Este artículo te guiará sobre cómo conectar tus usuarios de Microsoft Azure Entra ID (antes conocido como Active Directory) mediante SSO (Inicio de sesión único) a nuestra plataforma. Esta función sólo está disponible para clientes empresariales.
Este artículo cubre la integración de SSO con nuestra plataforma basada en un ejemplo con Microsoft Azure Entra ID/Active Directory.
Este post contiene detalles técnicos para administradores de IAM o para tu departamento de IT que gestione Microsoft Azure Entra ID (Active Directory). Ponte en contacto con un experto en IT para que te ayude a configurar la conexión SSO. Asegúrate de que la persona que realiza la configuración en Microsoft Azure tiene los permisos de Administrador necesarios (especialmente Administrador de definición de atributos, Administrador de asignación de atributos).
¿Qué es el SSO?
SSO significa Inicio de sesión único. Es un proceso de autenticación que permite a un usuario acceder a varios servicios, como nuestra plataforma de códigos QR, con un solo conjunto de credenciales de inicio de sesión (como nombre de usuario y contraseña). Con el SSO, los usuarios no necesitan recordar contraseñas diferentes para cada aplicación que utilicen, lo que agiliza el proceso de inicio de sesión y mejora la seguridad al reducir la necesidad de múltiples credenciales. Una vez autenticado, el usuario puede navegar entre varias aplicaciones o servicios sin necesidad de volver a iniciar sesión.
Cómo funciona la Integración con Active Directory/Entra ID
Para integrar tu Microsoft Azure Active Directory/Entra ID con nuestra Plataforma de Marca Blanca utilizamos SAML 2.0 (Security Assertion Markup Language) para intercambiar información entre tu sistema y el nuestro.
Tu empresa actúa como un Proveedor de Identidad (IDP) que nos proporciona datos de usuario. Nuestra Plataforma de Marca Blanca actúa como Proveedor de Servicios (PS) que recibe los datos de los usuarios y les da acceso a nuestro sistema
La información básica sobre tu IDP y nuestro SP se va a intercambiar a través de las llamadas URLs de Descriptor - en Entra ID/Active Directory se llaman App Federation Metadata Url.
Detrás de estas URL hay archivos que describen el IDP (Entra ID/Active Directory) o SP con detalles para que la otra parte los procese automáticamente y ayude con la configuración.
La información del usuario se va a enviar a través de un mensaje SAML 2.0. En este mensaje los datos se codifican en Atributos. Al enviar la información desde tu Active Directory/Entra ID, un Mapeador de Salida mapea los campos internos de tu IDP, como nombre, apellidos, correo electrónico, etc. a Atributos SAML 2.0.
Cuando recibamos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transformará el Atributo SAML 2.0 de nuevo a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma.
Cuando recibamos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transformará el Atributo SAML 2.0 a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma
1. Configurar Active Directory/Entra ID para SSO
Para configurar tu Directorio Activo/Entra ID necesitas realizar 2 subpasos. Primero, crear una Aplicación Empresarial y segundo configurar el Inicio de Sesión Único de esa Aplicación Empresarial.
Crear aplicación empresarial
Para conectar nuestra Plataforma de Marca Blanca a tu Directorio
Activo/Entra ID necesitas crear una llamada Aplicación Empresarial. Esta Aplicación Empresarial es una representación de nuestra Plataforma Marca Blanca en tu Cuenta Microsoft Azure.
Primero, asegúrate de que has iniciado sesión en tu Cuenta Microsoft Azure. Puedes acceder al Portal Microsoft Azure a través de portal.azure.com .
A continuación, abre el Servicio Entra ID. Puedes encontrar el Servicio con una búsqueda en la barra de búsqueda escribiendo "Microsoft Entra ID".
En el servicio Microsoft Entra ID haz clic en el menú Aplicaciones Empresariales de la sección Administrar (a la izquierda).
Para crear una nueva Aplicación Empresarial haz clic en Nueva aplicación.
Haz clic en Crea tu propia aplicación.
