¶ 1. Visión general.
Dentro del T6 Enterprise, además del login convencional con usuario y contraseña, ofrecemos un enfoque flexible y seguro para la autenticación de los usuarios a través de múltiples proveedores de autenticación. Nuestra plataforma soporta una variedad de opciones para atender las necesidades específicas de los usuarios, incluyendo Active Directory, Azure Active Directory, Azure Active Federation Services, Auth0, Identity Server y TryAuth. Con estas integraciones, simplificamos la gestión de identidades y proporcionamos una experiencia de login unificada y conveniente para los usuarios. Sea cual sea la elección, garantizamos la implementación eficiente para proteger los datos y facilitar el acceso de los usuarios.
¶ 1.1. Requisitos previos.
Los requisitos del sistema para proceder con la adición y configuración de los proveedores de autenticación son estar conectado en T6 como usuario administrador, o tener la feature Gestionar Proveedores de Autenticación habilitada.
¶ 1.2. Proveedores disponibles.
- Active Directory (AD): Servicio de directorio de Microsoft que ofrece autenticación centralizada y autorización para usuarios y computadoras en una red Windows;
- Azure Active Directory (AAD): Solución de gestión de identidades y accesos basada en la nube de Microsoft;
- Active Directory Federation Services (ADFS): Permite la creación de una federación de autenticación entre diferentes organizaciones o dominios. Soporta protocolos como SAML (Security Assertion Markup Language) y OAuth 2.0, permitiendo que los usuarios se autentiquen en aplicaciones fuera del dominio corporativo;
- Auth0: Plataforma de autenticación y autorización basada en la nube que facilita la implementación de login seguro en aplicaciones;
- Try Auth: Plataforma de autenticación y autorización que ofrece soporte para varias formas de autenticación, incluyendo redes sociales, autenticación multifactor y SSO (Single Sign-on).
La configuración de las URLs de ADFS variará dependiendo de cómo esté configurado el proveedor, si está configurado como predeterminado o no. Si ADFS no está configurado como predeterminado, se debe enviar el código del identificador; de lo contrario, al regresar, no podrá identificar cuál identificador será utilizado.
¶ 2. Configuración.
Vamos a añadir los proveedores para que puedan ser utilizados para efectuar el login.
-
Vamos en el menú principal de la plataforma y seleccionaremos en el menú Configuración la opción Autenticador;
-
Se abrirá un panel en el lateral con la lista de los proveedores ya registrados, o la lista vacía para la adición de nuevos proveedores, para la adición haremos clic en
; -
Se mostrarán los campos para completar la información.
-
En Tipo, haz clic en
para expandir y mostrar las opciones disponibles:- Formulario: Para autenticación utilizando el usuario y contraseña de la plataforma T6;
- OpenID Connect: Protocolo de autenticación (OIDC) que permite autenticar usuarios a través de un login y contraseña. Proporciona la información del perfil del usuario;
- SAML: Protocolo o estándar de federación de autenticación basado en XML (Extensible Markup Language) que permite que un proveedor de identidades (IdP) autentique a los usuarios;
- AD: Servicio de directorio de Microsoft que gestiona usuarios, grupos y recursos de red en entornos Windows.
-
En SubTipo, haz clic en
para expandir y mostrar las opciones:- Auth0;
- Azure Active Directory (AAD);
- TryAuth.
SubTipo estará disponible si seleccionas el tipo OpenID Connect, de lo contrario estará deshabilitado.
Cuando seleccionemos el tipo OpenID Connect junto con el subtipo Azure AD, los campos URL de autorización y URL de logout tendrán sus campos completados automáticamente, ya que ya tendremos conocimiento de esta información.
-
También tenemos los campos para completar Título, Nombre y Descripción, que se mostrarán en todas las adiciones de proveedores y deben ser completados por el usuario;
- Título: Es el texto que se mostrará en la pantalla de login junto al ícono del tipo de proveedor seleccionado;
- Nombre: Es solo un identificador para la lista de proveedores añadidos;
- Descripción: Campo para describir brevemente el proveedor en cuestión, con el fin de flexibilizar la organización de la lista de proveedores configurados.
