SAML (Azure AD)

Integra con la autenticación SAML de Azure AD

  1. En la consola de gestión de Azure, selecciona el elemento de menú "Aplicaciones empresariales" en Azure Active Directory

    azure_config1

  2. Selecciona “New Application”

    azure_config2

  3. Crea una aplicación no de galería y dale un nombre único

    azure_config3

  4. En la página de configuración de la aplicación, selecciona "Inicio de sesión único" en el panel lateral izquierdo y elige el inicio de sesión basado en SAML

    azure_config4

  5. Descarga el certificado en formato base64 y anota la URL de inicio de sesión de la aplicación y el identificador de Azure AD

    azure_config5

  6. En la consola de gestión de SUSE® Security, inicia sesión como administrador. Selecciona "Configuración" en el menú desplegable de administrador en la esquina superior derecha. Haz clic en Configuración SAML

    azure_config6

  7. Configura el servidor SAML de la siguiente manera:

    • Copia la "URL de inicio de sesión" de la aplicación como la URL de inicio de sesión único.

    • Copia el "Identificador de Azure AD" como el emisor.

    • Abre el certificado descargado y copia el texto en el cuadro de Certificado X.509.

    • Establece un rol predeterminado.

    • Introduce el nombre del grupo para la asignación de roles. La reclamación de grupo devuelta por Azure se identifica por el "ID de objeto" en lugar del nombre. El ID de objeto del grupo se puede localizar en menu:Azure Active Directory[Grupos> Página del nombre del grupo]. Utiliza este valor para configurar el mapeo de roles basado en grupos en SUSE® Security.

      OpenID5

      Luego, habilita el servidor SAML.

      azure_config7

  8. Copia la URL de redirección.

    azure_config8

  9. Regresa a la consola de gestión de Azure para configurar la "Configuración básica de SAML". Copia la URL de redirección de la consola SUSE® Security en los cuadros de "Identificador" y "URL de respuesta".

    azure_config9

  10. Edita el "Certificado de firma SAML", cambiando la opción de firma a "Firmar respuesta SAML".

    azure_config10

  11. Edita "Atributos y reclamaciones de usuario" para que la respuesta pueda llevar los atributos del usuario que inicia sesión de vuelta a SUSE® Security. Haz clic en "Añadir nueva reclamación" para añadir las reclamaciones de "Nombre de usuario" y "Correo electrónico" con "user.userprincipalname" y "user.mail" respectivamente.

    azure_config11

  12. Si los usuarios están asignados a los grupos en el directorio activo, su pertenencia a grupos puede añadirse a la reclamación. Encuentra la aplicación en "Registros de aplicaciones" y edita el manifiesto. Modifica el valor de "groupMembershipClaims" a "Todos".

    azure_config12

  13. Autoriza a los usuarios y grupos para acceder a la aplicación para que puedan iniciar sesión en la consola SUSE® Security con Azure AD SAML SSO.

    azure_config13

Mapeo de grupos a roles y espacios de nombres.

Por favor, consulta la sección Usuarios y Roles para ver cómo mapear grupos a roles predefinidos y personalizados, así como espacios de nombres en SUSE® Security.