Autenticación SAML
Security Assertion Markup Language (SAML) ofrece una alternativa más sencilla a los métodos de inicio de sesión convencionales ya disponibles para los servicios en línea. Los usuarios ya no tendrán que proporcionar contraseñas específicas para cada servicio al que accedan. La aplicación ServiceDesk Plus es compatible con SAML 2.0, que se puede configurar desde Admin > Usuarios y permisos > Inicio de sesión único SAML.
Rol requerido: SDAdmin
- Cómo funciona SAML
- Configurar SAML en ServiceDesk Plus
- Iniciar sesión en ServiceDesk Plus usando SAML
- Cerrar sesión usando SAML
- Consejos para la solución de problemas
Cómo funciona SAML
SAML intercambia datos de autenticación y autorización entre dos entidades, a saber, un Proveedor de identidad (IdP) y un Proveedor de servicios (SP). Aquí, ServiceDesk Plus actúa como el SP y, tras la integración, los usuarios pueden iniciar sesión directamente en la aplicación desde el IdP sin proporcionar ninguna credencial de inicio de sesión.
Por ejemplo, puede configurar Active Directory Federation Service (ADFS) como IdP para permitir que sus usuarios inicien sesión en ServiceDesk Plus usando sus credenciales de Active Directory.
La siguiente captura de pantalla muestra cómo un usuario inicia sesión en una aplicación configurada con SAML.
Configuración de SAML en ServiceDesk Plus
Vaya a Admin > Usuarios y permisos > Inicio de sesión único > SSO de SAML.
En la pestaña Configuración, habilite Inicio de sesión único SAML.
La página de configuración de SAML tiene tres secciones: detalles del proveedor de servicios, detalles del proveedor de identidad y declaraciones adicionales.
.png)
Puede usar los detalles del proveedor de servicios para configurar ServiceDesk Plus como un SP con su IdP.
Detalles del proveedor de servicios
Nombre del campo | Descripción |
ID de entidad |
Use estos detalles para configurar ServiceDesk Plus como proveedor de servicios en su IdP. |
URL del consumidor de aserciones | |
URL del servicio de cierre de sesión único | |
Haga clic en el archivo para descargarlo. Cargue este archivo en el portal del IdP. | |
Archivo de metadatos SP | En algunos IdP, cargar el archivo de metadatos es suficiente para configurar ServiceDesk Plus como un SP. |
Estas URL se pueden agregar usando el ícono Agregar URL junto al campo URL del consumidor de aserciones en Inicio de sesión único > SAML SSO.
Después de configurar ServiceDesk Plus como un SP en su IdP, vuelva a la página de configuración de SAML en ServiceDesk Plus y configure los detalles del proveedor de identidad y las reclamaciones adicionales como se menciona a continuación.
Detalles del proveedor de identidad
Nombre del campo | Descripción |
URL de inicio de sesión* | Ingrese la URL de inicio de sesión del IdP. |
URL de cierre de sesión | Ingrese la URL de cierre de sesión del IdP. Puede omitir este campo si no se requiere cierre de sesión único (SLO). |
Formato de ID de nombre* | Seleccione el formato de ID de nombre según su preferencia de inicio de sesión.
|
Algoritmo* | Seleccione el algoritmo del menú desplegable. Este algoritmo debe ser el mismo que está configurado en el IdP. |
Certificado | Cargue el certificado del IdP haciendo clic en Elegir archivo. |
* Campos obligatorios
Claims adicionales
Los atributos adicionales le permiten crear un perfil de usuario detallado para usuarios dinámicos que inician sesión mediante SAML. Puede importar atributos adicionales desde el IdP si la adición dinámica de usuarios está habilitada.
Para importar atributos adicionales,
Seleccione los campos (predeterminados y definidos por el usuario) habilitando las casillas de verificación junto a ellos.
Especifique el nombre del atributo configurado en el IdP en los campos seleccionados. Estos detalles no se utilizarán para actualizar los perfiles de usuario existentes.
Por último, haga clic en Guardar.
La pestaña Historial enumera todas las actividades realizadas en la pestaña Configuración. Puede usar filtros predefinidos para ver las actividades relacionadas con un atributo en particular.
Iniciar sesión en ServiceDesk Plus mediante SAML
La página de inicio de sesión después de habilitar el inicio de sesión único de SAML se mostrará como se indica a continuación.
