Utilizar SSO con Microsoft Azure Active Directory/Entra ID

book reader icon
17 minutos
facebook logo gray
linkedin logo gray
mail logo gray
Utilizar SSO con Microsoft Azure Active Directory/Entra ID

Este artículo te guiará sobre cómo conectar tus usuarios de Microsoft Azure Entra ID (antes conocido como Active Directory) mediante SSO (Inicio de sesión único) a nuestra plataforma. Esta función sólo está disponible para clientes empresariales.

Este artículo cubre la integración de SSO con nuestra plataforma basada en un ejemplo con Microsoft Azure Entra ID/Active Directory.

Este post contiene detalles técnicos para administradores de IAM o para tu departamento de IT que gestione Microsoft Azure Entra ID (Active Directory). Ponte en contacto con un experto en IT para que te ayude a configurar la conexión SSO. Asegúrate de que la persona que realiza la configuración en Microsoft Azure tiene los permisos de Administrador necesarios (especialmente Administrador de definición de atributos, Administrador de asignación de atributos).

¿Qué es el SSO?

SSO significa Inicio de sesión único. Es un proceso de autenticación que permite a un usuario acceder a varios servicios, como nuestra plataforma de códigos QR, con un solo conjunto de credenciales de inicio de sesión (como nombre de usuario y contraseña). Con el SSO, los usuarios no necesitan recordar contraseñas diferentes para cada aplicación que utilicen, lo que agiliza el proceso de inicio de sesión y mejora la seguridad al reducir la necesidad de múltiples credenciales. Una vez autenticado, el usuario puede navegar entre varias aplicaciones o servicios sin necesidad de volver a iniciar sesión.

Cómo funciona la Integración con Active Directory/Entra ID

Para integrar tu Microsoft Azure Active Directory/Entra ID con nuestra Plataforma de Marca Blanca utilizamos SAML 2.0 (Security Assertion Markup Language) para intercambiar información entre tu sistema y el nuestro.

Tu empresa actúa como un Proveedor de Identidad (IDP) que nos proporciona datos de usuario. Nuestra Plataforma de Marca Blanca actúa como Proveedor de Servicios (PS) que recibe los datos de los usuarios y les da acceso a nuestro sistema

Visión general de la integración del SSO simplificado con Active Directory/Entra ID
Visión general de la integración del SSO simplificado con Active Directory/Entra ID

La información básica sobre tu IDP y nuestro SP se va a intercambiar a través de las llamadas URLs de Descriptor - en Entra ID/Active Directory se llaman App Federation Metadata Url.


Detrás de estas URL hay archivos que describen el IDP (Entra ID/Active Directory) o SP con detalles para que la otra parte los procese automáticamente y ayude con la configuración.

La información del usuario se va a enviar a través de un mensaje SAML 2.0. En este mensaje los datos se codifican en Atributos. Al enviar la información desde tu Active Directory/Entra ID, un Mapeador de Salida mapea los campos internos de tu IDP, como nombre, apellidos, correo electrónico, etc. a Atributos SAML 2.0.

Cuando recibamos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transformará el Atributo SAML 2.0 de nuevo a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma.

Cuando recibamos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transformará el Atributo SAML 2.0 a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma

Cómo conectarse a nuestra plataforma de Códigos QR con SSO utilizando Microsoft Azure Active Directory/Entra ID

1. Configurar Active Directory/Entra ID para SSO

Para configurar tu Directorio Activo/Entra ID necesitas realizar 2 subpasos. Primero, crear una Aplicación Empresarial y segundo configurar el Inicio de Sesión Único de esa Aplicación Empresarial.

Crear aplicación empresarial

Para conectar nuestra Plataforma de Marca Blanca a tu Directorio
Activo/Entra ID necesitas crear una llamada Aplicación Empresarial. Esta Aplicación Empresarial es una representación de nuestra Plataforma Marca Blanca en tu Cuenta Microsoft Azure.

Primero, asegúrate de que has iniciado sesión en tu Cuenta Microsoft Azure. Puedes acceder al Portal Microsoft Azure a través de portal.azure.com .

A continuación, abre el Servicio Entra ID. Puedes encontrar el Servicio con una búsqueda en la barra de búsqueda escribiendo "Microsoft Entra ID".

