| title | excerpt | updated |
|---|---|---|
Activar las conexiones Active Directory Federation Services (AD FS) SSO con su cuenta OVHcloud |
Cómo asociar el servicio Active Directory Federation Services (AD FS) a su cuenta de OVHcloud a través de SAML 2.0 |
2024-06-25 |
Puede utilizar la autenticación SSO (Single Sign-On) única para conectarse a su cuenta de OVHcloud. Para activar estas conexiones, su cuenta y sus servicios AD FS (Active Directory Federation Services) deben configurarse mediante autenticación SAML (Security Assertion Markup Language).
Esta guía explica cómo asociar una cuenta de OVHcloud a un Active Directory externo.
- Los servicios AD FS (Active Directory Federation Services) deben ejecutarse en su servidor
- Disponer de una cuenta de OVHcloud
- Haber iniciado sesión en el área de cliente de OVHcloud.
[!primary]
Para que un proveedor de servicios (es decir, su cuenta de OVHcloud) pueda establecer una conexión SSO con un proveedor de identidad (es decir, su servicio AD FS), lo esencial es establecer una relación de confianza mutua.
Su AD FS actúa como proveedor de identidad. Las solicitudes de autenticación de su cuenta de OVHcloud solo se aceptarán si primero lo ha declarado como un organismo tercero de confianza.
En el contexto Active Directory, significa que debe añadirse como Relying Party Trust.
En el Gestor de servidores, abra el menú Tools{.action} y seleccione AD FS Management{.action}.
{.thumbnail}
Haga clic en Relying Party Trusts{.action}.
{.thumbnail}
Haga clic en Add Relying Party Trust...{.action}.
{.thumbnail}
Seleccione Claims aware{.action} y acepte con el botón Start{.action}.
{.thumbnail}
Puede introducir manualmente la información sobre el organismo tercero de confianza o importarla desde un archivo de metadatos.
Puede obtener el archivo de metadatos adecuado a través de los siguientes enlaces:
Seleccione Import data about the relying party from a file{.action} y seleccione su archivo de metadatos.
Haga clic en el botón Next{.action}.
{.thumbnail}
Escriba un nombre para mostrar el organismo tercero de confianza y haga clic en el botón Next{.action}.
{.thumbnail}
Haga clic en Next{.action} en la ventana de control de acceso.
{.thumbnail}
Haga clic de nuevo en Next{.action} para continuar.
{.thumbnail}
Haga clic en el botón Close{.action} en la última ventana. La aprobación de OVHcloud como organismo tercero de confianza se ha añadido a su AD FS.
{.thumbnail}
[!primary]
Con OVHcloud añadido como organismo tercero de confianza, ya debería poder conectarse a través de una conexión SSO. Sin embargo, toda la información sobre la identidad del usuario (en términos de "afirmación" SAML) no estará disponible hasta que configure una estrategia para que los campos LDAP Active Directory se ajusten a los atributos de la declaración SAML.
Haga clic en el registro de OVHcloud en la sección "Relying Party Trusts".
{.thumbnail}
Haga clic en Edit Claim Issuance Policy...{.action}.
{.thumbnail}
Haga clic en el botón Add Rule...{.action}.
{.thumbnail}
Haga clic en Next{.action}.
Introduzca un nombre de regla y establezca la tabla de correspondencias.
Seleccione Active Directory como Atribute store.
[!primary]
Los siguientes parámetros se pueden configurar libremente para que el proveedor de servicios pueda leer correctamente los datos LDAP Active Directory. Puede consultar la siguiente imagen, por ejemplo.
Haga clic en el botón Finish{.action}.
{.thumbnail}
{.thumbnail}
Haga clic en el botón Apply{.action} y acepte con OK{.action}.
{.thumbnail}
Una vez completada la tabla de correspondencias, el servicio AD FS confía en OVHcloud como proveedor de servicios. El siguiente paso es comprobar que la cuenta de OVHcloud confíe en su AD FS como proveedor de identidad.