Los usuarios pueden iniciar sesión mediante la autenticación local (habilitada de forma predeterminada) o iniciar sesión mediante SAML haciendo clic en el enlace debajo del botón Iniciar sesión.
Si la autenticación local está deshabilitada, se mostrará la página de inicio de sesión del IdP.
Cuando el nombre de inicio de sesión generado por el IdP no coincide con el nombre de inicio de sesión de un usuario en ServiceDesk Plus,
Si la adición dinámica de usuarios está habilitada, entonces el usuario se agregará nuevamente con el nombre de inicio de sesión generado por el IdP y la contraseña según la configuración de Active Directory/LDAP.
Si la adición dinámica de usuarios está deshabilitada, entonces el usuario no podrá iniciar sesión en ServiceDesk Plus.
ServiceDesk Plus admite el servicio de cierre de sesión único de SAML. Con esto, puede elegir cerrar sesión solo en ServiceDesk Plus o en todos los servicios integrados con el IdP.
Haga clic en
. Si ha configurado el cierre de sesión de SAML en su dominio IdP, encontrará dos opciones en la lista.
Haga clic en Cerrar sesión para cerrar sesión solo en la aplicación ServiceDesk Plus.
Si hace clic en Cerrar sesión de SAML, cerrará sesión en todos los servicios integrados con el IdP.
Solución de problemas
Código de error | Motivo | Solución |
4 | El archivo del certificado de IdP no se cargó correctamente. | Vuelva a configurar los detalles del IdP. |
| 8 | No se recibe la respuesta SAML del IdP. | ServiceDesk Plus solo admite el método de enlace POST. Asegúrese de que el IdP siga el método de enlace POST. |
10 | Error al validar la respuesta de cierre de sesión del IdP. | Consulte los errores 42, 44, 50, 4, y 36. Comuníquese con servicedeskplus-support@manageengine.com. |
21, 22, 23 | El estado de la respuesta del IdP es Failure. | Vuelva a configurar los detalles del IdP siguiendo las instrucciones proporcionadas aquí. |
35 | La respuesta del IdP no está firmada. ServiceDesk Plus acepta solo respuestas firmadas. | Configure los ajustes del IdP para que ServiceDesk Plus firme la aserción y las respuestas. |
36 | No se puede verificar la firma del IdP en la respuesta SAML. | Cargue el archivo de certificado del IdP correcto en la página de configuración SAML de ServiceDesk Plus. |
38 | La respuesta SAML no contiene un formatoNameID válido, o la respuesta está cifrada. No se admiten respuestas SAML cifradas. | Asegúrese de que la SAMLResponse incluya uno de los formatos de NameID admitidos:
|
40 | Los ID de entidad en la respuesta SAML y en ServiceDesk Plus no son los mismos. | Vuelva a configurar los detalles del SP en el portal de su IdP. |
La URL de destino en la respuesta SAML no coincide con la URL real desde la que se invoca la respuesta. | Vuelva a configurar los detalles del SP en el portal de su IdP.
Si ha configurado un servidor proxy (por ejemplo, Azure App Proxy) para externalizar la aplicación, agregue los atributos proxyName="<external_url>" y proxyPort="<external_port>" a la etiqueta connector en el archivo server.xml.
El proxyName no debe contener protocolos (http:// o https://) ni una barra diagonal al final (/). Ejemplo: si la URL externa es https://zylker.com, el proxyName debe ser zylker.com. | |
44 | El campo Issuer está vacío en la respuesta SAML. | Póngase en contacto con servicedeskplus-support@manageengine.com. |
46, 47, 51 | La respuesta SAML no se validará porque la marca de tiempo del sistema no coincide con la hora estándar. | Configure la hora y la zona horaria correctas en el servidor de aplicaciones. |
48 | El usuario ha configurado el cifrado de aserciones, lo cual no es compatible con ServiceDesk Plus. | Cambie Assertion Encryption por Assertion Sign en el IdP, lo que firmará la aserción pero no la cifrará. |
49 | Falta el nombre del emisor en la aserción SAML. | Vuelva a configurar el SP y el IdP.