Abre el servicio Microsoft Entra ID
Abre el servicio Microsoft Entra ID

En el servicio Microsoft Entra ID haz clic en el menú Aplicaciones Empresariales de la sección Administrar (a la izquierda).

Ir a Aplicaciones de empresa
Ir a Aplicaciones de empresa

Para crear una nueva Aplicación Empresarial haz clic en Nueva aplicación.

Haz clic en Nueva aplicación
Haz clic en Nueva aplicación

Haz clic en Crea tu propia aplicación.

Haz clic en Crea tu propia aplicación
Haz clic en Crea tu propia aplicación

Introduce un nombre (en nuestro ejemplo utilizaremos Plataforma de código QR) para la aplicación y elige la opción 3 (Sin galería). A continuación, haz clic en Crear.

Introduce un nombre para la aplicación y elige la opción 3 (No galería)
Introduce un nombre para la aplicación y elige la opción 3 (No galería)

Configura el inicio de sesión único

Ahora es el momento de configurar la funcionalidad de Inicio de Sesión Único de la Aplicación Empresarial que acabamos de crear.

Para ello, haz clic en el menú Inicio de Sesión Único de la sección Gestión de la izquierda.

Haz clic en el menú Inicio de sesión único de la sección Gestionar de la izquierda
Haz clic en el menú Inicio de sesión único de la sección Gestionar de la izquierda

En Selecciona un método de inicio de sesión único haz clic en SAML.

En Selecciona un método de inicio de sesión único haz clic en SAML
En Selecciona un método de inicio de sesión único haz clic en SAML

Ahora copia la Url de Metadatos de la Federación de Aplicaciones y pégala en el Bloc de Notas (Windows) o en TextEdit (Mac): la necesitaremos más adelante para nuestro Proveedor de Servicios.

Por favor, pega la URL en el Bloc de Notas (Windows) o en TextEdit (Mac)

Copiar la Url de Metadatos de la App Federation
Copiar la Url de Metadatos de la App Federation

La URL de Metadatos de la App Federation es la URL del Descriptor de tu Proveedor de Identidad de Microsoft Active Directory/Entra ID.

2. Primera configuración de la Plataforma Marca Blanca

Ahora es el momento de establecer la configuración de nuestro Proveedor de Servicios en el Portal de Marca Blanca.

Ve a nuestro sitio web e inicia sesión en tu cuenta de marca blanca. Una vez dentro, ve a la configuración de tu cuenta y elige la pestaña SSO

Inicio de sesión

Entrar
Formulario de inicio de sesión

Cuando te registras con un usuario de tu empresa en nuestra plataforma puedes elegir cómo puede acceder este usuario a la plataforma. Hay 2 escenarios diferentes posibles:

  • El usuario inicia sesión como usuario de marca blanca 1:1
  • El usuario puede iniciar sesión bajo diferentes usuarios de marca blanca 1:n
Tipos de SSO: 1 a 1 frente a 1 a muchos
Tipos SSO: 1 a 1 frente a 1 a muchos

Para continuar con la configuración de la conexión SSO debes elegir primero un Tipo SSO

Para que entiendas los conceptos lo más rápidamente posible, utilizaremos un ejemplo durante este artículo. Hagamos las siguientes suposiciones:

  • Los usuarios Adán, Eva y Steve trabajan en tu empresa y necesitan acceder a la Plataforma Marca Blanca.
  • Estás utilizando Microsoft Azure Active Directory/Entra ID como Proveedor de Identidad (IDP) en tu empresa. Si no tienes Active Directory/Entra ID, sino un IDP diferente, no tienes por qué preocuparte. Puedes consultar nuestro publicación general sobre SSO.

Crear Usuario (1:1)

1 Usuario IDP está asignado a 1 Usuario Marca Blanca
1 Usuario IDP está asignado a 1 Usuario Marca Blanca

Selecciona Usuario si quieres que un usuario de tu Proveedor de Identidades (="Usuario IDP") se asigne exactamente a un (1:1) usuario individual de marca blanca.

Cuando un Usuario PDI inicie sesión por primera vez, se creará el Usuario Marca Blanca correspondiente. En el ejemplo anterior, el Usuario IDP Adán se creará como Usuario Marca Blanca Adán cuando inicie sesión por primera vez.

