Servicios de federación de Active Directory con SAML

Siga los pasos descritos a continuación para configurar el inicio de sesión único (SSO) para Claris Studio con los servicios de federación de su instancia de Active Directory utilizando el Lenguaje de Marcado para Confirmaciones de Seguridad (Security Asssertion Markup Language, SAML). Para establecer la confianza entre la instancia de AD y el equipo de Claris Studio, deberá:

• Crear una relación de confianza para usuario autenticado.

• Añadir asignaciones de notificaciones.

• Introducir la URL de metadatos en Claris Studio.

Abrir la página de configuración de Claris Studio

1. Inicie sesión en su equipo de Claris Studio.

2. Haga clic en la pestaña Usuarios a la izquierda y, a continuación, haga clic en Configurar proveedor de identidad externo.

   

3. En el cuadro de diálogo Configurar proveedor de identidad externo, seleccione SAML en Protocolo. Mantenga esta página abierta para volver más tarde.

Añadir relación de confianza para usuario autenticado

1. En su instancia de Windows Server, inicie sesión con la cuenta de administrador. En el menú Inicio, haga clic en Windows Administrative Tools (Herramientas administrativas de Windows) en la sección Windows Server situada a la derecha.

   

2. En la nueva ventana del explorador de archivos, abra el acceso directo AD FS Management (Gestión de AD FS).

   

3. En la barra lateral izquierda de la ventana de AD FS, haga clic con el botón derecho en Relying Party Trusts (Relaciones de confianza para usuario autenticado) > Add Relying Party Trust (Añadir relación de confianza para usuario autenticado).

   

4. En el asistente, elija Claims aware (Sensible a notificaciones) y luego haga clic en Start (Iniciar).

   

5. Elija Enter data about the relying party manually (Introducir manualmente los datos sobre la relación de confianza para usuario autenticado) y, a continuación, haga clic en Next (Siguiente).

   

6. Asigne un nombre a la nueva integración en Display name (Nombre para mostrar) y añada notas que le ayuden a distinguir esta integración para su equipo de Claris Studio de cualquier otra integración. Haga clic en Next (Siguiente).

   

7. Deje la configuración del certificado vacía.

   Haga clic en Next (Siguiente).

   

8. Seleccione la opción Enable support for the SAML 2.0 WebSSO Protocol (Permitir el protocolo SAML 2.0 WebSSO). Luego, en Claris Studio, copie el valor de Assertion Consumer Service URL (URL del Servicio de consumidor de aserciones) (consulte "Abrir la página de configuración de Claris Studio" más arriba) y péguelo aquí.

   Haga clic en Next (Siguiente).

   

9. Para Relying party trust identifier (Identificador de relación de confianza para usuario autenticado), en Claris Studio, copie el valor de Entity ID (ID de entidad) (consulte "Abrir la página de configuración de Claris Studio" más arriba) y péguelo aquí.

   A continuación, haga clic en Add (Añadir) y Next (Siguiente) para continuar.

   

10. Elija una política de acceso para decidir qué usuarios de la organización pueden acceder a este equipo de Claris Studio.

    Por ejemplo, si elige Permit Everyone (Permitir a todos), permitirá que todos los usuarios de su instancia de Active Directory accedan a este equipo de Claris Studio.

    Haga clic en Next (Siguiente).

    

11. En la pantalla Ready to Add Trust (Listo para agregar relación de confianza), haga clic en Next (Siguiente) sin cambiar nada.

    

12. Asegúrese de que la opción Configure claims issuance policy (Configurar política de emisión de notificaciones) para esta aplicación esté seleccionada.

    Haga clic en Close (Cerrar).

    

Añadir asignaciones

1. Las propiedades de los usuarios en Active Directory deben asignarse a nombres que Claris Studio entienda.

   Para Relying Party Trusts (Relaciones de confianza para usuario autenticado), seleccione la relación de confianza que acaba de añadir y, a continuación, haga clic en Edit Claim Issuance Policy (Editar política de emisión de notificaciones) en la barra lateral de la derecha.

   

2. En el cuadro de diálogo, haga clic en Add Rule (Añadir regla).

   

3. En el nuevo asistente de reglas, en Claim rule template (Plantilla de regla de notificación), deje seleccionada la opción Send LDAP Attributes as Claims (Enviar atributos LDAP como notificaciones).

   Haga clic en Next (Siguiente).

   

4. En Claim rule name (Nombre de regla de notificación), asigne a la regla un nombre descriptivo. Deje Attribute store (Almacén de atributo) configurado en Active Directory.

   Luego, haga clic en la flecha de despliegue de opciones y elija E-Mail-Addresses (Direcciones de correo electrónico) como atributo LDAP para la primera fila. En la siguiente fila, seleccione la opción Given-Name (Nombre de pila) y, en la tercera fila, seleccione Surname (Apellido).

   En la columna Outgoing Claim Type (Tipo de notificación saliente) de cada fila, introduzca el siguiente valor para cada atributo LDAP. Asegúrese de introducir los tipos de notificaciones exactamente como se muestra aquí, ya que distinguen entre mayúsculas y minúsculas.

   • E-Mail-Addresses (Direcciones de correo electrónico) → Email (Correo electrónico)

   • Given-Name (Nombre de pila) → Firstname (Nombre)

   • Surname (Apellido) → Lastname (Apellido)

   Haga clic en Finish (Terminar) cuando haya terminado.

   

5. En el cuadro de diálogo, haga clic en Apply (Aplicar).

   

Eso es todo. Ahora puede cerrar las ventanas que queden abiertas y cerrar la sesión en la instancia de Windows Server.

Introducir los valores en Claris Studio

1. Vuelva a la página de Claris Studio que abrió anteriormente (consulte "Abrir la página de configuración de Claris Studio").

2. En el cuadro de diálogo Configure External Identity Provider (Configurar proveedor de identidad externo), en Protocol (Protocolo), elija SAML. Luego, en Metadata (Metadatos), introduzca la siguiente URL:

   https://<Dominio de AD FS>/federationmetadata/2007-06/FederationMetadata.xml

   donde <Dominio de AD FS> es el nombre de dominio o la dirección IP de AD FS

3. Seleccione uno o varios Grupos predeterminados en los que quiera iniciar sesión mediante este proveedor de identidad externo y, a continuación, haga clic en Aplicar.

   Si no tiene grupos, puede crear uno aquí y añadir usuarios a él más tarde. Consulte Trabajar con grupos para obtener más información.

   

4. En la página Usuarios, copie el enlace denominado URL de inicio de sesión de la aplicación y facilíteselo a los usuarios. El uso de esta URL les permite iniciar sesión en Claris Studio con sus credenciales de SSO.