Configuración de inicio de sesión único (SSO)

Dotcom-Monitor admite el inicio de sesión SSO (inicio de sesión único) mediante SAML 2.0. SAML proporciona la transferencia de datos de autenticación entre el proveedor de identidad de los clientes y el servicio Dotcom-Monitor. Toda la información de inicio de sesión del usuario se almacena en el lado del proveedor de identidad y no en Dotcom-Monitor, lo que garantiza un alto nivel de seguridad y una mejor experiencia de usuario.

Una vez que haya configurado los grupos de permisos en su sistema, Dotcom-Monitor asigna estos grupos a nuestros roles de usuario y otorga acceso al sistema Dotcom-Monitor en consecuencia.

Más adelante en este artículo, proporcionamos los pasos necesarios para habilitar SSO con Active Directory FS (ADFS) y AZURE Active Directory (Azure AD) como proveedores de identidades. Además, se proporcionan guías paso a paso para la integración de OKTA SAML.

Por lo general, no es aconsejable configurar un usuario dotcom-monitor en varios grupos con diferentes niveles de permisos dentro de Active Directory. Sin embargo, si un usuario pertenece a dos o más niveles de permisos en Dotcom-Monitor, el nivel de permisos más bajo tendrá prioridad sobre los niveles con permisos más altos. Por ejemplo, si a un usuario se le han asignado simultáneamente los roles Visor (solo lectura) y Usuario con energía dentro de la plataforma Dotcom-Monitor, son los permisos del rol Visor los que se aplicarán durante el inicio de sesión sso.

SSO con Active Directory FS
1. Instale ADFS 2.0 (la ayuda se puede encontrar en http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. Descargar metadatos.xml.

3. En la consola de administración de ADFS 2.0, agregue un certificado SSL para firmar las respuestas/solicitudes de Dotcom-Monitor:
- Inicie la consola de administración de ADFS 2.0 y abra el Asistente para configuracióndel servidor .
- Haga clic en Crear nueva FS y seleccione FS independiente.
- Seleccione Certificado SSL (si no hay certificados, puede crear un certificado autofirmado utilizando certificados de servidor INETMGR > Crear certificado > autofirmado).
4. En la consola de administración de ADFS 2.0, agregue IDR a las relaciones de confianza para usuario autenticado de ADFS:
- Haga clic en Confianzas de usuario de confianza y seleccione Agregar confianzade usuario de confianza .
- En la ventana del asistente, haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza desde un archivo.
- Elija metadatos.xml.
- Elija cualquier nombre significativo (dotcom-monitor.com).
- Haga clic en Siguiente y siga las indicaciones.
- En el paso Reglas de autorización de emisión, seleccione Permitir que todos los usuarios accedan a este usuario de confianza
- En el paso final, haga clic para anular la selección de la casilla abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza para usuario autenticado cuando se cierre el asistente.
- Cierre el asistente.
5. Establecer SHA-1 como un algoritmo hash seguro:
- Después de crear la confianza de usuario de confianza, haga clic con el botón derecho en la lista y seleccione Properties.
- Vaya a la pestaña Avanzadas y cambie el algoritmo hash a SHA-1.
6. Agregue la regla de notificación para enviar atributos LDAP como notificaciones:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y asegúrese de que la plantilla de regla de notificación tiene seleccionado Enviar atributos LDAP como notificaciones.
- Asigne el nombre de la regla de notificación.
- Seleccione el almacén de atributos para que sea Active Directory.
- Agregue dos asignaciones de atributos: para User-Principal-Name set UPN, para Token-Groups – Unqualified Names set Role.
7. Agregar regla personalizada:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y establezca la plantilla Regla de notificación en Enviar notificaciones mediante una regla personalizada.
- Asigne el nombre de la regla de notificación.
- Inserte el siguiente script:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- Reemplace «http://www.example.com/adfs/services/trust» por el entityID de proveedor de identidad (IdP) adecuado («http://idpsite.com/adfs/services/trust«).
8. Abra la URL en el navegador desde la máquina IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. Guarde el contenido XML como un archivo y envíelo al soporte de Dotcom-Monitor utilizando el sistema de tickets.

Cuando SSO está habilitado, puede agregar usuarios del sitio web de Dotcom-Monitor creando nuevos usuarios en AD o agregando usuarios existentes a uno de los siguientes grupos: «Dotcom-Monitor_Administrators», «Dotcom-Monitor_Users», «Dotcom-Monitor_Power_Users», «Dotcom-Monitor_Accounting_Users», «Dotcom-Monitor_ReadOnly_Users», «Dotcom-Monitor_Operators«. Cada uno de estos grupos debe tener el ámbito «global»o «universal» y el tipo «seguridad«.
SSO con AZURE Active Directory
1. Inicie sesión en Azure Portal como administrador global o coadministrador.

