El presente documento tiene como destinatario a los clientes de Crehana que deseen integrarse al Campus a través del uso de un Servidor ADFS.
Si necesitas compartir esta guía en formato PDF : Acceso directo al documento
Los pasos para integrarse son los siguientes:
Asegurarse de tener una versión de ADFS que soporte el protocolo OAuth2. Dicho protocolo es soportado por las versiones 3.0 o superior. En Crehana Campus únicamente permitimos el Authorization Code Grant.
Paso a Paso ADFS 3.0 Windows Server 2012
Crear un Relying Party Trust:
- Abrir el ADFS Management Tool. Ahí se observará una ventana como la siguiente:
- Desplegar Trust Relationships.
- Click Derecho sobre Relying Party Trusts.
- Click en Add Relying Party Trust
- Aparecerá una ventana como la siguiente:
Hacer click en Start/Comenzar. - Seleccionar la tercera opción “Enter data about the relying party manually” como se visualiza en la imagen
Hacer click en Next/Siguiente. - Indicar un nombre significativo al Relying Party Trust.
- Hacer click en Next/Siguiente.
- Seleccionar la primera opción “AD FS Profile”. Hacer Click en Next/Siguiente.
- Vuelva a hacer click en Next/Siguiente dejando en vacío la configuración de encriptación debido a que OAuth2 no tiene soporte para la misma.
- Hacer click en Next/Siguiente.
- Ingresar el identificador de su Relying Party Identifier. Este identificador tiene que tener formato de URL como por ejemplo: https://crehana.yourcompany.com/WebApi. Asegurarse de que el mismo no coincida con algún dominio/subdominio activo y, además, es aconsejable que utilice el dominio creado en su ADFS Server. Tomar nota del mismo anotándolo como Web Api Resource. Hacer click en siguiente.
- Hacer click en Next/Siguiente debido a que no configuraremos una autenticación de doble factor.
- Seleccionar la primera opción “Permit all users to access the relying party”. Luego hacer click en Next/Siguiente.
- Dejar tildada la opción “Open the Edit Claims Rules dialog for this relying party trust when the wizard close”. Luego hacer click en Close.
- Visualizará una ventana como la siguiente:
- En la solapa Issuance Transform Rules hacer click en Add Rule.
- Seleccionar como Claim Rule Template la opción Send LDAP Attributes as Claims.
- indique los siguientes campos como se puede visualizar en la imagen:
Claim Rule Name: Nombre significativo para la regla.
Attribute Store: Donde almacena la información de sus usuarios. Por lo general es Active Directory, no obstante el mismo puede cambiar dependiendo de su configuración.
Mapping of LDAP attributes to outgoing claim types: Atributos necesarios para la autenticación por ADFS en Crehana Campus. Indique las mismas reglas que se visualizan en la imagen. - Agregar el cliente ADFS. Este cliente representa a la aplicación de Crehana campus que se integrará a su servidor ADFS. Para ello ejecute el siguiente comando en una consola Powershell sobre su servidor ADFS:
Add-AdfsClient -RedirectUri "https://campus.crehana.com/ajax/public/ExternalLoginCallback/-1" -ClientId "your-client-id-format-guid" -Name "Some Meaningful Name"
RedirectUri: URL de redirección a donde deberá retornar el ADFS una vez producida la autenticación sobre el servidor ADFS. La URL indicada varía según el entorno de Crehana Campus al que quieres integrarte:
Redirect URI Producción: https://campus.crehana.com/ajax/public/ExternalLoginCallback/-1
Redirect URI Staging: https://campustest.wormholeit.com/ajax/public/ExternalLoginCallback/-1
En caso de haberse equivocado en este paso puede actualizar los datos utilizando el comando Set-AdfsClient -TargetName “Some Meaningful Name” <propiedad a modificar>. Ejemplo:
Set-AdfsClient -TargetName "Some Meaningful Name" -ClientId "other-client-id-format-guid"
ClientId: Identificador único del cliente. Tiene que tener formato de GUID. Tome nota del mismo como Server Client Id.
Name: Algún nombre significativo que describa qué se trata del cliente OAuth2 conectado a Crehana Campus. - Habilitar el soporte de JWT sobre el Relying Party Trust a través de la ejecución del siguiente comando en una consola Powershell en su servidor ADFS:
Set-AdfsRelyingPartyTrust -TargetName "Some Meaningful Name" -EnableJWT $true
TargetName: Nombre de la aplicación a la que quiere habilitar JWT. Tiene que coincidir con el nombre indicado en el paso anterior. - Habilitar el cliente ADFS mediante el siguiente comando:
Enable-AdfsClient -TargetName "Some Meaningful Name"
TargetName: Nombre de la aplicación a la que quiere habilitar el cliente ADFS. Tiene que coincidir con el nombre indicado en el punto p de la presente guía. - Una vez hechos los pasos anteriores, enviar un email a soportecampus@crehana.com para que podamos realizar las configuraciones necesarias. En ese email indicar los siguientes datos:
- Server Client Id
- Server Client Secret
- Web Api Resource
- Número de versión utilizada en el ADFS.
- URL de acceso al ADFS. Las URLs de acceso para obtener el código de autorización y el token de acceso deberían seguir la convención establecida por ADFS, por ejemplo: https://adfs.dominiocliente.com/adfs/oauth2/authorize
- Esperar confirmación que su ADFS ha sido configurado en nuestros servidores.
