Fracttal →

Autenticación SSO

AUTENTICACIÓN SINGLE-SIGN-ON

El inicio de sesión SSO o Single-Sign-On, es una funcionalidad que permite a los usuarios iniciar sesión en diferentes aplicaciones con un único conjunto de credenciales. Esto facilita al usuario un acceso más sencillo a un conjunto de aplicaciones empresariales, al igual, que prorporciona al área de TI, mayor control sobre el acceso de las cuentas de usuario.

Fracttal, proporciona 3 diferentes métodos de autenticación SSO:

  • Autenticación con G-Suite (Plan de cuentas Google)
  • Autenticación con Office 365 (Plan de cuentas Microsoft)
  • Autenticación mediante el estandar SAML.

AUTENTICACIÓN CON G-SUITE /AUTENTICACIÓN CON OFFICE 365

La autenticación SSO con G-SUITE (Google) y con Office 365 (Microsoft), está implementada de manera nativa dentro de Fracttal.

Para hacer uso de esta funcionalidad, es necesario que los usuarios creados dentro de Fracttal tengan asociado la misma cuenta de email de Google/Microsoft.

Para iniciar sesión mediante SSO, se debe dar clic en el botón de Google ó Microsoft, según sea el caso.

405

Y luego, Fracttal abrirá la autenticación en el correo electrónico de cada plataforma.

Ejemplo de autenticación Microsoft:

351

Ejemplo autenticación Google:

351

SAML 2

SAML (Security Assertion Markup Language), es un estandar que permite el intercambio de información para el inicio de sesión único (autenticación y autorización) o SSO entre diferentes partes (aplicaciones). Los participantes en esta autenticación son el proveedor de identidad (identity provider) y el service provider (proveedor de servicios).

El proveedor de servicio, es la entidad que concede a un usuario el permiso o acceso a un recurso. Fracttal actúa como el proveedor de servicio.

El proveedor de identidad, es la entidad que dispone de la infraestructura necesaria para la autenticación de los usuarios. En este caso, el proveedor de identida es la aplicación que tiene registrado los usuarios y que controla el acceso de estos. Algunos ejemplos de aplicaciones que pueden ser provedores de identidad son el Directorio Activo (Active directory), Okta, entre otras.

Mediante SAML, un proveedor de servicios se conecta con un proveedor de identidades de manera online para autenticar a los usuarios que intentan accede al contenido seguro.

1115

AUTENTICACIÓN MEDIANTE SAML EN FRACTTAL

Para utilizar la autenticación Single-Sign-On en Fracttal, mediante el estandar SAML, se debe realizar la configuración en el Módulo de configuración https://one.fracttal.com/config dentro de la opción Seguridad – SSO:


492

En esta configuración SSO, se debe ingresar la información del proveedor de identidad:

CampoDescripción
Código SAMLNombre de la comunicación
Entry PointURL donde Fracttal envía una solicitud SAML para iniciar el inicio de sesión.
IssuerTambién denominado EntityID. Contiene información que el proveedor de identidad usa para verificaciones internas
URL de redirección en cierre de sesiónURL donde se envía la información cuando el usuario cierra sesión en Fracttal
CertificadoCertificado de autenticación emitido por el proveedor de identidad

Dentro de la autenticación SSO mediante SAML, Fracttal utiliza el protocolo de Authentication Request Protocol, el cual consiste en recibir la información relacionada con el inicio de sesión válido o inválido.

La interacción técnica del inicio de sesión SSO entre Fracttal y otra plataforma, se puede observar en la siguiente gráfica:

928

Configuración para autenticación con Fracttal mediante SAML en su proveedor de identidad

Para usar la autenticación SAML, se debe configurar el acceso en el proveedor de identidad, de manera que tenga identificada la aplicación y conozca donde debe retornar las solicitudes

CampoDescripción
EntityIdNombre de la comunicación en el proveedor de identidad. En lo posible usar el mismo nombre utlizado en Fracttal
Attribute Consume Service EndpointTambién llamado callbackurl. URL donde se retornara la respuesta de la solicitud SAML, se debe usar la url https://one.fracttal.com/rpc/auth/samlcallback?codesaml ={codigosaml} reemplazando {codigosaml} por el campo Código SAML registrado en la configuración de Fracttal
Single Logout Service EndpointUrl de donde el proveedor de identidad espera recibir solicitudes de logout. Se debe usar https://one.fracttal.com
NameId FormatFormato de nombre de usuario retornado a Fracttal. Se debe utilizar EmailAddress

AUTENTICACIÓN SSO CON EL DIRECTORIO ACTIVO

La autenticación personalizada en Fracttal mediante Single-Sign-On, se realiza bajo el estandar SAML 2.0.

Por tanto, para que los usuarios en Fracttal, se autentiquen mediante el directorio activo (AD), se debe congfigurar el AD para ser el proveedor de identificación de la autenticación.
Las siguientes URL tienen la documentación de Azure AD, de la configuración de SAML:

https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/saml-toolkit-tutorial

En caso tal, de que no se tenga de la opción de crear una comunicación SAML nativa, se debe realizar un desarrollo para el AD, para que sea el provedor de identificación.