Si el error persiste, envíenos un correo a servicedeskplus-support@manageengine.com con los archivos de registro. |
50 | La aserción SAML del IdP no corresponde al usuario/solicitante previsto. | Inicie sesión nuevamente mediante la autenticación SAML. |
52 (En ServiceDesk Plus) | La respuesta SAML no está asignada al usuario correcto, y la adición dinámica de usuarios está deshabilitada en la configuración del Portal de autoservicio.
| Si el usuario no existe en ServiceDesk Plus, cree manualmente un nuevo usuario con el nombre de inicio de sesión generado por el IdP. Si el usuario ya existe en la aplicación, cambie el atributo Name ID en el portal del IdP para que coincida con el nombre de inicio de sesión en ServiceDesk Plus.
|
52 (En Asset Explorer) | No existe dicho usuario en la aplicación o el usuario no es un técnico. | Cree manualmente un nuevo técnico con el nombre de inicio de sesión generado por el IdP o cambie al solicitante a técnico. |
| 53 | Se produjo una excepción al crear la cuenta de usuario. | Comuníquese con servicedeskplus-support@manageengine.com. con los archivos de registro. |
| 54 | Se excedió la longitud máxima | Elimine los atributos adicionales no utilizados para reducir el número de caracteres por debajo de 50000. |
60 | Usuario no encontrado (durante el inicio de sesión SAML basado en correo electrónico). | Si el usuario no existe en ServiceDesk Plus y la adición dinámica de usuarios está deshabilitada, cree manualmente un nuevo usuario y configure la dirección de correo electrónico. Si la adición dinámica de usuarios está habilitada, el nuevo usuario se agregará automáticamente. Si el usuario ya existe en la aplicación, configure su dirección de correo electrónico para que coincida con el ID de correo electrónico de inicio de sesión en ServiceDesk Plus. |
61 | El inicio de sesión está deshabilitado para el usuario. | Habilite el inicio de sesión para el usuario. |
62 | Hay más de un usuario configurado con el ID de correo electrónico de inicio de sesión. | Asegúrese de que la dirección de correo electrónico de inicio de sesión esté configurada solo con un usuario. Este error se genera si el ID de correo electrónico de inicio de sesión está configurado como dirección de correo electrónico principal/secundaria de otro usuario. |
Preguntas frecuentes:
1. A pesar de tener credenciales de inicio de sesión válidas, ¿por qué se me agrega como un nuevo usuario en ServiceDesk Plus al iniciar sesión usando SAML?
Cuando inicia sesión usando SAML, el IdP proporciona un nombre de inicio de sesión en la respuesta SAML. Este nombre de inicio de sesión se genera según el atributo NameID configurado en el IdP. La aplicación no lo asigna a sus credenciales porque su nombre de inicio de sesión en ServiceDesk Plus no es el mismo que el nombre de inicio de sesión en la respuesta SAML. Ahora hay dos posibilidades:
Si la adición dinámica de usuarios está habilitada, se le agregará como un nuevo usuario con el nombre de inicio de sesión generado por el IdP y la contraseña según lo configurado en los ajustes de Active Directory/LDAP.
Si la adición dinámica de usuarios está deshabilitada, se mostrará un mensaje de error y no podrá iniciar sesión en ServiceDesk Plus.
Para resolver esto, reconfigure los ajustes de su IdP eligiendo el atributo NameID correcto.
2. ¿Por qué se me agrega como un usuario separado incluso después de configurar mi IdP para devolver el nombre de inicio de sesión correcto?
Si el usuario pertenece a un dominio, el IdP debe devolver el nombre de dominio del usuario junto con el nombre de inicio de sesión.
Por ejemplo, si Peter es un técnico con el nombre de inicio de sesión peter en el dominio Zylker, entonces el IdP debe devolver Zylker\peter como nombre de inicio de sesión.
Si el caso anterior falla, se creará un nuevo usuario.
Elija el atributo NameID adecuado y reconfigure el IdP para resolver esto.
3. ¿Cómo corregir problemas de alineación en la página de inicio de sesión después de habilitar SAML, como se muestra en la imagen a continuación?
Vaya a Admin >> Configuración del portal de autoservicio.
Haga clic en Personalizar ahora en Personalización de la página de inicio de sesión.
En el editor HTML, agregue las clases que se muestran en la captura de pantalla. Estas clases también estarán disponibles en <server_home>\custom\login\default.html
.sign-line{
text-align: center;
display: block;
border-bottom: 1px solid #ccc;
margin:10px 0;
}
.or-ctr{
background: #fff;
position: relative;
top: 8px;
padding: 0 4px;
font-size: 12px;
color: #727272;
}
.sign-saml{
color: #009adb;
text-decoration: none;
}
Haga clic en Guardar y verifique si el enlace ahora aparece alineado.