Autenticación por OpenID Connect
Configuración del proveedor de identidad
Si dispone de un proveedor de identidad externo compatible con el protocolo OpenID Connect, puede configurar Cyberwatch para que los usuarios puedan autenticarse desde este proveedor, eliminando la necesidad de crear cuentas locales manualmente desde la consola de administración de Cyberwatch.
La configuración de Cyberwatch para OpenID Connect se encuentra en el menu Administración > Proveedor de identidad > OpenID Connect.
El primer paso de configuración consiste en crear en el proveedor de identidad una aplicación OpenID Connect (o, mas generalmente, OAuth) destinada a Cyberwatch. Por lo general sera necesario indicar en ese momento la URL de redireccion mostrada en la pagina de configuración de Cyberwatch. Cyberwatch utiliza exclusivamente el modo de autenticación OAuth authorization code.
Dado que la gestión de controles de acceso se delegara al proveedor de identidad, se recomienda limitar el acceso a la aplicación a un mínimo de usuarios.
Una vez declarada la aplicación en el proveedor de identidad, deberá configurar en Cyberwatch la URL de la autoridad. Por ejemplo, para Microsoft Entra ID la URL tiene la forma https://login.microsoftonline.com/{tenant}/v2.0. Luego sera necesario introducir el ID de la aplicación creada anteriormente como identificador. El secreto puede dejarse vacio. Guarde la configuración.
Si la configuración es correcta, se generara un certificado de cliente. Este certificado deberá registrarse en el proveedor de identidad para permitir la autenticación de la aplicación Cyberwatch ante este.
Por ultimo, para probar la configuración, puede cerrar la sesión de Cyberwatch o bien abrir una sesión privada para ver aparecer en la pagina de inicio de sesión Cyberwatch un nuevo botón de conexión. Al hacer clic se redirigira hacia su proveedor de identidad y luego de nuevo a Cyberwatch. Se creara una nueva cuenta de Cyberwatch.
Si la conexión genera un error en Cyberwatch, consulte los registros.
Sincronización de atributos
Los tokens de autenticación OpenID Connect contienen un conjunto de claims configurables desde el proveedor de identidad. Cyberwatch es capaz de utilizar estos datos para completar automáticamente los datos de las cuentas Cyberwatch en cada inicio de sesión.
Se recomienda sincronizar los atributos de nombre y correo. El nombre de los atributos del token puede variar de un proveedor a otro, pero name y email son valores comunes.
El rol de las cuentas también puede definirse desde un atributo del token, lo que permite, por ejemplo, asignar un rol según el grupo de un usuario asignado por el proveedor de identidad. De lo contrario, los roles deben ajustarse por el administrador después de que la cuenta en cuestion se haya conectado por primera vez.