El AD FS se añadirá como proveedor de identidad de confianza al área de cliente de OVHcloud, donde podrá proporcionar los metadatos del proveedor de identidad.
Haga clic en el nombre de su cuenta en la esquina superior derecha y, a continuación, vuelva a hacer clic en su nombre en la barra lateral.
{.thumbnail}
Puede acceder al menú IAM desde la entrada dedicada del área de cliente.
{.thumbnail}
A continuación, haga clic en la pestaña Identidades{.action} para acceder a la gestión de los usuarios locales.
{.thumbnail}
Haga clic en el botón SSO connection{.action}.
{.thumbnail}
Introduzca los metadatos XML del servicio AD FS. En este caso, el campo Nombre de atributo de grupo es opcional. Haga clic en Confirmar{.action}.
Es posible conservar los usuarios locales marcando la casilla Mantener los usuarios de OVHcloud activos.
{.thumbnail}
Ahora debe encontrar el AD FS como proveedor de identidad, así como los grupos por defecto.
{.thumbnail}
Para más información, haga clic en el enlace situado bajo la URL del servicio SSO.
{.thumbnail}
{.thumbnail}
El botón ...{.action} permite actualizar o eliminar el SSO y consultar los detalles.
{.thumbnail}
Su AD FS se considera ahora proveedor de identidad de confianza. No obstante, debe añadir grupos a su cuenta de OVHcloud.
Warning
Si intenta conectarse por SSO, es probable que aparezca un mensaje de error Not in valid groups.
Su cuenta de OVHcloud verifica si el usuario se autentifica pertenece a un grupo existente en la cuenta.
Para solucionarlo, compruebe que la información relativa al atributo "Group" devuelto por el servicio AD FS es correcta.
Considere el de un usuario "John Doe" de su Active Directory, como se muestra en la siguiente imagen.
{.thumbnail}
Compruebe la tabla de correspondencias en AD FS :
{.thumbnail}
En este ejemplo, el atributo "Group" devuelto por el Active Directory para el usuario "John Doe" es "title" Esto corresponde al "job title" que es manager@<my-domain>.com.
También puede comprobarlo en la declaración SAML:
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">
<AttributeValue>manager@<my-domain>.com</AttributeValue>
</Attribute>
...
</AttributeStatement>Esto significa que debe añadir el grupo manager@<my-domain>.com a su cuenta de OVHcloud asignándole un papel. En caso contrario, su cuenta de OVHcloud no sabe lo que el usuario está autorizado a hacer.
Para añadirlo, haga clic en el botón Declarar un grupo{.action} e introduzca los siguientes campos:
{.thumbnail}
{.thumbnail}
A continuación, compruebe que el grupo se ha añadido a su cuenta de OVHcloud en la sección Grupos:
{.thumbnail}
Una vez que se conecte posteriormente con el usuario Active Directory "John Doe", su cuenta de OVHcloud reconocerá que el usuario tiene el rol REGULAR, especificado por su grupo.
Atención: Si otorga el privilegio Ninguno, será necesario asignar permisos a este grupo a través de las políticas IAM.
A continuación, podrá desconectarse de su cuenta y reconectarse con su AD FS como proveedor de identidad.
En la página de identificación de OVHcloud, introduzca su ID de cliente seguido de /idp sin contraseña y haga clic en el botón Login{.action} .
{.thumbnail}
A continuación, será redirigido a la página de conexión AD FS. Introduzca un login/password de un usuario de su Active Directory LDAP y haga clic en el botón Sign in{.action}.
{.thumbnail}
Ahora está conectado con el mismo ID de cliente, pero a través de su usuario Active Directory y con su SSO AD FS.
{.thumbnail}
Proteger mi cuenta de OVHcloud y gestionar mis datos personales
Definición y gestión de la contraseña de su cuenta
Proteger su cuenta de OVHcloud con la doble autenticación
Cómo utilizar las políticas IAM desde el área de cliente.
Interactúe con nuestra comunidad de usuarios.