Introduce un nombre (en nuestro ejemplo utilizaremos Plataforma de código QR) para la aplicación y elige la opción 3 (Sin galería). A continuación, haz clic en Crear.
Configura el inicio de sesión único
Ahora es el momento de configurar la funcionalidad de Inicio de Sesión Único de la Aplicación Empresarial que acabamos de crear.
Para ello, haz clic en el menú Inicio de Sesión Único de la sección Gestión de la izquierda.
En Selecciona un método de inicio de sesión único haz clic en SAML.
Ahora copia la Url de Metadatos de la Federación de Aplicaciones y pégala en el Bloc de Notas (Windows) o en TextEdit (Mac): la necesitaremos más adelante para nuestro Proveedor de Servicios.
Por favor, pega la URL en el Bloc de Notas (Windows) o en TextEdit (Mac)
La URL de Metadatos de la App Federation es la URL del Descriptor de tu Proveedor de Identidad de Microsoft Active Directory/Entra ID.
Ahora es el momento de establecer la configuración de nuestro Proveedor de Servicios en el Portal de Marca Blanca.
Ve a nuestro sitio web e inicia sesión en tu cuenta de marca blanca. Una vez dentro, ve a la configuración de tu cuenta y elige la pestaña SSO
Cuando te registras con un usuario de tu empresa en nuestra plataforma puedes elegir cómo puede acceder este usuario a la plataforma. Hay 2 escenarios diferentes posibles:
- El usuario inicia sesión como usuario de marca blanca 1:1
- El usuario puede iniciar sesión bajo diferentes usuarios de marca blanca 1:n
Para continuar con la configuración de la conexión SSO debes elegir primero un Tipo SSO
Para que entiendas los conceptos lo más rápidamente posible, utilizaremos un ejemplo durante este artículo. Hagamos las siguientes suposiciones:
- Los usuarios Adán, Eva y Steve trabajan en tu empresa y necesitan acceder a la Plataforma Marca Blanca.
- Estás utilizando Microsoft Azure Active Directory/Entra ID como Proveedor de Identidad (IDP) en tu empresa. Si no tienes Active Directory/Entra ID, sino un IDP diferente, no tienes por qué preocuparte. Puedes consultar nuestro publicación general sobre SSO.
Crear Usuario (1:1)
Selecciona Usuario si quieres que un usuario de tu Proveedor de Identidades (="Usuario IDP") se asigne exactamente a un (1:1) usuario individual de marca blanca.
Cuando un Usuario PDI inicie sesión por primera vez, se creará el Usuario Marca Blanca correspondiente. En el ejemplo anterior, el Usuario IDP Adán se creará como Usuario Marca Blanca Adán cuando inicie sesión por primera vez.
Crear Subcuenta (1:n)
En este escenario, supongamos como ejemplo que la plataforma de Marca Blanca tiene un usuario para el departamento de Marketing y otro para el departamento de Customer Service.
Selecciona Subcuenta si quieres que un usuario de tu Proveedor de Identidad (="Usuario IDP") se mapee a uno o más (1:n) usuarios de marca blanca.
En el ejemplo anterior, los usuarios IDP Adam y Eve pueden utilizar los Usuarios Marca Blanca Marketing y Customer Service. El usuario IDP Steve sólo puede utilizar el usuario de marca blanca Customer Service
Antes de que se puedan utilizar a través de SSO asegúrate de que estos dos usuarios están creados en la Plataforma de Marca Blanca creándolos a través del menú Usuarios en la parte izquierda y luego Crear Usuario.
Después de la creación, la lista de Usuarios debería tener este aspecto:
Inspiración: Los Usuarios de Marca Blanca no tienen por qué estar basados en un departamento como Marketing o Customer Service. Sólo lo utilizamos aquí como ejemplo. También es bastante habitual que haya un Usuario Marca Blanca distinto para cada
- País (Austria, España, Italia, Brasil, etc.) y/o
- Marca (MarcaA, MarcaB, MarcaC, etc.) y/o
- Línea de Producto (Zapatos, Camisas, Chaquetas, etc.)