-
Tenemos la opción Predeterminado con un botón switch
, que al ser habilitado define el proveedor que la autenticación se realizará de forma automática como un SSO, excepto la opción Formulario. -
Dependiendo del tipo seleccionado, se mostrarán otros campos para completar:
- Seleccionando el tipo OpenID Connect:
- TenantID: Es un identificador único para el directorio de tu organización en el proveedor de identidad;
- Dominio: Es generalmente el dominio registrado de tu organización en el proveedor de identidad;
- ClientID: Es un identificador público único para la aplicación que registraste en el proveedor de identidad;
- Client secret: Es una clave privada que la aplicación usa para autenticarse con el proveedor de identidad;
- Authority URL: La URL de autorización es el endpoint del proveedor de identidad utilizado para la autenticación. Incluye el TenantID (se completa automáticamente al seleccionar el SubTipo Azure Active Directory (AAD) o Auth0);
- Logout URL: La URL de logout se usa para redirigir al usuario para cerrar sesión en el proveedor de identidad.
- Seleccionando el tipo SAML:
- Certificado: Se usa para verificar la firma de las respuestas SAML enviadas por el proveedor de identidad. Garantiza que las respuestas SAML no han sido alteradas y provienen del proveedor de identidad confiable (El nombre del certificado a utilizar debe ser exactamente igual al registrado en T6 Enterprise);
- Login URL: Es el endpoint donde se envían las solicitudes de autenticación SAML. Es la dirección del proveedor de identidad a donde los usuarios serán redirigidos para iniciar sesión;
- Logout URL: Es el endpoint donde se envían las solicitudes de logout SAML. Permite que los usuarios cierren sesión en el proveedor de identidad.
- Seleccionando el tipo AD (Active Directory):
- Servidor: La dirección del servidor donde está alojado el AD. Puede ser un nombre de dominio completo o una dirección IP;
- Usuario: El nombre de usuario de una cuenta que tiene permisos para consultar el AD. Esta cuenta se usará para conectarse al AD y realizar operaciones de autenticación y consulta;
- Contraseña: La contraseña asociada a la cuenta de usuario mencionada anteriormente;
- Grupo: El nombre del grupo en el AD que contiene al usuario que deseas autenticar o autorizar.
Para efectivizar el login a través del AD, es necesario que el proveedor esté configurado como predeterminado.
Al seleccionar el tipo AD (Active Directory), es necesario completar el Parámetro de Aplicación: Grupo do Active Directory Sysphera, ubicado en la categoría Integración. El parámetro debe completarse exactamente con el mismo nombre configurado en el campo Grupo del proveedor de autenticación. Recuerde que el valor distingue entre mayúsculas y minúsculas (case sensitive).
- Al seleccionar el tipo Formulario, no se mostrarán campos adicionales para completar.
Los campos mostrados al seleccionar el tipo de proveedor deben ser completados de acuerdo con la configuración exigida por el proveedor de autenticación.
- Para finalizar la adición de un proveedor, después de completar los datos solicitados, haz clic en
.
¶ 2.1. Visualización, edición y eliminación.
Después de añadir uno o más proveedores de autenticación, en nuestro panel tendremos una lista de los proveedores registrados, mostrando el nombre, tipo y descripción.
Junto a la información tendremos:
: Botones para la ordenación de la visualización de los proveedores en la pantalla de login (solo se mostrarán si tenemos 2 o más proveedores registrados);
: Botón que permite la edición de los datos ingresados;
: Botón para eliminar un proveedor previamente registrado.
¶ 3. Utilización
Después de registrar los proveedores deseados, en la pantalla de login del entorno, se mostrarán debajo del campo de ingreso de usuario y contraseña los proveedores configurados:
Al hacer clic en uno de los proveedores mostrados, seremos redirigidos a la pantalla de inicio de sesión del proveedor en cuestión.
El proveedor de AD (Active Directory) no se muestra en la pantalla de login, ya que al seleccionarlo como proveedor predeterminado, al acceder a la URL del T6, el login se efectuará de forma automática.