Configurar la integración con Active Directory Federation Services

La integración se basa en la comunicación bidireccional entre ASAP y AD FS. Esta conexión del lado de Active Directory se configura en la Consola de AD FS y consiste en las siguientes fases:

• añadir relaciones de confianza para la plataforma ASAP
• crear reglas para obtener la información necesaria sobre los usuarios desde Active Directory para completar el proceso de autenticación
• exportar el certificado del proveedor de identidad

Del lado de ASAP, se necesitan la URL del servicio de AD FS, el ID de plataforma en AD FS y el contenido del certificado del proveedor de identidad exportado desde AD.

Para configurar la integración con Active Directory Federation Services:

Añadir relaciones de confianza

1. En la Consola de Administración de AD FS, haga clic con el botón derecho en la carpeta Relación de confianza para usuario autenticado en el árbol de carpetas y seleccione Agregar veracidad del usuario de confianza en el menú contextual.

   Se iniciará el asistente para agregar la relación de confianza.

2. En la ventana de saludo, seleccione Compatible con notificaciones y haga clic en el botón Siguiente.

   

   Esto le lleva al paso Seleccionar origen de datos.

3. Seleccione la opción Escribir manualmente los datos sobre el usuario de confianza para introducir su información de la plataforma ASAP de forma manual y, a continuación, haga clic en el botón Siguiente.

   

   Esto le lleva al paso Especificar nombre para mostrar.

4. En el campo Nombre para mostrar, introduzca el nombre que se mostrará en la consola de AD FS para la plataforma ASAP y haga clic en el botón Siguiente.

   De ser necesario, puede especificar cualquier información adicional en el campo Notas.

   

   Esto le lleva al paso Configurar certificado.

5. Haga clic en el botón Siguiente.

   

   Esto le lleva al paso Configurar URL.

6. Marque la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO para activar la compatibilidad con SAML.
7. En el campo URL de servicio SSO de SAML 2.0 del usuario de confianza, introduzca la URL del servicio de SAML en el servidor de ASAP y haga clic en el botón Siguiente.

   Copie esta dirección en la interfaz web de ASAP en la sección Ajustes de la empresa → SSO → URL de devolución de llamada de SSO (ACS) haciendo clic en el botón .

   

   Esto le lleva al paso Configurar identificadores.

8. Establezca el ID de la plataforma ASAP en AD FS. Para ello, realice las siguientes acciones:
   1. En el campo Identificador de veracidad del usuario de confianza, introduzca cualquier nombre que quiera como identificador de la plataforma ASAP para el servicio AD FS.
   2. Haga clic en el botón Añadir.

      

      El nuevo ID se mostrará en el campo Identificadores de veracidad del usuario de confianza.

      Memorice o anote este ID para que pueda introducirlo más tarde en la interfaz web de ASAP.

   3. Haga clic en el botón Siguiente.

      Esto le lleva al paso Elegir directiva de control de acceso.

9. Seleccione una política de administración de acceso que cumpla los requisitos de seguridad de su empresa y haga clic en el botón Siguiente.

   

   Esto le lleva al paso Listo para agregar confianza.

10. Vea los ajustes especificados previamente. Si todo se ha configurado correctamente, haga clic en el botón Siguiente.

    

    Esto le lleva al paso Finalizar.

11. En la ventana final del maestro, haga clic en el botón Cerrar.

    Se cerrará el asistente para agregar la relación de confianza. La plataforma ASAP ahora se mostrará en la lista Veracidades de usuarios de confianza.

    

Crear reglas

1. En la consola de AD FS, seleccione la plataforma ASAP en la lista Veracidades de usuarios de confianza y en el panel de control Acciones correcto, haga clic en Editar directiva de emisión de notificaciones para configurar las reglas para recuperar la información de usuario desde AD FS para la autenticación.

   Se abrirá la ventana Editar la directiva de emisión de notificaciones para <nombre de ID>.

   Si en la ventana final del asistente para agregar la relación de confianza se ha marcado la casilla Configurar directiva de emisión de notificaciones para esta aplicación, esta ventana se abrirá de forma automática.

   

2. Añada una regla para recuperar direcciones de correo electrónico desde AD FS. Para ello, realice las siguientes acciones:
   1. Haga clic en el botón Añadir regla.

      Se iniciará el asistente para agregar regla en el paso Elegir tipo de regla.

   2. En la lista desplegable Plantilla de regla de notificación, seleccione la plantilla Enviar atributos LDAP como notificaciones y haga clic en el botón Siguiente.

