Ejemplo de configuración SAML con Okta

Esta pagina describe los pasos para activar la autenticación SAML en Cyberwatch usando Okta como proveedor de identidad.

Presenta una configuración mínima para el funcionamiento del servicio SAML.

Requisitos previos

El procedimiento supone que dispone de acceso a la consola de administración Okta con los permisos suficientes para crear una aplicación SAML, así como para gestionar roles y grupos de usuarios en el caso de una configuración avanzada.

Creación de la aplicación SAML en Okta

En la consola de administración Okta, vaya a Applications > Applications. Luego, deberá:

• Hacer clic en Create App Integration
• Seleccionar SAML 2.0
• Hacer clic en Next
• Especificar la información general de la aplicación y luego hacer clic en Next
• Especificar la siguiente información de configuración SAML:
  • Nombre de la aplicación: poner Cyberwatch
  • Single sign-on URL: URL del ACS en Cyberwatch (dejar marcada la casilla “Use this for Recipient URL and Destination URL”)
  • Audience URI (SP Entity ID): Entity ID en Cyberwatch
  • Response: seleccionar Signed
  • Attribute Statements:
    • firstName / Basic / user.firstName
    • lastName / Basic / user.lastName
    • email / Basic / user.email

Para mas información sobre la creación de la aplicación, consulte la documentación Okta https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm

Configuración del Service Provider y proveedor de identidad en Cyberwatch

Comenzar configurando la parte SAML en Cyberwatch desde el menu Administración > Proveedor de identidad.

1. En el campo “Formato del nombre de identificación”, introducir urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
2. En el campo “Texto del botón de conexión”, introducir el valor deseado, por ejemplo “Conexión SAML Okta”. Se utilizara como etiqueta del botón de inicio de sesión SAML en la pagina de autenticación de Cyberwatch
3. En el campo “SP Entity ID”, nombrar el identificador de confianza de su IDP, por ejemplo “ID de Cyberwatch”
4. Para “URL de metadatos del IDP”, introducir el valor “Metadata URL” desde la configuración SAML de Okta
5. Aplicar para recuperar automáticamente el certificado del IDP
6. En el campo “IDP Entity ID”, introducir el valor “Issuer” desde la configuración SAML de Okta
7. En el campo “URL objetivo SSO IDP”, introducir el valor “Sign On URL” desde la configuración SAML de Okta
8. Marcar “Solicitar Single Logout”
9. En el campo “URL objetivo Single Logout IDP”, introducir el valor “Sign Out URL” desde la configuración SAML de Okta
10. Guardar

Opcional - Configuración avanzada

Mostrar los detalles de configuración avanzada

Para configurar roles, grupos y otros atributos en Cyberwatch:

1. Definir los grupos en Okta > Directory > Groups > Add Group

Agregar los usuarios al grupo.

Nota: estos grupos deben crearse en Cyberwatch para que el mapping funcione.

1. Configurar los roles en Okta > Directory > Profile Editor > Cyberwatch User > Add Attribute:
   • DisplayName: Role
   • Marcar “Attribute Required”
   • Attribute Type: Group
   • Especificar los Attribute Members

Asignar los grupos de usuarios en la aplicación SAML:

• Okta > Applications > nombre de la app SAML
• Pestaña Assignments > Assign > Assign to Groups

Agregar las reclamaciones de roles y de grupos en la aplicación:

• Okta > Applications > nombre de la app SAML > Pestaña General > SAML Settings > Edit
• Configure SAML > Attribute Statements:
  • Description / Basic / user.title
  • Role / Basic / appuser.role
• Group Attribute Statements:
  • memberOf / Unspecified / Matches regex .*
• Hacer clic en Next > Finish

Para mas información sobre la creación de roles y grupos, consulte la documentación Okta:

• Roles: https://help.okta.com/oie/en-us/content/topics/apps/define-attribute-statements.htm

• Grupos: https://help.okta.com/oie/en-us/content/topics/apps/define-group-attribute-statements.htm

Realice las configuraciones necesarias en Cyberwatch a nivel del proveedor de identidad. La conexión debería realizarse correctamente, recuperando los atributos configurados en Cyberwatch.

Verificacion del funcionamiento

Acceder a la pagina de autenticación de Cyberwatch. Un botón “Conexión SAML Okta” debería mostrarse.

Hacer clic en el botón; el navegador redirigira a la pagina de autenticación de Okta si las configuraciones son validas.

Autenticarse con sus credenciales; el navegador lo redirigira y lo autenticara en Cyberwatch.

Verifique que no exista una cuenta local/LDAP en Cyberwatch usando la misma dirección de email para evitar un error al iniciar sesión.

Troubleshooting

No dude en contactar con el soporte de Cyberwatch para cualquier acompañamiento técnico.