Este artículo muestra cómo integrar el autenticador IRONCHIP mediante SAML en GOOGLE WORKSPACE para validar usuarios existentes en IRONCHIP.
Descarga aquí el manual
Introducción
Para poder realizar esta integración será necesario tener un usuario registrado en GOOGLE WORKSPACE y ser usuario de la plataforma IRONCHIP, ambos con permisos de administración en sus diferentes ambientes.
Crear la aplicación SAML en IRONCHIP
En el panel de IRONCHIP acceda al apartado aplicaciones.
Pulse en nueva aplicación y elija la opción aplicación personalizada
.png?width=565&height=381&name=Untitled%20(1).png)
En esta pestaña, póngale un nombre identificativo, seleccione aplicación tipo SAML y en caso de quererlo añadir una imagen como logo de la aplicación. No cierre esta pestaña.
.png?width=609&height=364&name=Untitled%20(2).png)
Antes de entrar a el panel de administrador de google, descarga el archivo de metadato de Ironchip.
.png?width=582&height=366&name=Untitled%20(3).png)
Configurar GOOGLE WORKSPACE
Ahora entre a el panel de administrador de Google, vaya a Seguridad > Autenticación > SSO con IdP externo y agregue un perfil de SAML.
.png?width=688&height=145&name=Untitled%20(4).png)
Abra el metadato descargado anteriormente y rellena los campos con los siguientes datos :
- Para el ID de entidad del IDP utilice la propiedad “EntityID” en el tag XML “EntityDescriptor”.
- Para la URL de la página de acceso utilice la propiedad “Location” en el tag XML “SingleSignOnService”.
- Para la URL de la página de salida, busque de nuevo la propiedad “Location” en el tag XML “SingleLogoutService”.
- Para la subida del certificado que te requiere, genere un nuevo fichero con extensión “.crt” y guarde en ese archivo el resultado de pegar dentro del primer campo de esta herramienta el contenido del tag XML “X509Certificate” del metadato, ambos certificados son idénticos: https://www.samltool.com/format_x509cert.php
Esta herramienta añadirá las cabeceras necesarias para que Google detecte el certificado como válido.
Una vez guardado el archivo, súbalo.
El resto de campos pueden quedar por defecto, guarde los cambios.
.png?width=622&height=638&name=Untitled%20(5).png)
Obtener URL del metadato para IRONCHIP
Para obtener el URL del metadato que nos pide la plataforma IRONCHIP modifica el siguiente código con los datos correspondientes:
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" validUntil="2122-09-16T10:40:54Z" cacheDuration="PT604800S" entityID="google.com">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.google.com/a/<<YOUR DOMAIN HERE>>/acs" index="1" />
</md:SPSSODescriptor>
</md:EntityDescriptor>
- Sustituya el contenido de entityID por el ID de entidad que se encuentra en el apartado detalles del SP.
- Sustituya el contenido de Location por el url de ACS que se encuentra en el apartado detalles del SP.
.png?width=688&height=160&name=Untitled%20(6).png)
Cuando haya generado este archivo, súbalo a una dirección pública de Internet y provea esta URL en formato raw añadiéndola al campo Metadato URL en el diálogo de Add new service en la plataforma IRONCHIP.
Activación de SSO en GOOGLE WORKSPACE
Para activar el login mediante la integración SAML recién creada, navegue de nuevo a Seguridad > Autenticación > SSO con proveedor externo de identidad es su interfaz de Google Admin.
Pulse en “Gestionar asignaciones de perfil de SSO”. En la parte izquierda puede configurar los grupos o individuos que se autenticarán utilizando el segundo factor de autenticación de Ironchip.
Recuerde configurar estos usuarios en el servicio SAML que ha creado en IRONCHIP.