Autenticación SSO
AUTENTICACIÓN SINGLE-SIGN-ON
El inicio de sesión SSO o Single-Sign-On, es una funcionalidad que permite a los usuarios iniciar sesión en diferentes aplicaciones con un único conjunto de credenciales. Esto facilita al usuario un acceso más sencillo a un conjunto de aplicaciones empresariales, al igual, que prorporciona al área de TI, mayor control sobre el acceso de las cuentas de usuario.
Fracttal, proporciona 3 diferentes métodos de autenticación SSO:
- Autenticación con G-Suite (Plan de cuentas Google)
- Autenticación con Office 365 (Plan de cuentas Microsoft)
- Autenticación mediante el estandar SAML.
AUTENTICACIÓN CON G-SUITE /AUTENTICACIÓN CON OFFICE 365
La autenticación SSO con G-SUITE (Google) y con Office 365 (Microsoft), está implementada de manera nativa dentro de Fracttal.
Para hacer uso de esta funcionalidad, es necesario que los usuarios creados dentro de Fracttal tengan asociado la misma cuenta de email de Google/Microsoft.
Para iniciar sesión mediante SSO, se debe dar clic en el botón de Google ó Microsoft, según sea el caso.
Y luego, Fracttal abrirá la autenticación en el correo electrónico de cada plataforma.
Ejemplo de autenticación Microsoft:
Ejemplo autenticación Google:
SAML 2
SAML (Security Assertion Markup Language), es un estandar que permite el intercambio de información para el inicio de sesión único (autenticación y autorización) o SSO entre diferentes partes (aplicaciones). Los participantes en esta autenticación son el proveedor de identidad (identity provider) y el service provider (proveedor de servicios).
El proveedor de servicio, es la entidad que concede a un usuario el permiso o acceso a un recurso. Fracttal actúa como el proveedor de servicio.
El proveedor de identidad, es la entidad que dispone de la infraestructura necesaria para la autenticación de los usuarios. En este caso, el proveedor de identida es la aplicación que tiene registrado los usuarios y que controla el acceso de estos. Algunos ejemplos de aplicaciones que pueden ser provedores de identidad son el Directorio Activo (Active directory), Okta, entre otras.
Mediante SAML, un proveedor de servicios se conecta con un proveedor de identidades de manera online para autenticar a los usuarios que intentan accede al contenido seguro.
AUTENTICACIÓN MEDIANTE SAML EN FRACTTAL
Para utilizar la autenticación Single-Sign-On en Fracttal, mediante el estandar SAML, se debe realizar la configuración en el Módulo de configuración https://one.fracttal.com/config dentro de la opción Seguridad – SSO:
En esta configuración SSO, se debe ingresar la información del proveedor de identidad:
| Campo | Descripción |
|---|---|
| Código SAML | Nombre de la comunicación |
| Entry Point | URL donde Fracttal envía una solicitud SAML para iniciar el inicio de sesión. |
| Issuer | También denominado EntityID. Contiene información que el proveedor de identidad usa para verificaciones internas |
| URL de redirección en cierre de sesión | URL donde se envía la información cuando el usuario cierra sesión en Fracttal |
| Certificado | Certificado de autenticación emitido por el proveedor de identidad |
Dentro de la autenticación SSO mediante SAML, Fracttal utiliza el protocolo de Authentication Request Protocol, el cual consiste en recibir la información relacionada con el inicio de sesión válido o inválido.
La interacción técnica del inicio de sesión SSO entre Fracttal y otra plataforma, se puede observar en la siguiente gráfica:
Configuración para autenticación con Fracttal mediante SAML en su proveedor de identidad
Para usar la autenticación SAML, se debe configurar el acceso en el proveedor de identidad, de manera que tenga identificada la aplicación y conozca donde debe retornar las solicitudes
| Campo | Descripción |
|---|---|
| EntityId | Nombre de la comunicación en el proveedor de identidad. En lo posible usar el mismo nombre utlizado en Fracttal |
| Attribute Consume Service Endpoint | También llamado callbackurl. URL donde se retornara la respuesta de la solicitud SAML, se debe usar la url https://one.fracttal.com/rpc/auth/samlcallback?codesaml ={codigosaml} reemplazando {codigosaml} por el campo Código SAML registrado en la configuración de Fracttal |
| Single Logout Service Endpoint | Url de donde el proveedor de identidad espera recibir solicitudes de logout. Se debe usar https://one.fracttal.com |
| NameId Format | Formato de nombre de usuario retornado a Fracttal. Se debe utilizar EmailAddress |
AUTENTICACIÓN SSO CON EL DIRECTORIO ACTIVO
La autenticación personalizada en Fracttal mediante Single-Sign-On, se realiza bajo el estandar SAML 2.0.
Por tanto, para que los usuarios en Fracttal, se autentiquen mediante el directorio activo (AD), se debe congfigurar el AD para ser el proveedor de identificación de la autenticación.
Las siguientes URL tienen la documentación de Azure AD, de la configuración de SAML:
https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/saml-toolkit-tutorial
En caso tal, de que no se tenga de la opción de crear una comunicación SAML nativa, se debe realizar un desarrollo para el AD, para que sea el provedor de identificación.
Updated 16 days ago