# Autenticación SAML
**Security Assertion Markup Language** (SAML) ofrece una alternativa más sencilla a los métodos de inicio de sesión convencionales ya disponibles para los servicios en línea. Los usuarios ya no tendrán que proporcionar contraseñas específicas para cada servicio al que accedan. La aplicación ServiceDesk Plus es compatible con SAML 2.0, que se puede configurar desde **Admin** > **Usuarios y permisos** > **Inicio de sesión único SAML**.
**Rol requerido**: SDAdmin
- [Cómo funciona SAML](#workflow)
- [Configuración de SAML en ServiceDesk Plus](#configuration)
- [Iniciar sesión en ServiceDesk Plus mediante SAML](#logins)
- [Cerrar sesión mediante SAML](#logout)
- [Solución de problemas](#troubleshoot)
## Cómo funciona SAML
SAML intercambia datos de autenticación y autorización entre dos entidades, a saber, un **Proveedor de identidad (IdP)** y un **Proveedor de servicios (SP)**. Aquí, ServiceDesk Plus actúa como el SP y, tras la integración, los usuarios pueden iniciar sesión directamente en la aplicación desde el IdP sin proporcionar ninguna credencial de inicio de sesión.
Por ejemplo, puede configurar Active Directory Federation Service (ADFS) como IdP para permitir que sus usuarios inicien sesión en ServiceDesk Plus usando sus credenciales de Active Directory.
La siguiente captura de pantalla muestra cómo un usuario inicia sesión en una aplicación configurada con SAML.
## Configuración de SAML en ServiceDesk Plus
1. Vaya a **Admin** > **Usuarios y permisos** > **Inicio de sesión único** > **SSO de SAML**.
2. En la pestaña **Configuración**, habilite **Inicio de sesión único SAML**.
3. La página de configuración de SAML tiene tres secciones: detalles del proveedor de servicios, detalles del proveedor de identidad y declaraciones adicionales.
.png)
Hemos probado SAML 2.0 con [ADFS](https://www.manageengine.com/latam/service-desk/help/adminguide/configure-adfs-as-identity-provider.html), [Okta](https://www.manageengine.com/latam/service-desk/help/adminguide/configuring-okta-as-identity-provider.html), [OneLogin](https://www.manageengine.com/latam/service-desk/help/adminguide/configure-onelogin-as-identity-provider.html), [Azure](https://www.manageengine.com/latam/service-desk/help/adminguide/configuring-azure-as-identity-provider.html) y [Google Workspace](https://www.manageengine.com/latam/service-desk/help/adminguide/configure-google-workspace-as-identity-provider.html) como IdP. Para ICAM, hay algunas configuraciones adicionales que se pueden consultar [aquí](http://pitstop.manageengine.com/portal/en/kb/articles/saml-with-icam-as-idp).
### Detalles del proveedor de servicios
| Nombre del campo | Descripción |
|---|---|
| ID de entidad | Use estos detalles para configurar ServiceDesk Plus como proveedor de servicios en su IdP. |
| URL del consumidor de aserciones | Use estos detalles para configurar ServiceDesk Plus como proveedor de servicios en su IdP. |
| URL del servicio de cierre de sesión único | Use estos detalles para configurar ServiceDesk Plus como proveedor de servicios en su IdP. |
| Archivo de certificado SP | Haga clic en el archivo para descargarlo. Cargue este archivo en el portal del IdP. |
| Archivo de metadatos SP | En algunos IdP, cargar el archivo de metadatos es suficiente para configurar ServiceDesk Plus como un SP. |
**Nota:** Los cambios en la URL de alias desde la Configuración avanzada del portal y cambiar el servicio de http a https se reflejarán en la URL del consumidor de aserciones y en la URL del servicio de cierre de sesión único. Tendrá que volver a configurar la autenticación SAML en los portales del SP y del IdP regenerando el certificado SP.
SAML SSO permite a los usuarios configurar URL internas y externas en el campo **URL ACS alternativa**. Estas URL se pueden agregar usando el ícono Agregar URL junto al campo URL del consumidor de aserciones en **Inicio de sesión único** > **SAML SSO**.
Después de configurar ServiceDesk Plus como un SP en su IdP, vuelva a la página de configuración de SAML en ServiceDesk Plus y configure los detalles del proveedor de identidad y las reclamaciones adicionales como se menciona a continuación.
### Detalles del proveedor de identidad
| Nombre del campo | Descripción |
|---|---|
| URL de inicio de sesión* | Ingrese la URL de inicio de sesión del IdP. |
| URL de cierre de sesión | Ingrese la URL de cierre de sesión del IdP. Puede omitir este campo si no se requiere cierre de sesión único (SLO). |
| Formato de ID de nombre* | Seleccione el formato de ID de nombre según su preferencia de inicio de sesión.
