Active Directory como proveedor de identidad externo SAML 2.0

Requisitos previos

Asegúrese de tener un identificador de tenant de Vantage antes de configurar identidades. Para obtenerlo, haga clic en Configuration en ABBYY Vantage. El identificador se encuentra en la pestaña General.
Cree un URI de redirección (Redirect URI) para recibir las respuestas de autenticación. El URI es: https://<your-vantage-url>/auth2/Saml2/Acs

Configuración

El proceso de configuración consta de los siguientes pasos:

Agregar una descripción de claim
Configurar la relación de confianza con la parte confiable (relying party)
Agregar reglas para transformar un claim entrante

Agregar una descripción de claim

Abra la consola de administración

Abra la consola de administración de AD FS.

Abra Add Claim Description

Seleccione Service > Claim Descriptions y, a continuación, haga clic en Add Claim Description.

Complete la descripción de claim

Especifique lo siguiente:

Display name — por ejemplo, Persistent Identifier.
Claim type — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
Seleccione Publish this claim description in federation metadata as a claim type that this federation service can accept.
Seleccione Publish this claim description in federation metadata as a claim type that this federation service can send.

Cuadro de diálogo Add Claim Description de AD FS con los campos de nombre para mostrar y tipo de claim Persistent Identifier

Confirmar

Haga clic en OK.

Ahora puede controlar cómo se asignan los atributos de usuario entre distintos sistemas.

Configuración de una relación de confianza con la parte confiable

Para crear una relación de confianza con la parte confiable en AD FS, siga estos pasos:

Agregar una relación de confianza con la parte confiable

En el árbol de la consola, en AD FS, seleccione Trust Relationships > Relying Party Trusts > Add Relying Party Trust.

Iniciar el asistente

En la página Welcome, elija Claims aware y haga clic en Start.

Seleccionar el origen de datos

En la página Select Data Source, seleccione Enter data about the relying party manually y, a continuación, haga clic en Next.

Especificar un nombre para mostrar

En la página Specify Display Name, escriba cualquier nombre en Display Name y, a continuación, haga clic en Next.

Elegir el perfil

En la página Choose Profile, seleccione el AD FS 2.0 profile y, a continuación, haga clic en Next.

Configurar el certificado

En la página Configure Certificate, haga clic en Next.

Configurar la URL

En la página Configure URL, seleccione Enable support for the SAML 2.0 WebSSO protocol. En Relying party SAML 2.0 SSO service URL, escriba https://<your-vantage-url>/auth2/Saml2/Acs y, a continuación, haga clic en Next.

Configurar los identificadores

En Relying party trust identifier, escriba api://platform.abbyy.cloud/tenantId, donde tenantId es el identificador del tenant en formato GUID sin guiones (por ejemplo, 117489fc1aea41658369d4d18d6557ga). Este valor se usará como Application ID URI para la autenticación. Copie este valor; lo necesitará al configurar el proveedor de identidad externo en Vantage. Haga clic en Add.
En la pestaña Expose an API, establezca el Application ID URI con el mismo valor que introdujo anteriormente (por ejemplo, api://cccc3333-dddd-4444-eeee-5555ffff6666). Haga clic en Add y, a continuación, en Next.

Elegir reglas de autorización de emisión

Para conceder a Vantage acceso a todos los usuarios, seleccione Permit all users to access this relying party. Para restringir el acceso a un grupo específico, seleccione Permit specific group y especifique el grupo. Haga clic en Next.

Agregar la relación de confianza

En la página Ready to Add Trust, revise la configuración. Haga clic en Next y, a continuación, en Close.

Quedará establecida una relación de confianza entre un proveedor de identidad y ABBYY Vantage.

Agregar reglas para transformar un claim entrante

Para aplicar reglas de transformación a un claim entrante, sigue estos pasos:

Abrir Relying Party Trusts

Haz clic en Relying Party Trusts.

Editar la directiva de emisión de claims

Haz clic con el botón derecho en la relación de confianza seleccionada y, a continuación, haz clic en Edit Claim Issuance Policy.

Agregar una regla

En la ventana Edit Claim Issuance Policy for <name>, haz clic en Add Rule.

Cuadro de diálogo de AD FS Edit Claim Issuance Policy con el botón Add Rule para reglas de notificación SAML

Seleccionar la plantilla de regla

Selecciona la plantilla de regla de notificación Transform an Incoming Claim y, a continuación, haz clic en Next.

Asistente de AD FS Add Transform Claim Rule con la plantilla Transform an Incoming Claim seleccionada

Configurar la regla de notificación

Selecciona el paso Configure Claim Rule y, a continuación, especifica lo siguiente:

Claim rule name — TransformWindows account name.
Incoming claim type — Windows account name.
Outgoing claim type — Name ID.
Outgoing name ID format — Persistent Identifier.
Selecciona Pass through all claim values.

Paso de AD FS Configure Claim Rule con Windows account name como claim entrante y Persistent Identifier como formato de salida

Finalizar la primera regla

Haz clic en Finish.

Agregar una regla Send LDAP Attributes

Agrega otra regla para asegurarte de que los claims de correo electrónico y nombre se incluyan en el token emitido. En la página Select Rule Template, selecciona Send LDAP Attributes as Claims en Claim rule template y, a continuación, haz clic en Next.

Asistente de AD FS Add Transform Claim Rule con la plantilla Send LDAP Attributes as Claims seleccionada

Configurar la regla LDAP

En la página Configure Claim Rule, selecciona el almacén de atributos Active Directory en Claim rule name y, a continuación, haz clic en Finish.

AD FS Configure Claim Rule con el almacén de atributos Active Directory y las asignaciones de atributos LDAP de correo electrónico y nombre

Verificar las reglas

Las reglas agregadas se muestran en el cuadro de diálogo Edit Claim Rules.

Cuadro de diálogo de AD FS Edit Claim Rules que muestra las reglas Persistent Identifier y Send LDAP Attributes as Claims

Próximos pasos

Una vez que AD FS esté configurado, conéctelo a su tenant en Vantage. Necesitará la url del documento de metadatos de federación con el formato https://<adfs-server-address>/federationmetadata/2007-06/federationmetadata.xml — por ejemplo, https://adfs.platform.local/federationmetadata/2007-06/federationmetadata.xml. Para la configuración en Vantage, consulte Configurar un proveedor de identidad externo para un tenant.

Configurar un proveedor de identidad externo SAML 2.0

Descripción general de la configuración de SAML 2.0 con AD FS o Azure AD

Azure Active Directory como proveedor de identidad externo SAML 2.0

Configure Azure AD en lugar de AD FS local

Configurar un proveedor de identidad externo para un tenant

Conecte AD FS a su tenant de Vantage

Probar la autenticación externa

Verifique el proveedor de identidad externo antes de que los usuarios inicien sesión

Documentation Index

​Requisitos previos

​Configuración

​Agregar una descripción de claim

​Configuración de una relación de confianza con la parte confiable

​Agregar reglas para transformar un claim entrante

​Próximos pasos

​Temas relacionados