Configuración de inicio de sesión único (SSO)

Dotcom-Monitor admite el inicio de sesión SSO (inicio de sesión único) mediante SAML 2.0.

Por lo general, no es aconsejable configurar un usuario dotcom-monitor en varios grupos con diferentes niveles de permisos dentro de Active Directory. Sin embargo, si un usuario pertenece a dos o más niveles de permisos en Dotcom-Monitor, el nivel de permisos más bajo tendrá prioridad sobre los niveles con permisos más altos. Por ejemplo, si a un usuario se le han asignado simultáneamente los roles Visor (solo lectura) y Usuario con energía dentro de la plataforma Dotcom-Monitor, son los permisos del rol Visor los que se aplicarán durante el inicio de sesión sso.

Estos son los pasos necesarios para habilitar SSO con Active Directory FS (ADFS) y AZURE Active Directory (Azure AD) como proveedores de identidades. Además, se proporcionan las guías paso a paso para la integración de OKTA SAML.

SSO con Active Directory FS
1. Instale ADFS 2.0 (la ayuda se puede encontrar en http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Descargar metadatos.xml.

3. En la consola de administración de ADFS 2.0, agregue un certificado SSL para firmar las respuestas/solicitudes de Dotcom-Monitor:
- Inicie la consola de administración de ADFS 2.0 y abra el Asistente para configuracióndel servidor .
- Haga clic en Crear nueva FS y seleccione FS independiente.
- Seleccione Certificado SSL (si no hay certificados, puede crear un certificado autofirmado utilizando certificados de servidor INETMGR > Crear certificado > autofirmado).
4. En la consola de administración de ADFS 2.0, agregue IDR a las relaciones de confianza para usuario autenticado de ADFS:
- Haga clic en Confianzas de usuario de confianza y seleccione Agregar confianzade usuario de confianza .
- En la ventana del asistente, haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza desde un archivo.
- Elija metadatos.xml.
- Elija cualquier nombre significativo (dotcom-monitor.com).
- Haga clic en Siguiente y siga las indicaciones.
- En el paso Reglas de autorización de emisión, seleccione Permitir que todos los usuarios accedan a este usuario de confianza
- En el paso final, haga clic para anular la selección de la casilla abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza para usuario autenticado cuando se cierre el asistente.
- Cierre el asistente.
5. Establecer SHA-1 como un algoritmo hash seguro:
- Después de crear la confianza de usuario de confianza, haga clic con el botón derecho en la lista y seleccione Properties.
- Vaya a la pestaña Avanzadas y cambie el algoritmo hash a SHA-1.
6. Agregue la regla de notificación para enviar atributos LDAP como notificaciones:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y asegúrese de que la plantilla de regla de notificación tiene seleccionado Enviar atributos LDAP como notificaciones.
- Asigne el nombre de la regla de notificación.
- Seleccione el almacén de atributos para que sea Active Directory.
- Agregue dos asignaciones de atributos: para User-Principal-Name set UPN, para Token-Groups – Unqualified Names set Role.
7. Agregar regla personalizada:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y establezca la plantilla Regla de notificación en Enviar notificaciones mediante una regla personalizada.
- Asigne el nombre de la regla de notificación.
- Inserte el siguiente script:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Reemplace “http://www.example.com/adfs/services/trust” por el entityID de proveedor de identidad (IdP) adecuado (“http://idpsite.com/adfs/services/trust“).
8. Abra la URL en el navegador desde la máquina de IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Guarde el contenido XML como un archivo y envíelo al soporte de Dotcom-Monitor utilizando el sistema de tickets.

Cuando SSO está habilitado, puede agregar usuarios del sitio web de Dotcom-Monitor creando nuevos usuarios en AD o agregando usuarios existentes a uno de los siguientes grupos: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Cada uno de estos grupos debe tener el ámbito “global”o “universal” y el tipo “seguridad“.
SSO con AZURE Active Directory
1. Inicie sesión en Azure Portal como administrador global o coadministrador.