- **Transitorio o Persistente**: para iniciar sesión con nombre de usuario. Asegúrese de que el formato seleccionado coincida con la configuración de su IdP.
- **Dirección de correo electrónico**: para iniciar sesión con su dirección de correo electrónico.
- **No especificado**: para iniciar sesión usando el nombre principal de usuario (UPN) configurado en la cuenta de Active Directory. |
| Algoritmo* | Seleccione el algoritmo del menú desplegable. Este algoritmo debe ser el mismo que está configurado en el IdP. |
| Certificado | Cargue el certificado del IdP haciendo clic en Elegir archivo. |
\* *Campos obligatorios*
### Claims adicionales
Los atributos adicionales le permiten crear un perfil de usuario detallado para usuarios dinámicos que inician sesión mediante SAML. Puede importar atributos adicionales desde el IdP si la adición dinámica de usuarios está habilitada.
**Para importar atributos adicionales:**
1. Seleccione los campos (predeterminados y definidos por el usuario) habilitando las casillas de verificación junto a ellos.
2. Especifique el nombre del atributo configurado en el IdP en los campos seleccionados. Estos detalles no se utilizarán para actualizar los perfiles de usuario existentes.
3. Haga clic en **Guardar**.
La pestaña **Historial** enumera todas las actividades realizadas en la pestaña **Configuración**. Puede usar filtros predefinidos para ver las actividades relacionadas con un atributo en particular.
## Iniciar sesión en ServiceDesk Plus mediante SAML
La página de inicio de sesión después de habilitar el inicio de sesión único de SAML se mostrará como se indica a continuación.
Los usuarios pueden iniciar sesión mediante la autenticación local (habilitada de forma predeterminada) o iniciar sesión mediante SAML haciendo clic en el enlace debajo del botón Iniciar sesión.
Si la autenticación local está deshabilitada, se mostrará la página de inicio de sesión del IdP.
Cuando el nombre de inicio de sesión generado por el IdP no coincide con el nombre de inicio de sesión de un usuario en ServiceDesk Plus:
- Si la adición dinámica de usuarios está habilitada, entonces el usuario se agregará nuevamente con el nombre de inicio de sesión generado por el IdP y la contraseña según la configuración de Active Directory/LDAP.
- Si la adición dinámica de usuarios está deshabilitada, entonces el usuario no podrá iniciar sesión en ServiceDesk Plus.
## Cerrar sesión mediante SAML
ServiceDesk Plus admite el servicio de cierre de sesión único de SAML. Con esto, puede elegir cerrar sesión solo en ServiceDesk Plus o en todos los servicios integrados con el IdP.
- Haga clic en .
- Si ha configurado el cierre de sesión de SAML en su dominio IdP, encontrará dos opciones en la lista.
- Haga clic en **Cerrar sesión** para cerrar sesión solo en la aplicación ServiceDesk Plus.
- Si hace clic en **Cerrar sesión de SAML**, cerrará sesión en todos los servicios integrados con el IdP.
## Solución de problemas
| Código de error | Motivo | Solución |
|---|---|---|
| 4 | El archivo del certificado de IdP no se cargó correctamente. | Vuelva a configurar los detalles del IdP. |
| 8 | No se recibe la respuesta SAML del IdP. | ServiceDesk Plus solo admite el método de enlace POST. Asegúrese de que el IdP siga el método de enlace POST. |
| 10 | Error al validar la respuesta de cierre de sesión del IdP. | Consulte los errores 42, 44, 50, 4 y 36. Comuníquese con [servicedeskplus-support@manageengine.com](mailto:servicedeskplus-support@manageengine.com). |
| 21, 22, 23 | El estado de la respuesta del IdP es Failure. | Vuelva a configurar los detalles del IdP siguiendo las instrucciones proporcionadas [aquí](#configuration). |
| 35 | La respuesta del IdP no está firmada. ServiceDesk Plus acepta solo respuestas firmadas. | Configure los ajustes del IdP para que ServiceDesk Plus firme la aserción y las respuestas. |
| 36 | No se puede verificar la firma del IdP en la respuesta SAML. | Cargue el archivo de certificado del IdP correcto en la página de configuración SAML de ServiceDesk Plus. |
| 38 | La respuesta SAML no contiene un formato NameID válido o la respuesta está cifrada. | Asegúrese de que la SAMLResponse incluya uno de los formatos de NameID admitidos:
- urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
- urn:oasis:names:tc:SAML:2.0:nameid-format:transient
- urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| 40 | Los ID de entidad en la respuesta SAML y en ServiceDesk Plus no son los mismos. | Vuelva a configurar los detalles del SP en el portal de su IdP. |
| 42 | La URL de destino en la respuesta SAML no coincide con la URL real desde la que se invoca la respuesta. | Vuelva a configurar los detalles del SP en el portal de su IdP.