El caso de uso puede ser diferente para cada empresa. Por lo tanto, sólo tienes que pensar en cómo tendría más sentido para tu empresa.
- Un Usuario IDP actuará entonces como un líder de equipo y podrá elegir bajo qué usuario de marca blanca quiere registrarse. Así, Adam y Eve pueden elegir si quieren registrarse como usuario de marca blanca Marketing o Customer Service.
Después de haber elegido el Tipo SSO necesitas introducir la URL del Descriptor IDP SSO de tu Proveedor de Identidad de Active Directory/Entra ID. Esto es necesario para que podamos obtener información básica sobre cómo conectar y autenticar a tus usuarios con SAML 2.0.
Para ello sólo tienes que copiar la Url de Metadatos de la Federación de Aplicaciones que has guardado antes en el campo.
Una vez que hayas introducido la URL del Descriptor IDP SSO, las URL de los servicios se extraen de la URL del Descriptor y los campos de la URL del Servicio de Inicio de Sesión SSO y la URL del Servicio de Cierre de Sesión SSO se rellenan previamente.
Si no se muestra ninguna URL, introdúcela manualmente. La URL del Servicio de Cierre de Sesión SSO es opcional. Si se establece la URL, el usuario será redirigido a esta URL cuando cierre la sesión desde la plataforma del Código QR. Opcionalmente, también podrá cerrar la sesión desde su IDP
Haz clic en el botón Conectar de la parte inferior para iniciar la conexión con tu Active Directory/Entra ID
Entonces se te presentará la URL del descriptor del proveedor de servicios. Copia esta URL y pégala en el navegador. Descarga la configuración en un archivo. Recuerda dónde guardas el archivo: lo necesitaremos en un segundo para que tu Active Directory/Entra ID lo cargue allí.
Alternativamente, también puedes utilizar el botón Descargar Descriptor XML para descargar el contenido de la configuración.
3. Finaliza la configuración de Active Directory/Entra ID
Ahora vuelve a la Aplicación Empresarial que acabas de crear (QR Code Plaform) y a la Sección de inicio de sesión único donde antes copiaste la Url de metadatos de la federación de aplicaciones.
En la parte superior de la página encontrarás un botón Cargar archivo de metadatos. Haz clic en él y elige el archivo que acabas de descargar.
Ahora verás los datos extraídos en la pantalla. Pulsa Guardar.
Configura Atributos y Reclamaciones
Como ya hemos comentado, la información del usuario se va a enviar a través de un mensaje SAML 2.0 desde tu Directorio Activo/Entra ID (IDP) a nuestra Plataforma de Marca Blanca (SP). En este mensaje, los datos se codifican en Atributos. Al enviar la información desde tu Directorio Activo/Entra ID, un Mapeador de Salida mapea los campos internos de tu IDP, como nombre, apellidos, correo electrónico, etc. a Atributos SAML 2.0.
Cuando recibimos tu mensaje SAML 2.0, nuestro Mapeador de Entrada transforma el Atributo SAML 2.0 de nuevo a nuestro formato interno e iniciaremos la sesión del usuario en nuestra plataforma.
Mapeador de Entrada
Ahora echaremos un vistazo al Mapeador de Salidas. Haz clic en el botón Editar situado junto a 2 Atributos & Reclamaciones.
Haz clic en una reivindicación (atributo) para ver el nombre con el que se transfiere.
En la pantalla detallada puedes ver el nombre del atributo con el que se transmitirá la dirección de correo electrónico en el mensaje SAML 2.0.
Necesitamos esta información más adelante para finalizar la configuración en nuestro Mapeador de Entrada en nuestro Proveedor de Servicios de la Plataforma de Marca Blanca.
Mapa de Entrada
El nombre del Atributo es una combinación del Name Space y el Name en el formato <Namespace>/<Name>.
Escribe los nombres de los atributos de los campos nombre, apellidos, dirección de correo electrónico, etc.
A continuación añadiremos una asignación para Roles. Haz clic en el botón Añadir nueva demanda.
Da a la reclamación (atributo) un nombre Role y elige el atributo fuente user.assignedroles. Pulsa Guardar.