Crear Subcuenta (1:n)

En este escenario, supongamos como ejemplo que la plataforma de Marca Blanca tiene un usuario para el departamento de Marketing y otro para el departamento de Customer Service.
1 Usuario IDP está asignado a 1 o más Usuarios Marca Blanca
1 Usuario IDP está asignado a 1 o más Usuarios Marca Blanca

Selecciona Subcuenta si quieres que un usuario de tu Proveedor de Identidad (="Usuario IDP") se mapee a uno o más (1:n) usuarios de marca blanca.

En el ejemplo anterior, los usuarios IDP Adam y Eve pueden utilizar los Usuarios Marca Blanca Marketing y Customer Service. El usuario IDP Steve sólo puede utilizar el usuario de marca blanca Customer Service

Antes de que se puedan utilizar a través de SSO asegúrate de que estos dos usuarios están creados en la Plataforma de Marca Blanca creándolos a través del menú Usuarios en la parte izquierda y luego Crear Usuario.

Después de la creación, la lista de Usuarios debería tener este aspecto:

Haz clic en Usuarios en la parte izquierda y luego en Crear usuario
Haz clic en Usuarios en la parte izquierda y luego en Crear usuario

Inspiración: Los Usuarios de Marca Blanca no tienen por qué estar basados en un departamento como Marketing o Customer Service. Sólo lo utilizamos aquí como ejemplo. También es bastante habitual que haya un Usuario Marca Blanca distinto para cada

  • País (Austria, España, Italia, Brasil, etc.) y/o
  • Marca (MarcaA, MarcaB, MarcaC, etc.) y/o
  • Línea de Producto (Zapatos, Camisas, Chaquetas, etc.)

El caso de uso puede ser diferente para cada empresa. Por lo tanto, sólo tienes que pensar en cómo tendría más sentido para tu empresa.

  • Un Usuario IDP actuará entonces como un líder de equipo y podrá elegir bajo qué usuario de marca blanca quiere registrarse. Así, Adam y Eve pueden elegir si quieren registrarse como usuario de marca blanca Marketing o Customer Service.


Después de haber elegido el Tipo SSO necesitas introducir la URL del Descriptor IDP SSO de tu Proveedor de Identidad de Active Directory/Entra ID. Esto es necesario para que podamos obtener información básica sobre cómo conectar y autenticar a tus usuarios con SAML 2.0.

Para ello sólo tienes que copiar la Url de Metadatos de la Federación de Aplicaciones que has guardado antes en el campo.

Introduce la Url de Metadatos de la App Federation que guardaste antes
Introduce la Url de Metadatos de la App Federation que guardaste antes

Una vez que hayas introducido la URL del Descriptor IDP SSO, las URL de los servicios se extraen de la URL del Descriptor y los campos de la URL del Servicio de Inicio de Sesión SSO y la URL del Servicio de Cierre de Sesión SSO se rellenan previamente.

Si no se muestra ninguna URL, introdúcela manualmente. La URL del Servicio de Cierre de Sesión SSO es opcional. Si se establece la URL, el usuario será redirigido a esta URL cuando cierre la sesión desde la plataforma del Código QR. Opcionalmente, también podrá cerrar la sesión desde su IDP

Haz clic en el botón Conectar de la parte inferior para iniciar la conexión con tu Active Directory/Entra ID

Haz clic en Conectar
Haz clic en Conectar

Entonces se te presentará la URL del descriptor del proveedor de servicios. Copia esta URL y pégala en el navegador. Descarga la configuración en un archivo. Recuerda dónde guardas el archivo: lo necesitaremos en un segundo para que tu Active Directory/Entra ID lo cargue allí.

Copiar URL del descriptor del proveedor de servicios SSO
Copiar URL del descriptor del proveedor de servicios SSO

Alternativamente, también puedes utilizar el botón Descargar Descriptor XML para descargar el contenido de la configuración.

3. Finaliza la configuración de Active Directory/Entra ID

Ahora vuelve a la Aplicación Empresarial que acabas de crear (QR Code Plaform) y a la Sección de inicio de sesión único donde antes copiaste la Url de metadatos de la federación de aplicaciones.

