Configuración de inicio de sesión único (SSO)

Dotcom-Monitor admite el inicio de sesión SSO mediante SAML 2.0.

Estos son los pasos necesarios para habilitar SSO con Active Directory FS (ADFS) y AZURE Active Directory (Azure AD) como proveedores de identidades.

SSO with Active Directory FS
1. Instale ADFS 2.0 (la ayuda se puede encontrar en http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. En la consola de administración de ADFS 2.0, agregue un certificado SSL para firmar las respuestas/solicitudes de Dotcom-Monitor:
- Inicie la consola de administración de ADFS 2.0 y abra el Asistente para configuracióndel servidor .
- Haga clic en Crear nueva FS y seleccione FS independiente.
- Seleccione Certificado SSL (si no hay certificados, puede crear un certificado autofirmado mediante Certificados de servidor INETMGR > Crear certificado > autofirmado).
3. En la consola de administración de ADFS 2.0, agregue IDR a los fideicomisos de usuario de confianza de ADFS:
- Haga clic en Confianzas de usuario de confianza y seleccione Agregar confianzade usuario de confianza .
- En la ventana del asistente, haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza desde un archivo
- Elija DMSPMetadata.xml.
- Elija cualquier nombre significativo (dotcom-monitor.com).
- Haga clic en Siguiente y siga las indicaciones.
- En el paso Reglas de autorización de emisión, seleccione Permitir que todos los usuarios accedan a este usuario de confianza
- Al finalizar, haga clic en el paso para anular la selección del cuadro de diálogo Abrir las reglas de notificación para esta confianza de usuario de confianza cuando se cierre el asistente.
- Cierre el asistente.
4. Establezca SHA-1 como algoritmo hash seguro:
- Después de crear la confianza de usuario de confianza, haga clic con el botón derecho en la lista y seleccione Properties.
- Vaya a la pestaña Avanzadas y cambie el algoritmo hash a SHA-1.
5. Agregue la regla de la notificación para enviar los atributos LDAP como reclamos:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y asegúrese de que la plantilla de regla de notificación tiene seleccionado Enviar atributos LDAP como notificaciones.
- Asigne el nombre de la regla de notificación.
- Seleccione el almacén de atributos para que sea Active Directory.
- Agregue dos asignaciones de atributos: para User-Principal-Name set UPN, para Token-Groups – Unqualified Names set Role.
6. Añadir regla personalizada:
- Haga clic con el botón derecho en el usuario de confianza y seleccione Editar reglas de notificación.
- Haga clic en Agregar regla y establezca la plantilla Regla de notificación en Enviar notificaciones mediante una regla personalizada.
- Asigne el nombre de la regla de notificación.
- Inserte el siguiente script:
c: [Type] ? > issue(Type ? “http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”, Issuer á c.Issuer, OriginalIssuer á c.OriginalIssuer, Value á c.Value, ValueType ? c.ValueType, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format”] á “urn:oasis:names:tc:SAML:2.0:nameid-format:transient”, Propiedades[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier”] á “http://www.example.com/adfs/services/trust”, Properties[“http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier”] á “https://userauth.dotcom-monitor.com/”)
- Reemplace “http://www.example.com/adfs/services/trust” por el entityID de proveedor de identidad (IdP) adecuado (“http://idpsite.com/adfs/services/trust“).
7. Abra la URL en el navegador desde el equipo IdP: https://localhost/federationmetadata/2007-06/federationmetadata.xml

8. Guarde el contenido XML como un archivo y envíelo al soporte de Dotcom-Monitor utilizando el sistema de tickets.

Cuando SSO está habilitado, puede agregar usuarios del sitio web de Dotcom-Monitor creando nuevos usuarios en AD o agregando usuarios existentes a uno de los siguientes grupos: “Dotcom-Monitor_Power_Users“, “Dotcom-Monitor_User_Users“, “Dotcom-Monitor_Accounting_Users“, “Dotcom-Monitor_ReadOnly_Users“, “Dotcom-Monitor_Operators“. Cada uno de estos grupos debe tener el ámbito “global”o “universal” y el tipo “seguridad“.
SSO with AZURE Active Directory
1. Inicie sesión en Azure Portal como administrador global o coadministrador.

