ADFS - Inicio de sesión único

Este documento proporciona pautas sobre cómo configurar Workvivo para autenticarse a través del inicio de sesión único (SSO) utilizando Microsoft Active Directory Federation Services (ADFS) como solución de proveedor de identidad (IdP) en una configuración de SSO SAML2. La información contenida en este documento pretende servir únicamente como guía: puede haber diferencias significativas en cualquier configuración de ADFS que requieran la adopción de un enfoque diferente.

Estas pautas se redactaron según la configuración de un entorno ADFS 3.0 que se ejecuta en Windows Server 2012 R2. Los pasos pueden ser diferentes en otras versiones de ADFS o Windows Server.

El primer paso para configurar Workvivo en ADFS es agregarlo como relación de confianza para usuario autenticado.

En la herramienta de administración de ADFS, navegue a "Relaciones de confianza → Confianzas de usuario autenticado ", en el panel de navegación izquierdo.

A continuación, haga clic en “Agregar relación de confianza de usuario autenticado…” en el panel Acciones, en el lado derecho de la ventana. Esto iniciará el " Asistente para agregar confianzade usuario autenticado ".

Haga clic en el botón "Iniciar" para comenzar. En la pantalla "Seleccionar fuente de datos" , asegúrese de que esté seleccionada la opción "Importar datos sobre la parte confiada publicados en línea o en una red local" e ingrese la siguiente URL en el campo "Dirección de metadatos federados (nombre de host o URL)":

https://[nombredelaempresa].workvivo.[com][.us][.me]/saml/metadata

Ten en cuenta que el formato de la dirección anterior puede ser diferente si tu organización ha configurado un nombre de dominio personalizado para Workvivo. Si no sabes tu nombre de dominio de Workvivo, contacta a nuestro equipo de soporte a través de "Enviar una solicitud" para obtener ayuda.

Pulse el botón “Siguiente” para continuar.

En la siguiente pantalla, siéntete libre de personalizar el nombre para mostrar y agregar cualquier nota relevante si lo deseas.
De lo contrario, haga clic en “Siguiente” para continuar.

Para el paso "¿Configurar autenticación multifactor ahora?" , deje este valor predeterminado : "No deseo configurar ajustes de autenticación multifactor para esta confianza de usuarioautenticado en este momento" y presione "Siguiente".

En la configuración "Elegir reglas de autorización de emisión" , déjela como predeterminada "Permitir que todos los usuarios accedan a este usuarioconfiado " y haga clic en "Siguiente".

En la pantalla "Listo para agregar confianza" , revise la configuración. Cuando esté listo para continuar, presione "Siguiente".

En la pantalla final "Finalizar" , verá una opción para "Abrir el cuadro de diálogo Editar reglas de reclamo para esta relación de confianza de usuarioautenticado cuando se cierre el asistente". Asegúrese de que esta opción esté marcada y presione el botón "Cerrar" .

Cubriremos el proceso de configuración de reglas de reclamo en la siguiente sección.

En esta sección, explicaremos la configuración de las reglas de notificación de ADFS, que definen los atributos de Active Directory que ADFS envía a Workvivo en una respuesta SAML2. Esto es importante, ya que lo usamos para identificar al usuario en la base de datos de Workvivo.

Al final de la sección anterior, después de hacer clic en el botón "Cerrar" , debería haberse abierto una ventana "Editar reglas de reclamo" .

Haga clic en el botón "Agregar regla" para iniciar el "Asistente para agregar regla de reclamo de transformación". En la primera pantalla, deje seleccionada la opción predeterminada "Enviar atributos LDAP como reclamaciones" y haga clic en "Siguiente".

En la pantalla "Configurar regla de reclamación" , asigne un nombre a la regla (por ejemplo, "Correo electrónico LDAP"). Seleccione “Active Directory” en el menú desplegable “Almacén de atributos” .

Crearemos una única asignación: en la columna izquierda (Atributo LDAP), seleccione "Direcciones de correo electrónico" y, en la columna derecha (Tipo de notificación saliente), seleccione "Dirección de correo electrónico". Haga clic en "Finalizar" para crear la regla.

A continuación, crearemos una segunda regla. Haga clic en "Agregar regla" nuevamente.

Esta vez, seleccione “Transformar un reclamo entrante” en “Plantilla de regla de reclamo”.

Dale un nombre a la regla (por ejemplo "Transformación de correo electrónico") y seleccione las siguientes opciones:

En este punto, ha completado la configuración de ADFS y está listo para recopilar información de ADFS para enviarla a Workvivo para la configuración final.

Para configurar tu IdP de ADFS en Workvivo, necesitamos recopilar la siguiente información de tu instalación de ADFS:

Para las tres primeras opciones, suelen ser las mismas en la mayoría de las instalaciones de ADFS. Puede verificar los puntos finales de metadatos e inicio de sesión único en la herramienta de administración de ADFS de su servidor.

En el panel de navegación del lado izquierdo, seleccione "ADFS → Servicio → Puntos finales".

Encontrará el punto final de inicio de sesión único en la sección "Emisión de token" : tendrá un tipo de "SAML 2.0/WS-Federation" y normalmente es "/adfs/ls/".

El punto final de metadatos se puede encontrar en la sección "Metadatos" , tiene el tipo "Metadatos de federación" y normalmente tiene un valor "/FederationMetadata/2007-06/FederationMetadata.xml".

El punto final de cierre de sesión único no siempre aparece en esta pantalla, pero normalmente es "/adfs/ls/?wa=wsignout1.0".

Al capturar estos puntos finales para la configuración, asegúrese de agregar el nombre de dominio completo como parte del punto final. A continuación se muestran ejemplos de cómo podrían lucir estos puntos finales:

El último elemento que necesitamos para configurar SSO es un certificado X.509 codificado en Base64 para su configuración de ADFS.

En su servidor ADFS, abra la herramienta de administración de ADFS. En el panel de navegación izquierdo, vaya a "ADFS → Servicio → Certificados".

En el cuerpo principal debería ver una serie de certificados. Busque el certificado bajo el encabezado “Firma de token” y haga clic derecho sobre él, seleccionando “Ver certificado” en el menú desplegable.

Seleccione la pestaña "Detalles" en la ventana que se abre y haga clic en el botón "Copiar a archivo" .

Esto abrirá el "Asistente de exportación de certificados". En la primera pantalla, haga clic en "Siguiente" para comenzar.

En Formato de archivo de exportación, asegúrese de que esté seleccionado “Base-64 encoded X.509 (.CER)” y presione “Siguiente”.

Nota: algunas versiones de ADFS pueden preguntarle si desea exportar una clave privada; si ve esto, seleccione "No, no exportar la clave privada".

En la pantalla "Archivo para exportar" , seleccione una ubicación para el archivo de certificado y asígnele un nombre (por ejemplo, workvivo-adfs.cer).

En la pantalla "Finalización del Asistente para la Exportación de Certificados", pulse "Finalizar" para cerrar el asistente. Aparecerá un cuadro de diálogo confirmando que la exportación se realizó correctamente.

Busque el archivo de certificado que acaba de exportar. Ábralo en un editor de texto; debería ver mucho texto codificado en Base64 entre las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----. El contenido de este archivo corresponde al certificado que necesitamos, así que anote esta información, junto con los puntos finales mencionados.

Una vez que haya recopilado esta información, complete la configuración en Workvivo.

3. Configuración final en Workvivo