En la parte superior de la página encontrarás un botón Cargar archivo de metadatos. Haz clic en él y elige el archivo que acabas de descargar.

Haz clic en Subir archivo de metadatos
Haz clic en Subir archivo de metadatos

Ahora verás los datos extraídos en la pantalla. Pulsa Guardar.

Haz clic en Guardar
Haz clic en Guardar

Configura Atributos y Reclamaciones

Como ya hemos comentado, la información del usuario se va a enviar a través de un mensaje SAML 2.0 desde tu Directorio Activo/Entra ID (IDP) a nuestra Plataforma de Marca Blanca (SP). En este mensaje, los datos se codifican en Atributos. Al enviar la información desde tu Directorio Activo/Entra ID, un Mapeador de Salida mapea los campos internos de tu IDP, como nombre, apellidos, correo electrónico, etc. a Atributos SAML 2.0.

Cuando recibimos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transforma el Atributo SAML 2.0 de nuevo a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma.

Mapeador de Entrada

Ahora echaremos un vistazo al Mapeador de Salidas. Haz clic en el botón Editar situado junto a 2 Atributos & Reclamaciones.

Haz clic en Editar
Haz clic en Editar

Haz clic en una reivindicación (atributo) para ver el nombre con el que se transfiere.

Haz clic en una reclamación (por ejemplo, correo electrónico)
Haz clic en una reclamación (por ejemplo, correo electrónico)

En la pantalla detallada puedes ver el nombre del atributo con el que se transmitirá la dirección de correo electrónico en el mensaje SAML 2.0.

Necesitamos esta información más adelante para finalizar la configuración en nuestro Mapeador de Entrada en nuestro Proveedor de Servicios de la Plataforma de Marca Blanca.

Mapa de Entrada

El nombre del Atributo es una combinación del Name Space y el Name en el formato <Namespace>/<Name>.

Así que la dirección de correo electrónico es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Escribe los nombres de los atributos de los campos nombre, apellidos, dirección de correo electrónico, etc.

Ahora puedes ver el nombre del Atributo
Ahora puedes ver el nombre del Atributo

A continuación añadiremos una asignación para Roles. Haz clic en el botón Añadir nueva demanda.

Haz clic en el botón Añadir nueva reclamación
Haz clic en el botón Añadir nueva reclamación

Da a la reclamación (atributo) un nombre Role y elige el atributo fuente user.assignedroles. Pulsa Guardar.

Introduce Role en el campo Name y user.assignedroles en el campo Source attribute
Introduce Role en el campo Name y user.assignedroles en el campo Source attribute

Ahora tenemos todo lo que necesitamos en cuanto a atributos/reclamaciones. Tu pantalla debería parecerse a esto.

Tu pantalla debe tener un aspecto parecido a este
Tu pantalla debe tener un aspecto parecido a este

Antes de continuar con el siguiente paso, asegúrate de que has anotado todos los nombres de los atributos: ahora los necesitaremos para configurar el Mapeador de entrada.

4. Introduce atributos en la Plataforma Marca Blanca

Es hora de finalizar la configuración de la Plataforma de Marca Blanca (Proveedor de Servicios). Vuelve a la Configuración de la Cuenta > SSO

A continuación, introduce los nombres de los atributos que anotaste antes para nombre, apellidos, dirección de correo electrónico, etc. Pulsa el botón Conectar para guardar los cambios.

Tu pantalla debería ser algo parecido a esto.

Introduce los nombres de los Atributos en los campos
Introduce los nombres de los Atributos en los campos

5. Opcional: Crear roles de aplicación

Si quieres utilizar el método de Subcuenta (1:n) para crear usuarios en la Plataforma de Marca Blanca (del que hemos hablado antes) o quieres utilizar SSO para Administradores y Gestores, tienes que configurar los roles de la aplicación para ello.

En la pantalla principal de tu servicio Microsoft Entra ID, haz clic en Registros de aplicaciones, elige la pestaña Todas las aplicaciones y haz clic en la aplicación Enterprise creada anteriormente (QR Code Platform) de la lista.

