Revisa aquí el paso a paso para configurar el inicio de sesión único (SSO) a través de SAML
Primero, aclarar que para configurar la autenticación es necesario que la empresa cuenta con un proveedor de identidad compatible con SAML.
Para una correcta integración será necesario realizar la configuración tanto en buk, como en el proveedor de identidad correspondiente. En el caso de buk, deberás ponerte en contacto con tu jefe de proyecto, quien se encargará de hacer efectiva la configuración de acuerdo a los siguientes datos que deberás proporcionar:
1. Listado de los dominios a autenticar:
Se deben incluir todos los dominios para los cuales los usuarios se autenticarán usando SAML. Por ejemplo, si los usuarios de tu organización tienen todas sus cuentas de la forma usuario@miempresa.com, el valor sería miempresa.com.
Aquí debes considerar que se pueden usar más de un dominio pero todos usaran el mismo método de autenticación. No se pueden establecer reglas diferentes por usuarios ni dominios.
2. URL de Single Sign On del proveedor de identidad:
Esta es la dirección hacia donde deben redirigirse los usuarios para autenticarse en el proveedor de identidad, también puede estar identificada como “SingleSignOnService Location”
3. URL de Single Log Out del proveedor de identidad:
Similar al punto anterior, hace referencia a la URL hacia donde deben redirigirse los usuarios para cerrar la sesión en el proveedor de identidad al cerrar sesión en buk.
Si se deja este campo vacío, al cerrar sesión en buk se cerrará la sesión en la aplicación, pero al volver a abrirla el usuario aún se considerará autenticado, esto hasta que se cierre la sesión en el proveedor de identidad correspondiente.
4. Huella digital o fingerprint del certificado del proveedor de identidad:
Se debe proveer el hash del certificado que se usará para firmar las respuestas del proveedor de identidad. Este Hash debe proveerse como un string hexadecimal separado por dos puntos, de la forma AA:BB:CC:DD…
5. Algoritmo de hashing para la huella digital del certificado:
Se debe especificar el algoritmo usado para el cálculo del string del punto anterior. Las opciones disponibles son SHA1 y SHA256.
Advertencia: El uso del algoritmo SHA1 está fuertemente desaconsejado ya que se considera absolutamente inseguro. Usar sólo en caso que no sea posible usar SHA256.
De igual forma, será necesario configurar el proveedor de identidad, de manera que intercambie correctamente la información con el sistema de autenticación de buk.
Por lo general, los valores requeridos son:
- Id (o Service Provider Id): https://miempresa.buk.cl/users/saml/metadata
- ACS (Assertion Comsumer Service): <url de acceso a buk>/users/saml/auth. Por ejemplo: https://miempresa.buk.cl/users/saml/auth
- Service provider login url: <url de acceso a buk>/users/sign_in . Ejemplo: https://miempresa.buk.cl/users/sign_in
- NameID format: urn:oasis:names:tc:SAML:2.0:nameid-format:emailAddress
- Algoritmo de firma: El algoritmo usado para la huella digital del certificado configurado en buk.
Es importante mencionar que pese a que SAML tiene un protocolo establecido, cada proveedor lo implementa de forma diferente, y por tanto sólo podemos asegurar que la integración funcionará correctamente con los siguientes proveedores:
- Auth0 /
- Office365 / Microsoft
- Duo
- RSA SecureID
Cualquier otro proveedor deberá ser sometido a una evaluación técnica por parte del equipo de desarrollo para revisar factibilidad y plazos de implementación.
Recuerda, si necesitas ayuda o tienes alguna duda puedes contactarnos a través de nuestro chat o correo, ¡Felices te ayudamos!