2. En el portal, en el panel de navegación izquierdo, seleccione Azure Active Directory.

3. Para administrar (crear) usuarios para el futuro inicio de sesión de SSO mediante Azure AD, en la sección Administrar del panel de navegación de Azure Active Directory, seleccione Usuarios > Todos los usuarios:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. Cree una nueva aplicación empresarial:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales.
- Haga clic en Nueva aplicacióny, a continuación, en Aplicación no galería.
- En la página Agregar su propia aplicación, establezca el nombre de la nueva aplicación (“userauth.dotcom-monitor.com“) y haga clic en Agregar.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. Edite los metadatos de la aplicación para agregar grupos de monitores de puntos:
- En el panel de navegación de Azure Active Directory, seleccione Registrosde aplicaciones .
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- Haga clic en la aplicación “userauth.dotcom-monitor.com” y, a continuación, en la sección Administrar , seleccione Manifiesto.
- En el editor de manifiestos basado en web, agregue los siguientes roles en el nodo appRoles y Guardar:
```
  {
 "allowedMemberTypes": [
 "Usuario"
 ],
 "displayName": "Dotcom-Monitor_Power_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
 "isEnabled": true,
 "description": "Dotcom-Monitor_Power_Users",
 "value": "Dotcom-Monitor_Power_Users"
  },  
  {
 "allowedMemberTypes": [
 "Usuario"
 ],
 "displayName": "Dotcom-Monitor_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52babc",
 "isEnabled": true,
 "description": "Dotcom-Monitor_Users",
 "value": "Dotcom-Monitor_Users"
  },  
  {
 "allowedMemberTypes": [
 "Usuario"
 ],
 "displayName": "Dotcom-Monitor_Accounting_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
 "isEnabled": true,
 "description": "Dotcom-Monitor_Accounting_Users",
 "value": "Dotcom-Monitor_Accounting_Users"
  },
  {
 "allowedMemberTypes": [
 "Usuario"
 ],
 "displayName": "Dotcom-Monitor_ReadOnly_Users",
 "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
 "isEnabled": true,
 "description": "Dotcom-Monitor_ReadOnly_Users",
 "value": "Dotcom-Monitor_ReadOnly_Users"
  },
  {
 "allowedMemberTypes": [
 "Usuario"
 ],
 "displayName": "Dotcom-Monitor_Operators",
 "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
 "isEnabled": true,
 "description": "Dotcom-Monitor_Operator_Users",
 "value": "Dotcom-Monitor_Operator_Users"
  },
```
5. Edite la configuración de SSO:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales, haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación “userauth.dotcom-monitor.com“.
- En la sección Administrar, seleccione Inicio de sesión único.
- Seleccione SAML para configurar el inicio de sesión único. En la página Configurar inicio de sesión único con SAML – Vista previa, configure las opciones básicas de SAML:
```
Identificador: "
  https://userauth.dotcom-monitor.com/
" 
URL de respuesta: "
  https://userauth.dotcom-monitor.com/Login.ashx
"
Identificador de usuario único: "user.userprincipalname"
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Atributos de usuario y reclamaciones y agregue los nuevos atributos:
```
 Nombre: "Roles"
 Valor: "user.assignedroles"
```
- Seleccione el icono Editar (un lápiz) en la esquina superior derecha de la sección Certificado de firma SAML.
- En la sección Certificado de firma SAML, haga clic en Descargar XML de metadatos y guárdelo en el disco. Este archivo debe enviarse a dotcom-monitor.com soporte.
- Marque Hacer que el nuevo certificado esté activo (solo después de descargar los metadatos) y confirme la acción.
- Marque Mostrar la configuración avanzada de la firma del certificado y fije el SHA-1 como el algoritmo de firma.
- Haga clic en Guardar.
6.Asignar roles:
- En el panel de navegación de Azure Active Directory, seleccione Aplicaciones empresariales, haga clic en Todas las aplicaciones.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- Haga clic en la aplicación “userauth.dotcom-monitor.com” y, a continuación, seleccione Usuarios y grupos.
- Haga clic en Agregar usuario, seleccionar usuario, seleccionar rol (uno de los roles de monitor de punto), haga clic en Asignar. Hazlo para todos los usuarios necesarios.
7. Envíe metadata.xml al soporte de dotcom-monitor. Haga clic aquí,inicie sesión en su cuenta y envíe un ticket.

Configuración de SSO para departamentos

Si tiene un departamento creado para la cuenta de Dotcom-Monitor, puede configurar usuarios de SSO que inicien sesión en ella.

Para habilitar SSO para departamentos, agregue el nombre del departamento como sufijo al nombre del grupo o rol reservado para los propósitos de Dotcom-Monitor en AD. Utilice un guión doble como separador:

<Nombre del grupo > — < Nombre del departamento>

Por ejemplo, para permitir que un usuario inicie sesión en el departamento “AlphaDep” como usuario avanzado, debe agregar el siguiente sufijo al grupo de AD dotcom-Monitor_Power_Users:

«Dotcom-Monitor_Power_Users--AlphaDep»

Para cambiar un nombre de grupo aDFS, haga clic con el botón derecho en el grupo y seleccione Cambiar nombre. Una vez renombrado, cambie el nombre anterior a Windows 2000 también en el cuadro emergente o desde Nombre de grupo general de propiedades (antes de > General > Windows 2000).

Para habilitar SSO para varios departamentos simultáneamente, agregue los nombres de departamento uno por uno con el mismo formato. Por ejemplo:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

Para permitir que los usuarios inicien sesión en la cuenta raíz, especifique un grupo de AD relevante sin un sufijo de departamento como se describió anteriormente:

«Dotcom-Monitor_ReadOnly_Users»

Si un usuario se incluye en varios grupos AD «Dotcom-Monitor_» con SSO configurado para departamentos, se habilitará el inicio de sesión en todos los departamentos correspondientes (si los departamentos existen en la cuenta de Dotcom-Monitor).

Configuración de inicio de sesión único (SSO)

SSO with Active Directory FS

SSO with AZURE Active Directory

Configuración de SSO para departamentos

Soluciones

Funciones

Empresa