| title | excerpt | updated |
|---|---|---|
Activar las conexiones SSO de Entra ID con su cuenta OVHcloud |
Esta guía explica cómo asociar su Entra ID (antes Azure Active Directory) a su cuenta de OVHcloud utilizando SAML 2.0 |
2024-07-05 |
Puede utilizar la autenticación SSO (Single Sign-On) para conectarse a su cuenta OVHcloud. Para activar estas conexiones, su cuenta y su Entra ID (antes Azure Active Directory) deben configurarse utilizando SAML (Security Assertion Markup Language).
Esta guía explica cómo asociar una cuenta de OVHcloud a un Entra ID externo.
- Tener acceso a las funciones de administrador de aplicaciones y administrador de usuarios de un servicio Entra ID
- Disponer de una cuenta de OVHcloud
- Tienes acceso a tu Panel de configuración de OVHcloud
[!primary]
Para que un proveedor de servicios (por ejemplo, su cuenta de OVHcloud) establezca una conexión SSO con un proveedor de identidad (por ejemplo, su Entra ID), debe establecer una relación de confianza mutua registrando la conexión SSO en ambos servicios.
Su Entra ID actúa como proveedor de identidad. Las solicitudes de autenticación de su cuenta de OVHcloud solo se aceptarán si primero la ha declarado como un tercero de confianza.
Concentrémonos un momento en las identidades del proveedor de identidad.
En primer lugar, acceda al panel de control Entra ID.
{.thumbnail}
En el menú de la izquierda, haga clic en Users{.action}.
{.thumbnail}
Cree tantos usuarios como desee y/o verifique a sus usuarios haciendo clic en él.
Para este ejemplo, se usará el usuario John Smith.
{.thumbnail}
Cuando se realiza la autenticación SSO, la identidad de John Smith la proporciona Entra ID a la cuenta de OVHcloud. Sin embargo, esta identidad debe contener al menos un grupo. Si no existe ningún grupo, a continuación se muestra cómo crear uno para agregar a John Smith.
En el menú de la izquierda, haga clic en Groups{.action}.
{.thumbnail}
En el menú superior, haga clic en New group{.action} e introduzca toda la información necesaria.
Para este ejemplo, se utilizará el grupo manager@ovhcloudsaml.
{.thumbnail}
Haga clic en el botón Create{.action} para ver toda la información sobre este grupo.
{.thumbnail}
Ahora, los usuarios que se utilizarán para la autenticación SSO deben añadirse a un grupo.
En este ejemplo, asociemos al usuario John Smith con el grupo manager@ovhcloudsaml.
En la interfaz del grupo seleccionado, haga clic en Members{.action} en el menú de la izquierda y seleccione Add members{.action} en el menú superior.
{.thumbnail}
Seleccione el usuario que desea añadir a este grupo y haga clic en el botón Select{.action}.
{.thumbnail}
Ahora el usuario está asignado al grupo.
Para realizar autenticaciones SSO, debe crear una aplicación Entra ID.
La autenticación única debe configurarse en esta aplicación.
En primer lugar, cree una aplicación si todavía no existe.
En el menú de la izquierda, haga clic en Enterprise applications{.action}.
{.thumbnail}
Haga clic en New application{.action} en el menú superior.
{.thumbnail}
Haga clic en Create your own application{.action} en el menú superior.
{.thumbnail}
Seleccione Non-gallery{.action} en el menú de la izquierda y haga clic en el botón Create{.action}.
{.thumbnail}
Se mostrarán los detalles de la aplicación.
{.thumbnail}
Se ha creado la aplicación Entra ID. Los usuarios que deseen realizar autenticaciones SSO a través de esta aplicación deben añadirse.
[!primary]
Para que un usuario realice la autenticación SSO a partir de una aplicación Entra ID, debe añadirse a esta aplicación. Cómo añadir un usuario a una aplicación Entra ID
Sin embargo, si dispone de Entra ID Premium, es mejor añadir un grupo de usuarios que usuarios.
En el menú de la izquierda, haga clic en Users and groups{.action} y seleccione Add user/group{.action}.
A continuación, haga clic en la sección Usuarios{.action}, seleccione el usuario que desea añadir a la aplicación y haga clic en el botón Select{.action}.
{.thumbnail}
{.thumbnail}
La aplicación está creada, el usuario está asignado, solo tiene que implementar el SSO a través de SAML.
Vuelva a la vista de conjunto utilizando el botón Overview{.action} en el menú de la izquierda y haga clic en la sección Set up single sign on{.action}.
{.thumbnail}
Haga clic en la sección SAML{.action} .
{.thumbnail}
Haga clic en Upload metadata file{.action} en el menú superior.
{.thumbnail}
Haga clic en el icono del botón Select a file{.action}, seleccione el archivo de metadatos OVHcloud Service Provider y haga clic en el botón Add{.action}.