Si ha configurado un servidor proxy (por ejemplo, Azure App Proxy), agregue los atributos proxyName="" y proxyPort="" a la etiqueta connector en el archivo server.xml. El proxyName no debe contener protocolos ni una barra diagonal al final. |
| 44 | El campo Issuer está vacío en la respuesta SAML. | Póngase en contacto con [servicedeskplus-support@manageengine.com](mailto:servicedeskplus-support@manageengine.com). |
| 46, 47, 51 | La respuesta SAML no se validará porque la marca de tiempo del sistema no coincide con la hora estándar. | Configure la hora y la zona horaria correctas en el servidor de aplicaciones. |
| 48 | El usuario ha configurado el cifrado de aserciones, lo cual no es compatible con ServiceDesk Plus. | Cambie Assertion Encryption por Assertion Sign en el IdP. |
| 49 | Falta el nombre del emisor en la aserción SAML. | Vuelva a configurar el SP y el IdP. Si el error persiste, envíe un correo a [servicedeskplus-support@manageengine.com](mailto:servicedeskplus-support@manageengine.com) con los archivos de registro. |
| 50 | La aserción SAML del IdP no corresponde al usuario/solicitante previsto. | Inicie sesión nuevamente mediante la autenticación SAML. |
| 52 (En ServiceDesk Plus) | La respuesta SAML no está asignada al usuario correcto y la adición dinámica de usuarios está deshabilitada. | Si el usuario no existe, cree manualmente un nuevo usuario con el nombre generado por el IdP. Si ya existe, cambie el atributo Name ID en el IdP para que coincida. |
| 52 (En Asset Explorer) | No existe dicho usuario en la aplicación o el usuario no es un técnico. | Cree manualmente un nuevo técnico con el nombre generado por el IdP o cambie al solicitante a técnico. |
| 53 | Se produjo una excepción al crear la cuenta de usuario. | Comuníquese con [servicedeskplus-support@manageengine.com](mailto:servicedeskplus-support@manageengine.com) con los archivos de registro. |
| 54 | Se excedió la longitud máxima. | Elimine los atributos adicionales no utilizados para reducir el número de caracteres por debajo de 50000. |
| 60 | Usuario no encontrado (inicio de sesión SAML basado en correo electrónico). | Cree manualmente un nuevo usuario y configure la dirección de correo electrónico o habilite la adición dinámica de usuarios. |
| 61 | El inicio de sesión está deshabilitado para el usuario. | Habilite el inicio de sesión para el usuario. |
| 62 | Hay más de un usuario configurado con el ID de correo electrónico de inicio de sesión. | Asegúrese de que la dirección de correo electrónico esté configurada solo con un usuario. |
**Preguntas frecuentes:**
### 1. A pesar de tener credenciales válidas, ¿por qué se me agrega como nuevo usuario al iniciar sesión usando SAML?
Cuando inicia sesión usando SAML, el IdP proporciona un nombre de inicio de sesión en la respuesta SAML según el atributo NameID configurado. Si no coincide con su nombre de inicio de sesión en ServiceDesk Plus:
- Si la adición dinámica de usuarios está habilitada, se le agregará como un nuevo usuario.
- Si está deshabilitada, no podrá iniciar sesión.
Reconfigure su IdP eligiendo el atributo NameID correcto.
### 2. ¿Por qué se me agrega como usuario separado incluso después de configurar correctamente el IdP?
Si el usuario pertenece a un dominio, el IdP debe devolver el nombre de dominio junto con el nombre de inicio de sesión.
Por ejemplo, si Peter pertenece al dominio Zylker, el IdP debe devolver **Zylker\peter**. De lo contrario, se creará un nuevo usuario.
### 3. ¿Cómo corregir problemas de alineación en la página de inicio de sesión después de habilitar SAML?
- Vaya a **Admin >> Configuración del portal de autoservicio**.
- Haga clic en **Personalizar ahora** en Personalización de la página de inicio de sesión.
- En el editor HTML, agregue las siguientes clases:
```css
.sign-line{
text-align: center;
display: block;
border-bottom: 1px solid #ccc;
margin:10px 0;
}
.or-ctr{
background: #fff;
position: relative;
top: 8px;
padding: 0 4px;
font-size: 12px;
}
.sign-saml{
color: #009adb;
text-decoration: none;
}
```
- Haga clic en **Guardar** y verifique si el enlace ahora aparece alineado.