. Consulte «Configuración de los factores de autenticación ».