Haz clic en Registros de aplicaciones > Todas las aplicaciones > la Enterprise App que creaste antes
Haz clic en Registros de aplicaciones > Todas las aplicaciones > la Enterprise App que creaste antes

Subcuenta (1:n)

Si has seleccionado la Subcuenta de tipo SSO (1:n) necesitas proporcionar la información de qué Usuario IDP debe tener acceso a qué Usuario Marca Blanca.

1 Usuario IDP está asignado a 1 o más Usuarios Marca Blanca
1 Usuario IDP está asignado a 1 o más Usuarios Marca Blanca

Para ello necesitamos crear un Rol adicional para cada Usuario Marca Blanca en Directorio Activo/Entra ID. El nombre del rol debe ser idéntico al nombre del usuario Marca Blanca.

En la pantalla Roles de aplicación pulsa en Crear rol de aplicación.

Haz clic en Crear rol de aplicación
Haz clic en Crear rol de aplicación

A continuación, introduce el Nombre de pantalla, Valor y Descripción. Asegúrate de que los valores coinciden con el Nombre de usuario de la etiqueta blanca.

En nuestro ejemplo necesitamos crear Marketing y Customer Service.

Introduce el Nombre para mostrar, el Valor y la Descripción
Introduce el Nombre para mostrar, el Valor y la Descripción

Caso especial: Inicio de sesión de administrador/gestor mediante SSO

Tu usuario administrador puede iniciar sesión en nuestra plataforma de marca blanca directamente a través de un nombre de usuario y una contraseña por defecto. Sin embargo, también es posible utilizar SSO para iniciar sesión como administrador o gerente.

Para ese caso hay 2 Roles especiales disponibles: whitelabel_admin y whitelabel_manager

En nuestro ejemplo tenemos 2 usuarios en la organización que son un admin/manager. El usuario Juan debe ser un Administrador en el Portal de Etiqueta Blanca, por lo que necesita el Role whitelabel_admin, la usuaria Monica debe ser una Gestora, por lo que necesita el Role whitelabel_manager.

Ejemplo de Admin Juan y Gerente Mónica
Ejemplo de Admin Juan y Gerente Mónica

Para ello necesitamos crear dos Roles adicionales llamados whitelabel_admin y whitelabel_manager en Active Directory/Entra ID. Los nombres de los roles deben ser exactamente esos.

Haz clic en Crear rol de aplicación
Haz clic en Crear rol de aplicación

A continuación, introduce el Nombre de pantalla, Valor y Descripción. Asegúrate de que los valores coinciden exactamente con whitelabel_admin y whitelabel_manager

Introduce el Nombre para mostrar, el Valor y la Descripción
Introduce el Nombre para mostrar, el Valor y la Descripción

6. Añadir Usuarios a la Aplicación de Empresa

Después de configurarlo todo, es hora de añadir usuarios a la Aplicación Empresarial en Active Directory/Entra ID, para que puedan acceder a la Plataforma de Marca Blanca.

Hay diferentes formas de hacerlo:

  • 1) si has elegido Tipo de SSO "1:1":
  • 1a) añade usuarios concretos y simplemente asigna el Rol Usuario
  • 1b) añade grupos de usuarios y simplemente asigna el Rol Usuario
  • 1c) añade usuarios o grupos concretos y asigna un rol de administrador (whitelabel_admin, whitelabel_manager) - si quieres permitir que los administradores inicien sesión mediante SSO
  • 2) si has elegido Tipo SSO "1:n":
      • 2a) añade usuarios específicos y asígnales funciones específicas de la aplicación como Marketing o Customer Service.
      • 2b) añade grupos de usuarios y asigna funciones a cada grupo y asígnales funciones específicas de la aplicación como Marketing o Customer Service.
      • 2c) añade usuarios o grupos específicos y asígnales una función de administrador (whitelabel_admin, whitelabel_manager) - si quieres permitir que los administradores inicien sesión a través de SSO.

    Vamos a ver cómo asignar usuarios y grupos a roles. Antes de continuar, asegúrate de que has creado los roles de aplicación necesarios (véase el capítulo anterior)

    En la Aplicación Corporativa (Plataforma de Códigos QR) haz clic en el menú Usuarios y Grupos (a la izquierda) y luego en el botón Añadir usuario/grupo.