2. En el portal, en el panel de navegación izquierdo, seleccione Azure Active Directory.

3. Para administrar (crear) usuarios para el futuro inicio de sesión de SSO mediante Azure AD, en la sección Administrar del panel de navegación de Azure Active Directory, seleccione >UsuariosTodos los usuarios:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Cree una nueva aplicación empresarial:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales.
- Haga clic en Nueva aplicacióny, a continuación, en Aplicación no galería.
- En la página Agregar su propia aplicación, establezca el nombre de la nueva aplicación («userauth.dotcom-monitor.com«) y haga clic en Agregar.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Edite los metadatos de la aplicación para agregar grupos de monitores de puntos:
- En el panel de navegación de Azure Active Directory, seleccione Registrosde aplicaciones .
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Haga clic en la aplicación «userauth.dotcom-monitor.com» y, a continuación, en la sección Administrar , seleccione Manifiesto.
- En el editor de manifiestos basado en web, agregue los siguientes roles en el nodo appRoles y Guardar:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. Edite la configuración de SSO:
- En el panel de navegación de Azure Active Directory , seleccione Aplicaciones empresariales y haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación «userauth.dotcom-monitor.com«.
- En la sección Administrar, seleccione Inicio de sesión único.
- Seleccione SAML para configurar el inicio de sesión único. En la página Configurar inicio de sesión único con SAML – Vista previa, configure las opciones básicas de SAML:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Atributos de usuario y reclamaciones y agregue los nuevos atributos:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Certificado de firma SAML.
- En la sección Certificado de firma SAML, haga clic en Descargar XML de metadatos y guárdelo en el disco. Este archivo debe enviarse a dotcom-monitor.com soporte.
- Marque Hacer que el nuevo certificado esté activo (solo después de descargar los metadatos) y confirme la acción.
- Marque Mostrar la configuración avanzada de la firma del certificado y fije el SHA-1 como el algoritmo de firma.
- Haga clic en Guardar.
6. Asigna roles:
- En el panel de navegación de Azure Active Directory , seleccione Aplicaciones empresariales y haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación «userauth.dotcom-monitor.com» y, a continuación, seleccione Usuarios y grupos.
- Haga clic en Agregar usuario, seleccione usuario, seleccione el rol (uno de los roles puntocom-monitor) y haga clic en Asignar. Hazlo para todos los usuarios necesarios.
7. Envíe metadatos.xml al soporte de puntocom-monitor. Haga clic aquí, inicie sesión en su cuenta y envíe un ticket.
SSO con OKTA

Compruebe los siguientes materiales para configurar la integración de OKTA con Dotcom-Monitor y habilitar SSO:

OKTA – Guía PDF de integración dotcom-monitor

Vídeo tutorial de integración SAML de OKTA con Dotcom-Monitor

Vídeo de inicio de sesión SAML

Consulte también las siguientes guías alternativas:

Guía alternativa de Okta a Dotcom-Monitor

Okta to Dotcom-Monitor SAML Configuration Video

Configuración de SSO para departamentos

Si tiene un departamento creado para la cuenta de Dotcom-Monitor, puede configurar los usuarios de SSO para que inicien sesión en él.

Para habilitar SSO para departamentos, agregue el nombre del departamento como sufijo al nombre del grupo o rol reservado para los propósitos de Dotcom-Monitor en AD. Utilice un guión doble como separador:

<AD Group Name>--<Department Name>

Para configurar SSO con Dotcom-Monitor, utilice los siguientes nombres para configurar roles de SSO en su servicio de directorio:

Nombre del grupo de AD (rol de SSO)	Rol de usuario en Dotcom-Monitor
Puntocom-Monitor_Administrators	Admin
Puntocom-Monitor_Users	Usuario
Puntocom-Monitor_Accounting_Users	Accounting
Puntocom-Monitor_ReadOnly_Users	Espectador
Puntocom-Monitor_Power_Users	Usuario avanzado
Puntocom-Monitor_Operators	Operador

Por ejemplo, para permitir que un usuario inicie sesión en el departamento «AlphaDep» con permisos del rol Usuario avanzado , agregue el siguiente sufijo al grupo de AD Dotcom-Monitor_Power_Users :

«Dotcom-Monitor_Power_Users--AlphaDep»

Para cambiar un nombre de grupo de ADFS, haga clic con el botón secundario en el grupo y seleccione Cambiar nombre. Una vez que se cambie el nombre, cambie el nombre anterior a Windows 2000 también en el cuadro emergente o en Propiedades nombre de grupo > general > (anterior a Windows 2000).

También puede agregar varios nombres de departamentos uno por uno utilizando el mismo formato. Por ejemplo:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Para permitir que los usuarios inicien sesión en la cuenta raíz, especifique un grupo de AD relevante sin un sufijo de departamento, como se describió anteriormente:

«Dotcom-Monitor_ReadOnly_Users»

Si un usuario se incluye en varios grupos AD «Dotcom-Monitor_» con SSO configurado para departamentos, se habilitará el inicio de sesión en todos los departamentos correspondientes (si los departamentos existen en la cuenta de Dotcom-Monitor).

Vea también: Iniciar sesión con SSO

SSO con Active Directory FS

SSO con AZURE Active Directory

SSO con OKTA

Configuración de SSO para departamentos