¶ 1. Resumen
Este manual tiene como objetivo orientar la integración de T6 Planning con Active Directory Federation Services (ADFS). Proporciona instrucciones paso a paso para configurar la integración, comenzando con requisitos previos como la configuración del portal de T6 Planning para HTTPS. Luego aborda la configuración de certificados, la instalación de ADFS, la adición de una nueva Relying Party Trust, la configuración de URL, certificados y reglas de autorización. El manual también incluye información sobre la configuración de puntos finales, reglas de emisión de claims y configuraciones de parámetros de la aplicación en T6 Planning. Parece ser una guía detallada para asegurar una integración efectiva entre T6 Planning y ADFS.
¶ 2. Integración con ADFS
¶ 2.1 Resumen
Este manual tiene como objetivo proporcionar instrucciones para la configuración de la integración de T6 Planning con Active Directory Federation Services.
¶ 3. Requisitos previos para la instalación
Antes de comenzar, es necesario configurar el portal de T6 Planning para HTTPS. Para obtener más información, consulte el manual T6 Planning - Consejos de configuración de IIS, Capítulo 3. Protocolo HTTPS.
¶ 4. Configuraciones
¶ 4.1 Configurando un certificado
Si necesita insertar un certificado para cifrar la comunicación de datos con T6 Planning.
Acceda al menú de T6 Planning y haga clic en Control de acceso > Usuarios.
En la pantalla de Usuarios, haga clic en Herramientas > Certificados.
En la pantalla de Creación/Edición de Certificados:
- Haga clic en el botón Agregar.
En la pantalla de Certificados:
- En el campo Nombre, dé un nombre al certificado que utilizará para la configuración.
- Ingrese la contraseña del certificado que contenga una clave privada.
- Luego, haga clic en el botón Examinar para encontrar el archivo del certificado.
- Finalmente, haga clic en Aceptar.
Nota: En este momento, utilice un certificado que contenga una clave privada. Más adelante, también necesitaremos la clave pública del certificado para usarla dentro de ADFS.
¶ 4.2 Configurando ADFS
En el Menú de Inicio, encontrará el Administrador de AD FS.
En el entorno de ADFS, es necesario agregar una nueva Relying Party Trust para esto:
- Haga clic con el botón derecho en la carpeta Relying Party Trust, según la imagen a continuación.
En la pantalla del Asistente para agregar Relying Trust, haga clic en Iniciar.
En la siguiente pantalla, elija la opción de importar manualmente las configuraciones de metadatos y haga clic en Siguiente, según muestra la imagen.
En la pantalla siguiente, ingrese un nombre de visualización y haga clic en Siguiente.
Luego elija el perfil de configuración de ADFS.
Para este caso, utilizamos el protocolo SAML 2.0.
En el siguiente paso, si desea insertar un certificado, es importante destacar que debe ser del tipo clave pública, como se mencionó anteriormente, para cifrar la comunicación de datos con T6 Planning.
Después de ingresarlo, haga clic en Siguiente.
En la siguiente pantalla, elija la opción de habilitar el protocolo SAML 2.0 e ingrese la URL según la imagen y la nota a continuación.
Nota: En la URL es necesario que contenga los siguientes datos: https//:nombre de la máquina donde se encuentra el portal de T6 Planning UX/nombre de la aplicación/api/authentication/LoginSAML
En la pantalla siguiente, en el campo Relying Party Trust identifier, ingrese la misma URL anterior y haga clic en el botón Agregar, luego haga clic en Siguiente.
Luego mantenga la elección de no utilizar la autenticación multifactor.
En la siguiente pantalla, mantenga la elección de permitir a todos los usuarios. Haga clic en Siguiente.
Por ahora, no configuraremos las Claims. Haga clic en Siguiente.
Luego desmarque la opción resaltada en el cuadro rojo y haga clic en Cerrar.
Al regresar a la pantalla inicial en la nueva Relying Party Trust creada:
- Haga clic con el botón derecho y elija la opción Propiedades.
Luego, en la pestaña de Endpoint, observe que solo se ha agregado el punto de inicio de sesión. Será necesario agregar el punto de cierre de sesión. Para hacer esto, haga clic en el botón Agregar SAML.
En la pantalla Agregar Endpoint:
- En el campo Tipo de endpoint, seleccione SAML Logout.
- En el campo Vinculación, seleccione Redirect.
- En Trusted URL, ingrese la dirección según el ejemplo: https//:nombre de la máquina donde se encuentra el portal de T6 Planning UX/nombre de la aplicación/api/authentication/Challenge
- Luego haga clic en Aceptar.
Al regresar a la pantalla de propiedades inicial, haga clic en Aceptar.
Será dirigido a la pantalla inicial en la nueva Relying Party Trust creada.
- Haga clic con el botón derecho y elija Editar reglas de Claim...
En Editar reglas de Claim para, en la primera pestaña, haga clic en el botón Agregar regla...
En esta ventana, mantenga las configuraciones existentes y haga clic en Siguiente.
En la pantalla Agregar regla de Transformación de Claim:
- En Nombre de la regla de Claim, ingrese un nombre para esta configuración.
- En Almacén de atributos, elija Active Directory.
- En el campo Mapeo de atributos LDAP a tipos de Claim salientes, elija las opciones siguiendo el orden como se muestra en la imagen, con las siguientes opciones:
- SAM-Account-Name
- Name ID
Esta primera opción es necesaria solo para Single Sign-on.
Si no hay usuario o es necesario crear uno nuevo, ingrese también los tres esquemas a continuación:
- Given-Name
- Name
- E-mail-Addresses
- E-mail Addresses
- Surname
- Surname
Después de completar todos los datos, haga clic en Finalizar.
Al regresar a la pantalla Editar reglas de Claim para:
- Haga clic en Aceptar.
En el menú inicial de T6 Planning, vaya a Configuración -> Parámetros.
En la pantalla de Parámetros de la aplicación, complete los valores de los parámetros según se describe a continuación:
-
Enlace de entrada del proveedor de servicios de autenticación: http://nombre basado en el nombre completo del AD o FS/adfs/ls/idpinitiatedSignon.aspx
-
Enlace de salida del proveedor de servicios de autenticación: http://nombre basado en el nombre completo del AD o FS/adfs/ls/?wa=wsignout1.0
-
Tipo de proveedor de servicios de: SAML
-
Certificado para el proveedor de servicios de autenticación: Si eligió insertar un certificado, ingrese el nombre dado al certificado (ver página 4). De lo contrario, deje este campo en blanco.
¶ 4.2.1 Probando la configuración
Después de completar todas las configuraciones, al acceder a T6 Planning, se dirigirá a la pantalla de inicio de sesión de ADFS.
- Haga clic en Iniciar sesión
- Luego, se abrirá la pantalla inicial de T6 Planning, según la imagen a continuación:
- Al regresar al área de Usuarios, observe que se ha creado un nuevo usuario.
¶ 5. Resolución de posibles problemas
Al intentar iniciar sesión en ADFS, devuelve la pantalla de error de T6 Planning UX.
- Verifique la tabla REP_NOTIFICATION en la base de datos; contiene detalles de posibles problemas.