SAML2.0 (Security Assertion Markup Language 2.0) es un sistema de autenticación y autorización entre dominios basado en tokens de seguridad . A continuación vamos a ver cómo configurar el SSO contra el proveedor de identidad en Athento.
Requisitos del IP
El Identity Provider (IP) debe proporcionar el descriptor XML que debe ser alojado en la configuración de Athento. Si éste provee de una ruta accesible al descriptor Athento puede vincular directamente a la URL del IP, en otro caso bastaría con colocar el fichero XML en el propio servidor de Athento para establecer dicha configuración. Para ello, asociamos la URL o el fichero en los atributos de configuración de Athento: METADATA_AUTO_CONF_URL ó METADATA_LOCAL_FILE_PATH. Esta configuración se realiza en la propiedad SAML2_AUTH del fichero local_settings.py, con la estructura que puede verse más abajo.
Mapeo de atributos
Para establecer la configuración de usuarios de Athento con la información proviniente del IP, es necesario realizar la vinculación entre los UserProfileMetadata del IP a las propiedades del usuario de Athento. Para usamos el atributo ATTRIBUTES_MAP.
SAML2_AUTH = {
'METADATA_LOCAL_FILE_PATH': '/etc/saml2/athento/athento-metadata2.xml',
'ASSERTION_URL': 'https://saml2.athento.com',
'CREATE_USER': 'TRUE',
'NEW_USER_PROFILE': {
'USER_GROUPS': []
},
'ENTITY_ID': 'https://saml2.athento.com/saml2sso/acs/',
'NAME_ID_FORMAT': None,
'FRONTEND_URL': 'https://saml2.athento.com',
'ATTRIBUTES_MAP': {
'email': 'mail',
'username': 'mail',
'first_name': 'givenName',
'last_name': 'sn',
}
}
¿Qué información usa Athento para la configuración SAML2?
Los parámetros habituales para generar el fichero de metadatos son:
Entity ID: Suele ser una URL del tipo https://SUBDOMINIO.athento.com/saml2sso/acs/
Assertion URL: https://SUBDOMINIO.athento.com
Atributos de usuario: Los atributos mínimos que se recomiendan son los que se muestran en la siguiene estructura de mapeo, teniendo en cuenta que los nombres email, username, first_name y last_name son los usados por Athento y los nombres mail, givenName y sn son los usados por el proveedor de identidad SAML (ajustar según sea necesario).
'ATTRIBUTES_MAP': {
'email': 'mail',
'username': 'username',
'first_name': 'givenName',
'last_name': 'sn',
}
Haga una solicitud a soporte@athento.com para conocer el subdominio exacto de su instancia.
¿Qué debo enviar a Athento para realizar la configuración SAML2?
Para solicitar su configuración SAML2 debe enviar un correo a soporte@athento.com con:
- El fichero XML de metadatos, que debe subirse como "File config property" con nombre SAML2_AUTH_METADATA_LOCAL_FILE_PATH desde la administración avanzada del sistema.
- Los atributos equivalentes para email, username, first_name y last_name.
Opciones de configuración
La autenticación con SAML2 permite algunas configuraciones adicionales, por ejemplo:
-
DEFAULT_TEAM_NAME (string): Permite indicar el nombre interno del team en el que se crearán los usuarios por defecto.
-
CHECK_USER_HAS_INTERNAL_GROUPS (bool): Permite indicar si se requiere que el usuario tenga algún grupo asignado en Athento para que le sea permitido el acceso. IMPORTANTE: El usuario tendrá que ser creado a mano en Athento previo a su primera autenticación.
-
CHECK_USER_IN_GROUPS (string list): Permite indicar el nombre de los grupos que el usuario debe tener asignado en el directorio de usuario para permitirle el acceso a Athento.
¿Cómo puedo actualizar el archivo XML de metadatos?
El fichero XML de metadatos puede actualizarse, para ello, hay que buscar la propiedad SAML2_AUTH_METADATA_LOCAL_FILE_PATH en "File config property" desde la administración avanzada del sistema. En ella, editarla y subir el nuevo fichero.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.