Ahora tenemos todo lo que necesitamos en cuanto a atributos/reclamaciones. Tu pantalla debería parecerse a esto.
Antes de continuar con el siguiente paso, asegúrate de que has anotado todos los nombres de los atributos: ahora los necesitaremos para configurar el Mapeador de entrada.
Es hora de finalizar la configuración de la Plataforma de Marca Blanca (Proveedor de Servicios). Vuelve a la Configuración de la Cuenta > SSO
A continuación, introduce los nombres de los atributos que anotaste antes para nombre, apellidos, dirección de correo electrónico, etc. Pulsa el botón Conectar para guardar los cambios.
Tu pantalla debería ser algo parecido a esto.
5. Opcional: Crear roles de aplicación
Si quieres utilizar el método de Subcuenta (1:n) para crear usuarios en la Plataforma de Marca Blanca (del que hemos hablado antes) o quieres utilizar SSO para Administradores y Gestores, tienes que configurar los roles de la aplicación para ello.
En la pantalla principal de tu servicio Microsoft Entra ID, haz clic en Registros de aplicaciones, elige la pestaña Todas las aplicaciones y haz clic en la aplicación Enterprise creada anteriormente (QR Code Platform) de la lista.
Subcuenta (1:n)
Si has seleccionado la Subcuenta de tipo SSO (1:n) necesitas proporcionar la información de qué Usuario IDP debe tener acceso a qué Usuario Marca Blanca.
Para ello necesitamos crear un Rol adicional para cada Usuario Marca Blanca en Directorio Activo/Entra ID. El nombre del rol debe ser idéntico al nombre del usuario Marca Blanca.
En la pantalla Roles de aplicación pulsa en Crear rol de aplicación.
A continuación, introduce el Nombre de pantalla, Valor y Descripción. Asegúrate de que los valores coinciden con el Nombre de usuario de la etiqueta blanca.
En nuestro ejemplo necesitamos crear Marketing y Customer Service.
Tu usuario administrador puede iniciar sesión en nuestra plataforma de marca blanca directamente a través de un nombre de usuario y una contraseña por defecto. Sin embargo, también es posible utilizar SSO para iniciar sesión como administrador o gerente.
Para ese caso hay 2 Roles especiales disponibles: whitelabel_admin y whitelabel_manager
En nuestro ejemplo tenemos 2 usuarios en la organización que son un admin/manager. El usuario Juan debe ser un Administrador en el Portal de Etiqueta Blanca, por lo que necesita el Role whitelabel_admin, la usuaria Monica debe ser una Gestora, por lo que necesita el Role whitelabel_manager.
Para ello necesitamos crear dos Roles adicionales llamados whitelabel_admin y whitelabel_manager en Active Directory/Entra ID. Los nombres de los roles deben ser exactamente esos.
A continuación, introduce el Nombre de pantalla, Valor y Descripción. Asegúrate de que los valores coinciden exactamente con whitelabel_admin y whitelabel_manager
6. Añadir Usuarios a la Aplicación de Empresa
Después de configurarlo todo, es hora de añadir usuarios a la Aplicación Empresarial en Active Directory/Entra ID, para que puedan acceder a la Plataforma de Marca Blanca.
Hay diferentes formas de hacerlo:
- 1) si has elegido Tipo de SSO "1:1":
- 1a) añade usuarios concretos y simplemente asigna el Rol Usuario
- 1b) añade grupos de usuarios y simplemente asigna el Rol Usuario
- 1c) añade usuarios o grupos concretos y asigna un rol de administrador (whitelabel_admin, whitelabel_manager) - si quieres permitir que los administradores inicien sesión mediante SSO
2) si has elegido Tipo SSO "1:n":- 2a) añade usuarios específicos y asígnales funciones específicas de la aplicación como Marketing o Customer Service.
- 2b) añade grupos de usuarios y asigna funciones a cada grupo y asígnales funciones específicas de la aplicación como Marketing o Customer Service.