    Haz clic en el menú Usuarios y Grupos (a la izquierda) y luego en el botón Añadir usuario/grupo
    Haz clic en el menú Usuarios y Grupos (a la izquierda) y luego en el botón Añadir usuario/grupo

    A continuación te aparecerá la pantalla Añadir Asignación. Dependiendo del escenario que desees realizar, elige una de las siguientes opciones:

    Añade una tarea

    1a) añade usuarios específicos y simplemente asigna el Rol Usuario.

    Por ejemplo, el Usuario Adam debería acceder a la Plataforma de Marca Blanca con su usuario individual (User).

    1b) añade grupos de usuarios y simplemente asigna el Rol Usuario

    por ejemplo, todos los empleados del Departamento de Marketing y Ventas deberían acceder a la Plataforma Marca Blanca con su usuario individual.

    1c) Añade usuarios o grupos específicos y asígnales un rol de administrador (administrador_etiqueta_blanca, administrador_etiqueta_blanca)

    Por ejemplo, el usuario Juan es un White Label Admin.

    Por ejemplo, el usuario Mónica es un White Label Manager

    2a) añade usuarios específicos y asígnales roles específicos de la App como Marketing o Customer Service.

    Por ejemplo, el usuario Adam debería poder acceder al usuario de marca blanca Marketing

    2b) añade grupos de usuarios y asigna un rol a cada grupo y asígnales roles específicos de la App como Marketing o Customer Service

    Por ejemplo, todos los empleados del Departamento de Marketing deberían acceder a la Plataforma de Marca Blanca con el Usuario Marca Blanca Marketing.

    2c) añade usuarios o grupos específicos y asígnales un rol de administrador (whitelabel_admin, whitelabel_manager)

    Por ejemplo, el usuario Juan es un White Label Manager.

    7. Primer inicio de sesión de un usuario SSO

    En esta sección verás el aspecto de la cuenta de marca blanca tras el primer inicio de sesión de los usuarios para los 2 tipos diferentes de SSO.

    En esta sección verás el aspecto de la cuenta de marca blanca tras el primer inicio de sesión de los usuarios para los 2 tipos diferentes de SSO

    SSO Tipo Usuario (1:1)

    Cuando un usuario IDP se conecta por primera vez mediante SSO, se crea un usuario Marca Blanca con el mismo nombre. En el siguiente ejemplo puedes ver los 3 usuarios IDP Adam, Eve y Steve creados como usuarios Marca Blanca en la sección Usuario.

    Un usuario IDP se asigna a un usuario Marca Blanca
    Un usuario IDP se asigna a un usuario Marca Blanca

    SSO Tipo Subcuenta (1:n)

    Si un usuario IDP inicia sesión en nuestra plataforma por primera vez, se crea una subcuenta con el rol SSO y los usuarios Marca Blanca correspondientes se asignan a esa subcuenta. Puedes ver las subcuentas en la sección Cuentas de la pestaña Subcuentas

    Subcuenta para usuario IDP
    Subcuenta para usuario IDP

    La siguiente captura de pantalla muestra al usuario IDP Adam asignado a los usuarios de Marca Blanca Marketing y Customer Service.

    SSO Depuración

    Para depurar la comunicación SAML 2.0 entre tu proveedor de identidades (IDP) y nuestro proveedor de servicios (SP), puedes instalar el complemento de navegador SAML-tracer.

    Para depurar la comunicación SAML 2.0 entre tu proveedor de identidades (IDP) y nuestro proveedor de servicios (SP)

    Browser Plugin SAML-tracer
    Browser Plugin SAML-tracer

    Después de abrir la ventana emergente SAML-tracer...

    1. Empieza con un proceso de inicio de sesión SSO
    2. Verás que la lista de la parte superior de la ventana emergente se llena de peticiones HTTP.
    3. Haz clic en la petición que está marcada como petición SAML en color naranja.
    4. Elige la pestaña Resumen (o SAML para todos los detalles en formato XML). Puedes comprobar si los datos (por ejemplo, el rol) se han transferido correctamente. En este caso se ha transferido el rol whitelabel_admin. Esto es exactamente lo que necesitamos para que este usuario inicie sesión como administrador del portal de etiqueta blanca.
    Última actualización hace 6 mess