2. En el portal, en el panel de navegación izquierdo, seleccione Azure Active Directory.

3. Para administrar (crear) usuarios para el futuro inicio de sesión de SSO mediante Azure AD, en la sección Administrar del panel de navegación de Azure Active Directory, seleccione >UsuariosTodos los usuarios:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Cree una nueva aplicación empresarial:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales.
- Haga clic en Nueva aplicacióny, a continuación, en Aplicación no galería.
- En la página Agregar su propia aplicación, establezca el nombre de la nueva aplicación (“userauth.dotcom-monitor.com“) y haga clic en Agregar.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Edite los metadatos de la aplicación para agregar grupos de monitores de puntos:
- En el panel de navegación de Azure Active Directory, seleccione Registrosde aplicaciones .
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Haga clic en la aplicación “userauth.dotcom-monitor.com” y, a continuación, en la sección Administrar , seleccione Manifiesto.
- En el editor de manifiestos basado en web, agregue los siguientes roles en el nodo appRoles y Guardar:
```
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operator_Users",
      "value": "Dotcom-Monitor_Operator_Users"
    },
```
5. Edite la configuración de SSO:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales, haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación “userauth.dotcom-monitor.com“.
- En la sección Administrar, seleccione Inicio de sesión único.
- Seleccione SAML para configurar el inicio de sesión único. En la página Configurar inicio de sesión único con SAML – Vista previa, configure las opciones básicas de SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Atributos de usuario y reclamaciones y agregue los nuevos atributos:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Certificado de firma SAML.
- En la sección Certificado de firma SAML, haga clic en Descargar XML de metadatos y guárdelo en el disco. Este archivo debe enviarse a dotcom-monitor.com soporte.
- Marque Hacer que el nuevo certificado esté activo (solo después de descargar los metadatos) y confirme la acción.
- Marque Mostrar la configuración avanzada de la firma del certificado y fije el SHA-1 como el algoritmo de firma.
- Haga clic en Guardar.
6.Asignar roles:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales, haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación “userauth.dotcom-monitor.com” y, a continuación, seleccione Usuarios y grupos.
- Haga clic en Agregar usuario, seleccionar usuario, seleccionar rol (uno de los roles de monitor de punto), haga clic en Asignar. Hazlo para todos los usuarios necesarios.
7. Envíe metadata.xml al soporte de dotcom-monitor. Haga clic aquí,inicie sesión en su cuenta y envíe un ticket.
SSO con OKTA

Compruebe los siguientes materiales para configurar la integración de OKTA con Dotcom-Monitor y habilitar SSO:

OKTA – Guía PDF de integración dotcom-monitor

Vídeo tutorial de integración SAML de OKTA con Dotcom-Monitor

Vídeo de inicio de sesión SAML

Consulte también las siguientes guías alternativas:

Guía alternativa de Okta a Dotcom-Monitor

Okta to Dotcom-Monitor SAML Configuration Video

Configuración de SSO para departamentos

Si tiene un departamento creado para la cuenta de Dotcom-Monitor, puede configurar usuarios de SSO que inicien sesión en ella.

Para habilitar SSO para departamentos, agregue el nombre del departamento como sufijo al nombre del grupo o rol reservado para los propósitos de Dotcom-Monitor en AD. Utilice un guión doble como separador:

<Nombre del > grupo: < nombre del departamento>

Por ejemplo, para permitir que un usuario inicie sesión en el departamento “AlphaDep” como usuario avanzado, debe agregar el siguiente sufijo al grupo de AD dotcom-Monitor_Power_Users:

«Dotcom-Monitor_Power_Users--AlphaDep»

Para cambiar un nombre de grupo de ADFS, haga clic con el botón secundario en el grupo y seleccione Cambiar nombre. Una vez que se cambie el nombre, cambie el nombre anterior a Windows 2000 también en el cuadro emergente o en Propiedades nombre de grupo > general > (anterior a Windows 2000).

También puede agregar varios nombres de departamentos uno por uno con el mismo formato. Por ejemplo:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Para permitir que los usuarios inicien sesión en la cuenta raíz, especifique un grupo de AD relevante sin un sufijo de departamento como se describió anteriormente:

«Dotcom-Monitor_ReadOnly_Users»

Si un usuario se incluye en varios grupos AD «Dotcom-Monitor_» con SSO configurado para departamentos, se habilitará el inicio de sesión en todos los departamentos correspondientes (si los departamentos existen en la cuenta de Dotcom-Monitor).

Configuración de inicio de sesión único (SSO)

SSO con Active Directory FS

SSO con AZURE Active Directory

SSO con OKTA

Configuración de SSO para departamentos

Soluciones

Funciones

Empresa