- 2c) añade usuarios o grupos específicos y asígnales una función de administrador (whitelabel_admin, whitelabel_manager) - si quieres permitir que los administradores inicien sesión a través de SSO.
Vamos a ver cómo asignar usuarios y grupos a roles. Antes de continuar, asegúrate de que has creado los roles de aplicación necesarios (véase el capítulo anterior)
En la Aplicación Corporativa (Plataforma de Códigos QR) haz clic en el menú Usuarios y Grupos (a la izquierda) y luego en el botón Añadir usuario/grupo.
A continuación te aparecerá la pantalla Añadir Asignación. Dependiendo del escenario que desees realizar, elige una de las siguientes opciones:
Añade una tarea
1a) añade usuarios específicos y simplemente asigna el Rol Usuario.
Por ejemplo, el Usuario Adam debería acceder a la Plataforma de Marca Blanca con su usuario individual (User).
1b) añade grupos de usuarios y simplemente asigna el Rol Usuario
por ejemplo, todos los empleados del Departamento de Marketing y Ventas deberían acceder a la Plataforma Marca Blanca con su usuario individual.
1c) Añade usuarios o grupos específicos y asígnales un rol de administrador (administrador_etiqueta_blanca, administrador_etiqueta_blanca)
Por ejemplo, el usuario Juan es un White Label Admin.
Por ejemplo, el usuario Mónica es un White Label Manager
2a) añade usuarios específicos y asígnales roles específicos de la App como Marketing o Customer Service.
Por ejemplo, el usuario Adam debería poder acceder al usuario de marca blanca Marketing
2b) añade grupos de usuarios y asigna un rol a cada grupo y asígnales roles específicos de la App como Marketing o Customer Service
Por ejemplo, todos los empleados del Departamento de Marketing deberían acceder a la Plataforma de Marca Blanca con el Usuario Marca Blanca Marketing.
2c) añade usuarios o grupos específicos y asígnales un rol de administrador (whitelabel_admin, whitelabel_manager)
Por ejemplo, el usuario Juan es un White Label Manager.
7. Primer inicio de sesión de un usuario SSO
En esta sección verás el aspecto de la cuenta de marca blanca tras el primer inicio de sesión de los usuarios para los 2 tipos diferentes de SSO.
En esta sección verás el aspecto de la cuenta de marca blanca tras el primer inicio de sesión de los usuarios para los 2 tipos diferentes de SSO
SSO Tipo Usuario (1:1)
Cuando un usuario IDP se conecta por primera vez mediante SSO, se crea un usuario Marca Blanca con el mismo nombre. En el siguiente ejemplo puedes ver los 3 usuarios IDP Adam, Eve y Steve creados como usuarios Marca Blanca en la sección Usuario.
SSO Tipo Subcuenta (1:n)
Si un usuario IDP inicia sesión en nuestra plataforma por primera vez, se crea una subcuenta con el rol SSO y los usuarios Marca Blanca correspondientes se asignan a esa subcuenta. Puedes ver las subcuentas en la sección Cuentas de la pestaña Subcuentas
La siguiente captura de pantalla muestra al usuario IDP Adam asignado a los usuarios de Marca Blanca Marketing y Customer Service.
SSO Depuración
Para depurar la comunicación SAML 2.0 entre tu proveedor de identidades (IDP) y nuestro proveedor de servicios (SP), puedes instalar el complemento de navegador SAML-tracer.
Para depurar la comunicación SAML 2.0 entre tu proveedor de identidades (IDP) y nuestro proveedor de servicios (SP)
Después de abrir la ventana emergente SAML-tracer...
- Empieza con un proceso de inicio de sesión SSO
- Verás que la lista de la parte superior de la ventana emergente se llena de peticiones HTTP.
- Haz clic en la petición que está marcada como petición SAML en color naranja.
- Elige la pestaña Resumen (o SAML para todos los detalles en formato XML). Puedes comprobar si los datos (por ejemplo, el rol) se han transferido correctamente. En este caso se ha transferido el rol whitelabel_admin. Esto es exactamente lo que necesitamos para que este usuario inicie sesión como administrador del portal de etiqueta blanca.