Configuración de SSO/SAML con Azure Active Directory (AD)

Este tema explica cómo configurar la aplicación Boards en Microsoft Azure, lo que permite a los usuarios acceder a su sitio mediante el inicio de sesión único (SSO).

Cómo funciona

El inicio de sesión único (SSO) es un método cómodo y seguro para acceder a todos los recursos de su empresa utilizando un conjunto de credenciales. Garantizar que la persona adecuada tenga acceso a los recursos adecuados requiere:

  • Un proveedor de identidades (IdP), como Azure Active Directory, responsable de la autenticación de usuarios.

  • Un proveedor de servicios (SP), que controla el acceso a los recursos, lo que incluye Boards.

Diligent admite procesos de identidad iniciados por IdP y SP. Tenga en cuenta que para IdP hay un paso adicional opcional en el proceso de configuración para establecer administradores. Para obtener más información, consulte la sección Adición de reclamaciones para el inicio de sesión iniciado por el IdP.

La configuración de Boards en su Azure Active Directory (AD) puede requerir la colaboración entre un administrador de Boards y un especialista en TI que gestione el IdP en su organización. Puede tratarse de la misma persona, pero por lo general son personas diferentes.

Requisitos de permisos

El especialista en TI que gestiona el IdP en su empresa necesita acceso de desarrollador a Azure AD con uno de los siguientes roles:

  • Administrador global

  • Administrador de aplicaciones en la nube

  • Administrador de aplicaciones

No requieren una cuenta de Boards.

Si está colaborando con un administrador de Boards, le recomendamos que tenga acceso a la aplicación Administración del sitio, para que pueda ver la lista de usuarios activos, sus permisos y funciones.

Configuración de la aplicación Diligent Boards para SSO

La configuración de SSO para Boards requiere que configure la aplicación en Azure AD. Primero, cree la aplicación Boards. A continuación, obtenga el certificado de firma con sus metadatos de IdP y envíelo al equipo de Ejecutivos de Cuentas/Implantación para su validación. Por último, asigne usuarios a la aplicación Boards para que puedan acceder a su cuenta mediante SSO.

Crear la aplicación Boards

En esta sección se explica cómo crear una nueva aplicación en Azure AD y configurar la compatibilidad con SSO.

  1. Inicie sesión en el portal de Microsoft Azure.

  2. Seleccione Azure Active Directory.

  3. Seleccione Aplicaciones de empresa en el menú de la izquierda.

  4. Seleccione Nueva aplicación en la parte superior de la pantalla.

  5. En la página que aparece, seleccione Crear su propia aplicación en la parte superior de la pantalla.

  6. Introduzca un nombre para la aplicación en ¿Cuál es el nombre de su aplicación?, como, por ejemplo, Diligent Boards.

  7. Seleccione el botón de opción situado junto a Integrar cualquier otra aplicación que no se encuentre en la galería (No galería).

Configuración de la compatibilidad SSO

Para la compatibilidad SSO, Diligent necesita datos de su proveedor de autenticación, y necesita información de nosotros.

  1. Seleccione Inicio de sesión único en el menú de la izquierda.

  2. El método de inicio de sesión para Boards es SAML 2.0. Seleccione el icono de lápiz en la sección Configuración básica de SAML para editar los datos de configuración de SAML.

  3. Tiene la opción de cargar los metadatos o introducir los datos manualmente. Para cargar metadatos, seleccione Cargar archivo de metadatos en la parte superior de la pantalla.

  4. Para introducir datos manualmente, rellene los siguientes campos:

    Nombre del campo

    Texto de entrada

    Identificador (ID de entidad)

    https://diligent-identity/"environment"_"site-name"

    URL de respuesta (URL de servicio al consumidor de aserciones)

    https://identity-"environment".diligentcloudservices.com/saml/external-callback/"environment"_"site-name"

    Nota

    Los valores de entorno y nombre del sitio en las URL anteriores son exclusivos de su empresa. Póngase en contacto con su equipo de ejecutivos de cuentas/implementación de Diligent para obtener ayuda con las URL.

  5. El atributo para la autenticación debe ser Correo o Correo electrónico. Confirme que la estructura de correo electrónico de la aplicación coincide con la estructura de correo electrónico de su empresa.

    Nota

    Si los correos electrónicos de los usuarios no coinciden, se denegará la autenticación al iniciar sesión.

Obtención del certificado de firma

Esta sección explica cómo ver sus metadatos de IdP y enviarlos para su validación.

  1. En la sección Certificados SAML, seleccione Descargar junto a la opción "XML de metadatos de federación".

  2. El archivo XML aparece en la parte inferior de la ventana del navegador. También estará disponible en la carpeta designada para las descargas.

  3. Envíe el archivo XML con sus metadatos a su equipo de éxito de ejecutivos de cuentas/implementación de Diligent.

Asignación de cuentas de usuario

Esta sección describe cómo asignar un usuario a la aplicación Boards para que pueda acceder a su cuenta a través de SSO.

  1. En Azure AD, seleccione Aplicaciones empresariales en el menú de la izquierda.

  2. Seleccione la aplicación Diligent Boards.

  3. Seleccione Usuarios y grupos en el menú de la izquierda.

  4. Seleccione Agregar usuario/grupo en la parte superior de la página.

  5. Seleccione Ninguno seleccionado. Aparecerá la página Agregar asignación.

  6. Introduzca el nombre del usuario que desea asignar a la aplicación en el campo Buscar, que aparece en la parte derecha de la pantalla. Puede buscar por el nombre o la dirección de correo electrónico del usuario.

  7. Seleccione la opción Seleccionar que aparece junto al nombre del usuario.

  8. Seleccione Asignar para finalizar la asignación del usuario a la aplicación.

Adición de reclamaciones para el inicio de sesión iniciado por el IdP

Una vez que su sitio esté configurado en Azure AD, puede crear una nueva solicitud para designar cómo accederán a la aplicación los usuarios con rol de administrador. De manera predeterminada, los usuarios son redirigidos a Boards Web Director si esta solicitud no está presente.

  1. En Azure AD, seleccione Aplicaciones empresariales en el menú de la izquierda.

  2. Seleccione la aplicación Diligent Boards.

  3. Seleccione Inicio de sesión único en el menú de la izquierda.

  4. Desplácese hacia abajo en la página para ver la sección Atributos y solicitudes.

  5. Seleccione el icono del lápiz para editar la información.

  6. Seleccione Agregar nueva solicitud.

  7. Rellene los siguientes campos en la ventana Gestionar solicitud:

    Nombre del campo

    Texto de entrada

    Descripción

    Nombre

    diligent_client_id

    Condiciones de la solicitud

    Grupos de alcance: Seleccione un grupo para los usuarios administradores

    Origen: Atributo

    Valor: bw_book_admin

    Dirige a un grupo de usuarios hacia Boards Web Admin

    Condiciones de la solicitud

    Grupos de alcance: Seleccione un grupo para los usuarios directores/ejecutivos

    Origen: Atributo

    Valor: bw_director

    Dirige a un grupo de usuarios hacia Boards Web Director

    Nota

    Tendrá que crear un grupo para los usuarios administradores y otro para los usuarios no administradores. Esto permitirá solicitudes dinámicas basadas en los usuarios.

  8. Seleccione Guardar. La solicitud personalizada se configurará dentro de la aplicación.