Configurar el proveedor de servicios SAML

Ir a Administración > Proveedor de identidad.

Configuración del proveedor de identidad

En su proveedor de identidad necesitara configurar los campos siguientes:

  • ACS URL: URL de redireccion hacia la aplicación Cyberwatch
  • Entity ID: nombre del proveedor de servicios
  • URL objetivo SSO IDP: URL SSO del proveedor de identidad
  • URL objetivo SLO IDP (opcional): URL Single Logout del proveedor de identidad, por defecto, Cyberwatch usara la URL objetivo SSO IDP
  • Single Logout URL: URL donde su proveedor de identidad debe enviar la solicitud de cierre de sesión
  • Formato del nombre de identificación: formato del nombre usado por el IDP para la identificación
  • Certificado IDP: certificado del proveedor de identidad

Configuración de los ajustes de Cyberwatch

  • Etiqueta: nombre del proveedor de identidad
  • Solicitar Single Logout: solicitar a su proveedor de identidad que cierre sesión a los usuarios de su sesión SAML
  • Sincronizar nombres: configurar los nombres y apellidos de los usuarios con la información proveniente de su proveedor de identidad

Configuración de atributos

Primero debe indicar a Cyberwatch donde buscar los atributos. Para ello, debe asegurarse de que su servidor IDP envía un AttributeStatement especifico con la respuesta SAML. Aquí hay un ejemplo:

<saml:AttributeStatement>
    <saml:Attribute Name="Roles">
        <saml:AttributeValue xsi:type="xs:string">Security Group</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Developers</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Administrator</saml:AttributeValue>
    </saml:Attribute>
        <saml:Attribute Name="Groups">
        <saml:AttributeValue xsi:type="xs:string">Preproduction</saml:AttributeValue>
        <saml:AttributeValue xsi:type="xs:string">Production</saml:AttributeValue>
    </saml:Attribute>
</saml:AttributeStatement>
  • Atributo de roles: nombre del atributo donde Cyberwatch buscara los roles del usuario (‘Roles’ en el ejemplo anterior)
  • Administrador, Administrador del sistema, Administrador de seguridad y Auditor: valores del atributo correspondientes a los roles de Cyberwatch
  • Atributo de grupos: nombre del atributo donde Cyberwatch buscara los grupos a los que el usuario tiene acceso (‘Groups’ en el ejemplo anterior)

  • Acceso a todos los activos: atributo consultado para determinar si el usuario puede acceder

    a todos los activos o no. Si no hay atributo configurado, la configuración del acceso a todos los activos es manual. De lo contrario, el acceso a todos los activos se concedera si y solo si el valor del atributo, o uno de sus valores si es multiple, coincide con uno de los valores especificados en la configuración. Es posible aceptar varios valores separandolos por punto y coma. Por ejemplo, para la respuesta SAML anterior, podriamos tener Roles como atributo, y Security Group;Developers como valores

  • Atributo nombre (opcional) y Atributo apellido (opcional): nombres de los atributos que Cyberwatch utilizara para configurar los nombres de los usuarios

Depurar la configuración del proveedor de servicios SAML

Para mostrar los logs de los errores encontrados por Cyberwatch

  1. Usar el procedimiento para Consultar los logs de Cyberwatch

  2. Filtrar los logs para conservar solo los errores relacionados con el proveedor de servicios SAML:

    sudo cyberwatch logs web 2>&1 | grep ERROR | grep SAML

Ejemplo de configuración

Cyberwatch también proporciona un ejemplo de procedimiento para configurar la autenticación SAML con ADFS.

Volver arriba

English Français Español