Saltar al contenido principal

SAML2

Soporte L1
  • Actualización

SAML2.0 (Security Assertion Markup Language 2.0) es un sistema de autenticación y autorización entre dominios basado en tokens de seguridad . A continuación vamos a ver cómo configurar el SSO contra el proveedor de identidad en Athento.

 

SAML2.png

 

Requisitos del IP

El Identity Provider (IP) debe proporcionar el descriptor XML que debe ser alojado en la configuración de Athento. Si éste provee de una ruta accesible al descriptor Athento puede vincular directamente a la URL del IP, en otro caso bastaría con colocar el fichero XML en el propio servidor de Athento para establecer dicha configuración. Para ello, asociamos la URL o el fichero en los atributos de configuración de Athento: METADATA_AUTO_CONF_URL ó METADATA_LOCAL_FILE_PATH. Esta configuración se realiza en la propiedad SAML2_AUTH del fichero local_settings.py, con la estructura que puede verse más abajo.

 

Mapeo de atributos

Para establecer la configuración de usuarios de Athento con la información proviniente del IP, es necesario realizar la vinculación entre los UserProfileMetadata del IP a las propiedades del usuario de Athento. Para usamos el atributo ATTRIBUTES_MAP.

 

SAML2_AUTH = {
    'METADATA_LOCAL_FILE_PATH': '/etc/saml2/athento/athento-metadata2.xml',
    'ASSERTION_URL': 'https://saml2.athento.com',
    'CREATE_USER': 'TRUE',
    'NEW_USER_PROFILE': {
        'USER_GROUPS': []
    },
    'ENTITY_ID': 'https://saml2.athento.com/saml2sso/acs/',
    'NAME_ID_FORMAT': None,
    'FRONTEND_URL': 'https://saml2.athento.com',
    'ATTRIBUTES_MAP': {
        'email': 'mail',
        'username': 'mail',
        'first_name': 'givenName',
        'last_name': 'sn',
    }
}

 

¿Qué información usa Athento para la configuración SAML2?

Los parámetros habituales para generar el fichero de metadatos son:

Entity ID: Suele ser una URL del tipo https://SUBDOMINIO.athento.com/saml2sso/acs/

Assertion URL: https://SUBDOMINIO.athento.com 

Atributos de usuario: Los atributos mínimos que se recomiendan son los que se muestran en la siguiene estructura de mapeo, teniendo en cuenta que los nombres email, username, first_name y last_name son los usados por Athento y los nombres mail, givenName y sn son los usados por el proveedor de identidad SAML (ajustar según sea necesario).

'ATTRIBUTES_MAP': {
    'email': 'mail',
    'username': 'username',
    'first_name': 'givenName',
    'last_name': 'sn',
}

Haga una solicitud a soporte@athento.com para conocer el subdominio exacto de su instancia.

 

¿Qué debo enviar a Athento para realizar la configuración SAML2?

Para solicitar su configuración SAML2 debe enviar un correo a soporte@athento.com con:

  1. El fichero XML de metadatos
  2. Los atributos equivalentes para email, username, first_name y last_name

 

Opciones de configuración

 

La autenticación con SAML2 permite algunas configuraciones adicionales, por ejemplo:

  • DEFAULT_TEAM_NAME (string): Permite indicar el nombre interno del team en el que se crearán los usuarios por defecto.

  • CHECK_USER_HAS_INTERNAL_GROUPS (bool): Permite indicar si se requiere que el usuario tenga algún grupo asignado en Athento para que le sea permitido el acceso. IMPORTANTE: El usuario tendrá que ser creado a mano en Athento previo a su primera autenticación.

  • CHECK_USER_IN_GROUPS (string list): Permite indicar el nombre de los grupos que el usuario debe tener asignado en el directorio de usuario para permitirle el acceso a Athento.

     

 

 

 

 

 

 

Artículos relacionados

Comentarios

0 comentarios

El artículo está cerrado para comentarios.