Puede obtener el archivo de metadatos adecuado a través de los siguientes enlaces:
Descargue el archivo de metadatos, que más tarde necesitará.
{.thumbnail}
Se mostrará la configuración SAML.
{.thumbnail}
En la sección Attributes & Claims{.action}, haga clic en el botón Edit{.action}.
{.thumbnail}
Añada el atributo UPN (User Principal Name) a la información de SAML para informar a OVHcloud del correo electrónico del usuario. Este paso es indispensable.
Haga clic en Add a new claim{.action} en el menú superior.
En el campo Name{.action}, introduzca el valor http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn.
En el campo Source attribute{.action}, introduzca user.mail{.action}.
Su interfaz debería ser bastante similar a la siguiente captura de pantalla:
{.thumbnail}
Haga clic en Save{.action}
Declare ahora el atributo utilizado para el grupo del usuario.
Haga clic en Add a group claim{.action} en el menú superior.
{.thumbnail}
Seleccione Security groups{.action} y Group ID en Source attribute{.action} y haga clic en el botón Save{.action}.
{.thumbnail}
La reivindicación de groups debe aparecer ahora en la lista.
Copie y guarde el valor del Claim name en algún lugar (por ejemplo, un bloc de notas), pero más adelante lo necesitará.
{.thumbnail}
En la sección SAML certificates{.action}, copie el valor del campo App Federation Metadata Url{.action}.
Utilice este enlace para descargar el archivo de metadatos de la aplicación Entra ID para utilizarlo posteriormente en la cuenta de OVHcloud.
{.thumbnail}
La adición de su aplicación Entra ID como proveedor de identidad aprobado se realiza en el área de cliente de OVHcloud, donde puede proporcionar los metadatos del proveedor de identidad.
Haga clic en el nombre de su cuenta en la esquina superior derecha y, a continuación, vuelva a hacer clic en su nombre en la barra lateral.
{.thumbnail}
Puede acceder al menú IAM desde la entrada dedicada del área de cliente.
{.thumbnail}
A continuación, haga clic en la pestaña Identidades{.action} para acceder a la gestión de los usuarios locales.
{.thumbnail}
Haga clic en el botón Conexión SSO{.action}.
{.thumbnail}
Rellene el campo Nombre de Atributo de Usuario con el nombre de reclamación de la aplicación de identificación inicial UPN y en el campo Nombre de Atributo de Grupo con el valor del nombre de reclamación de groups guardado antes.
Rellene los metadatos XML de su aplicación Entra ID desde el archivo guardado anteriormente.
Es posible conservar los usuarios locales marcando la casilla Mantener los usuarios de OVHcloud activos.
Haga clic en Aceptar{.action}.
{.thumbnail}
La adición de su aplicación Entra ID como proveedor de identidad ya está establecida, pero debe añadir grupos a su cuenta de OVHcloud.
Warning
Si intenta conectarse por SSO, es probable que aparezca un mensaje de error Not in valid groups.
Su cuenta de OVHcloud verifica si el usuario autentificado pertenece a un grupo existente en la cuenta.
Para solucionar el problema, compruebe el atributo "Group" devuelto por la aplicación Entra ID: el campo Object Id.
{.thumbnail}
Para añadirlo, haga clic en el botón Declarar un grupo{.action}.
{.thumbnail}
Complete los campos y haga clic en el botón Aceptar{.action}.
{.thumbnail}
El grupo creado debe aparecer en la lista.
{.thumbnail}
Atención: Si otorga el privilegio Ninguno, será necesario asignar permisos a este grupo a través de las políticas IAM.
En la página de identificación de OVHcloud, introduzca su ID de cliente seguido de /idp sin contraseña y haga clic en el botón Login{.action} .
{.thumbnail}
A continuación, será redirigido a la página de conexión a su aplicación Entra ID. Seleccione Use another account{.action}.
{.thumbnail}
Introduzca el mensaje de correo electrónico del usuario de la aplicación Entra ID y haga clic en el botón Next{.action}.
{.thumbnail}
Introduzca la contraseña del usuario de la aplicación Entra ID y haga clic en el botón Sign In{.action}.
{.thumbnail}
Ahora está conectado con el mismo ID de cliente, pero a través de su usuario de Entra ID.
{.thumbnail}
Si su correo electrónico no aparece por debajo de Connected via SSO, significa que no ha configurado correctamente el atributo UPN y que una parte de las funcionalidades no funcionará.
Proteger mi cuenta de OVHcloud y gestionar mis datos personales
Definición y gestión de la contraseña de su cuenta
Proteger su cuenta de OVHcloud con la doble autenticación
Cómo utilizar las políticas IAM desde el área de cliente.
Interactúe con nuestra comunidad de usuarios.