      

      Esto le lleva al paso Configurar regla de notificación.

   3. En el campo Nombre de regla de notificación, introduzca el nombre de la regla (por ejemplo, Correo electrónico).
   4. En el gráfico Asignación de atributos LDAP a los tipos de notificación saliente, seleccione Direcciones de correo electrónico en la columna Atributo LDAP y Dirección de correo electrónico en la columna Tipo de notificación saliente.

      

   5. Haga clic en el botón Finalizar.

   Se cerrará el asistente para agregar regla. La regla agregada se mostrará en la ventana Editar la directiva de emisión de notificaciones para <nombre de ID> en la pestaña Reglas de transformación de emisión.

   

3. Agregue una regla para recuperar los ID de usuario desde AD FS a partir de sus direcciones de correo electrónico. Para ello, realice las siguientes acciones:
   1. Haga clic en el botón Añadir regla.

      Se iniciará el asistente para agregar regla en el paso Elegir tipo de regla.

   2. En la lista desplegable Plantilla de regla de notificación, seleccione la plantilla Transformar una notificación entrante y haga clic en el botón Siguiente.

      

      Esto le lleva al paso Configurar regla de notificación.

   3. En el campo Nombre de regla de notificación, introduzca el nombre de la regla (por ejemplo, Id. de nombre).
   4. En la lista desplegable Tipo de notificación entrante, seleccione Dirección de correo electrónico.
   5. En la lista desplegable Tipo de notificación saliente, seleccione Id. de nombre.
   6. En la lista desplegable Formato de id. de nombre saliente, seleccione Correo electrónico.
   7. Seleccione Pasar a través todos los valores de notificaciones.

      

   8. Haga clic en el botón Finalizar.

   Se cerrará el asistente para agregar regla. La regla agregada se mostrará en la ventana Editar la directiva de emisión de notificaciones para <nombre de ID> en la pestaña Reglas de transformación de emisión.

   

4. Haga clic en el botón Aceptar.

   Las reglas se crearán.

Exportar certificados

1. En la consola de AD FS, en la carpeta Veracidades de usuarios de confianza, haga clic con el botón derecho en la plataforma ASAP y seleccione Propiedades.

   Se abrirá la ventana Propiedades de la plataforma ASAP AD FS.

2. En la pestaña Firma, suba el certificado de su empresa haciendo clic en el botón Agregar, seguido de Aceptar.

   

3. En el árbol de carpetas, seleccione Servicio → Certificados.

   

4. Haga doble clic en el certificado Firma de token.

   Se abrirá una ventana con información sobre el certificado en la pestaña General.

5. En la pestaña Detalles, haga clic en el botón Copiar a archivo.

   

   Se inicia el asistente para exportar certificados.

6. En la ventana de bienvenida del asistente para la instalación, haga clic en el botón Siguiente.

   

   Esto le lleva al paso Formato de archivo de exportación.

7. Seleccione el formato de archivo X.509 codificado base 64 (.CER) y haga clic en el botón Siguiente.

   

   Esto le lleva al paso Archivo que se va a exportar.

8. En el campo Nombre de archivo, introduzca la ruta al archivo donde quiere exportar el certificado manualmente o haciendo clic en el botón Explorar y después en Siguiente.

   

   Esto le lleva al paso Finalización del Asistente para exportar certificados.

9. Compruebe los ajustes de exportación. Si todo es correcto, haga clic en el botón Finalizar.

   

10. En la ventana de confirmación, haga clic en el botón Aceptar.

    El certificado se exportará al archivo seleccionado.

Configuración en el lado de la plataforma ASAP

1. En la interfaz web de ASAP, en la sección Ajustes de la empresa, seleccione la pestaña SSO.
2. En el campo URL de proveedor de identidad, introduzca la URL en el siguiente formato:

   <local ADFS address>/adfs/ls/IdpInitiatedSignOn.aspx

   Por ejemplo, https://adfs.example.com/adfs/ls/IdpInitiatedSignOn.aspx.

3. En el campo ID de entidad, introduzca el ID de la plataforma ASAP en AD FS que especificó en el asistente para agregar confianza durante el paso Configurar identificadores.
4. En el campo Certificado de firma, introduzca el contenido del certificado del proveedor de identidad exportado desde AD FS.
5. Haga clic en Guardar.

La integración de ASAP con Active Directory Federation Services se habrá configurado. Active el SSO en la interfaz web de ASAP para que los usuarios puedan iniciar sesión en el portal de formación a través del SSO.