Skip to main content
Skip table of contents

ADFS

Conexión a ADFS con SAML 2.0

Para llegar a la pantalla de conexión a ADFS, es necesario situarse en la sección de Administración de GlobalSUITE, concretamente en la opción “Conexiones” (como se muestra en la imagen). A esta opción tienen acceso los usuarios de tipo Platinum, Gold, Consulting, Administrador Consulting, Administrador Plataforma, Administrador Enterprise y Administrador Configuración.

Esta pantalla tiene varias columnas que se describen a continuación:

  • Nombre: Contiene el nombre de la conexión, que sirve para identificarla.
  • Tipo: Contiene el tipo de conexión, en este caso será ADFS.
  • Host: En este caso estará vacío.
  • Usuario: No es necesario por lo tanto aparece vacío.
  • Habilitado: Indica si una conexión está habilitada o no.

El formulario de conexión a ADFS consta de diferentes campos, los cuales se describen a continuación.

En primer lugar, se encuentra la sección de “Datos Generales”:

  • Habilitado: Indica que esa conexión de ADFS está habilitada. No se pueden tener dos conexiones de ADFS a la vez.
  • Tipo: Indica el tipo de la conexión (en este caso, ADFS).
  • Nombre*: Es un campo obligatorio, e indica el nombre de esa conexión para ser utilizada en otras opciones de la herramienta.
  • Identificador de confianza: Se genera de forma automática. Indica la cadena de confianza que se establece entre el servidor de ADFS y GlobalSUITE, esta debe ser única.
  • URL SSO: Cuando se desea configurar una conexión usando el método SP initiated SSO, se debe introducir la url del servicio del IdP donde se realiza la autenticación vía ADFS.
  • URL Logout: Dirección a la que se redirige cuando un usuario con autenticación ADFS cierra la su sesión. Si se deja vacío, redirigirá a la vista de login de GlobalSUITE®.
  • Habilitar cifrado: Configuración de la conexión ADFS que permite que los parámetros que se reciben desde el IdP vayan cifrados.
  • Firmar petición de autenticación: Indica que, usando la configuración SP initiated SSO, la petición de autenticación que se realiza al IdP será firmada.


En segundo lugar, se encuentra la sección "Roles":

  • Rol: Permite seleccionar qué tipo de rol por defecto tendrán los usuarios que se creen con el primer acceso.
  • Sub-Rol: Además del rol general, se puede especificar un Rol de Empresa específico, dentro de los que se encuentran configurados.
  • Crear empleado: Si se marca este campo, cuando se cree un usuario con el primer acceso, también se creará el empleado asociado, con los mismos datos.

En principio los roles pueden ser obtenidos directamente del servidor de ADFS, en caso de no recibir datos sobre el rol o que los datos que se reciban sean erróneos se utilizarán los roles configurados en esta sección.


En tercer lugar, se encuentra la sección “Certificado IDP”. En esta sección se debe subir un archivo, con extensión crt, que contiene el certificado. Este certificado deber ser el mismo que se utiliza para firmar las llamadas desde el servidor ADFS para la relación de confianza configurada.

Configuración Servidor ADFS con SAML 2.0

La url de servicio de conexión SAML 2.0 que se debe introducir en la configuración del servidor es:

https://Nombre_Dominio/Core/Adfs/trust.php

Donde Nombre_Dominio es la url de acceso a GlobalSUITE.

En la configuración del servidor ADFS se debe indicar que los datos a pasar en la petición son como mínimo:

  • Id. Nombre (nameidentifier)
  • Dirección de correo electrónico (emailaddress)


Si se desea enviar la configuración del rol para crear los nuevos usuarios de ADFS deberá utilizarse el claim:

http://schemas.microsoft.com/ws/2008/06/identity/claims/role

IMPORTANTE: El nombre del rol que se envía desde el servidor de ADFS debe coincidir con alguno de los roles configurados en GlobalSUITE.


Para obtener más información sobre la configuración del servidor ADFS puede acceder a:

https://docs.microsoft.com/es-es/windows-server/identity/ad-fs/operations/create-a-relying-party-trust


Autenticación ADFS con SAML 2.0

Existen dos tipos de autenticación con ADFS:

  • IDP initiated SSO, el proceso de autenticación es iniciado por el idp, el usuario dispone de una lista de “aplicaciones corporativas”, selecciona la que corresponde de GlobalSUITE e inicia la autenticación. A continuación, se muestra una imagen tipo de este formulario de aplicaciones.

  • SP initiated SSO, el proceso de autenticación es iniciado por GlobalSUITE, para usar este método se debe acceder con una url específica. Esta url se forma concatenando la url de GlobalSUITE con el texto: ?issuer=identificador de confianza, donde el identificador de confianza es el código generado en la conexión y que puede encontrase en el campo con el mismo nombre, ver apartado 1 de este documento.
    Un ejemplo de url es:
    https://sg.globalsuite.es/Core/index.php?issuer=a443c212c23af8ea8a107af75345


La autenticación con ADFS tiene las siguientes particularidades:

  • Si el usuario está accediendo por primera vez a la herramienta, a través de ADFS, se creará un usuario automáticamente con el nombre de usuario que se provee en la petición SAML, y el resto de atributos mapeados.
  • Si el nombre de usuario ya existe en GlobalSUITE® y no es el mismo que se ha creado en la primera conexión se lanzaría un mensaje de error.



JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.