- Verificar que puedas loguearte al Campus a través de ADFS. Asegurarse de tener la siguiente información sobre los usuarios del Active Directory:
- First Name
- Last Name
De lo contrario podrá observar que sus usuarios al intentar ingresar al campus vía ADFS obtendrán un error.
- Para asegurarse que tus usuarios tengan la información solicitada puede realizar lo siguiente:
- Abrir Active Directory Users And Computers accesible desde las herramientas administrativas de Windows. Verás una ventana como la siguiente:
- Seleccionar tu dominio y luego seleccionar el container Users. Allí podrás visualizar todos los usuarios creados en su Active Directory. Seleccionar al usuario que quieres editar o visualizar su información de perfil.
- Verificar los datos y tener en cuenta que el E-mail indicado no necesariamente corresponde con el utilizado para acceder como usuario en el ADFS.
Paso a Paso ADFS 4.0 Windows Server 2016
- Crear un Application Group sobre el servidor ADFS siguiendo estos pasos:
- Abrir el ADFS Management Tool. Ahí se observará una ventana como la siguiente:
- Hacer click en Application Groups. Allí visualizará todos los Application Groups creados previamente.
- En el panel de la derecha hacer click en “Add Application Group”. Esto abrirá una nueva ventana como la siguiente:
- Como se visualiza en la imagen anterior, indicar un nombre descriptivo y seleccionar la opción “Server application accessing a web application”. Luego, presionar Next/Siguiente para continuar.
- El server application representa a Crehana Campus, que es la aplicación con la que se quiere integrar su ADFS. Indicar un nombre descriptivo para el server application y configurar el CallbackURL hacia Crehana Campus de la siguiente manera:
Redirect URI Producción: https://campus.crehana.com/ajax/public/ExternalLoginCallback/-1
Redirect URI Staging: https://campustest.wormholeit.com/ajax/public/ExternalLoginCallback/-1
Verás una cadena alfanumérica autogenerada (GUID) en lugar de lo indicado en la imagen. Tomar nota de la misma y anotarla como Server Client Identifier. Luego, hacer click en Next/Siguiente. - La próxima pantalla tendrá el siguiente aspecto:
Marcar el tilde haciendo click en “Generate Shared Secret”. Tomar nota del mismo como Server Client Secret ya que luego no será posible visualizarlo (deberás de resetear al mismo a través de las propiedades del Server Application Creado). Hacer click en siguiente. Una vez hecho este paso finaliza la creacion del Server Application. - En el próximo paso verás una pantalla como la siguiente:
En la misma comenzaremos con la creación del Web Api que es el endpoint donde retornarán los datos necesarios para la registración y acceso de sus usuarios de Active Directory en Crehana Campus. Especificar un nombre representativo y crear un identificador para el Relying Party Trust (Campo Identifier). Este identificador tiene que tener formato de URL como por ejemplo: https://crehana.yourcompany.com/WebApi. Asegurarse de que el mismo no coincida con algún dominio/subdominio activo y, además, es aconsejable que utilice el dominio creado en su ADFS Server. Tomar nota del mismo anotándolo como Web Api Resource. Hacer click en siguiente. - En este paso verás una ventana que lista los permisos que tendrá el usuario:
En nuestro caso daremos acceso a todos los recursos creados sobre recurso. Asegurarse que, además de que el usuario pueda acceder a la información de su perfil (el objetivo de toda esta configuración), esto no infrinja sus políticas de seguridad. Hacer click nuevamente en Next/Siguiente. - Ahora has llegado al ventana de configuración de los permisos de aplicación:
Seleccionar los elementos email, openid, profile, allatclaims y user_impersonation y luego hacer click en siguiente. - Finalmente verás una página de la configuración que acabas de generar:
Finalmente, hacer click en siguiente para finalizar el proceso. - Configuración de datos de perfil mínimos necesarios.
- En el ADFS Management tool seleccionar tu Application Group y hacer doble click. Esta acción abrirá la siguiente ventana:
- Seleccionar tu aplicación de tipo Web Api y hacer click en el botón Edit. Este abrirá una ventana como la siguiente:
- Ir a la solapa Issuance Transform Rules:
- Hacer click en Add Rule
- Seleccionar en el combobox la opción Send LDAP Attributes as Claims y presiona Next/Siguiente.
- Indicar un nombre para la nueva regla. Seleccionar tu Attribute Store y crear tres reglas como las indicadas en la siguiente imagen:
- Una vez hechos los pasos anteriores, enviar un email a soportecampus@crehana.com para que podamos realizar las configuraciones necesarias. En ese email indicar los siguientes datos:
- Server Client Id
- Server Client Secret
- Web Api Resource
- Número de versión utilizada en el ADFS.
- URL de acceso al ADFS. Las URLs de acceso para obtener el código de autorización y el token de acceso deberían seguir la convención establecida por ADFS, por ejemplo:
- Esperar confirmación que su ADFS ha sido configurado en nuestros servidores.
- Verificar que puedas loguearte al Campus a través de ADFS. Asegurarse de tener la siguiente información sobre los usuarios del Active Directory:
- First Name
- Last Name
De lo contrario podrá observar que sus usuarios al intentar ingresar al campus vía ADFS obtendrán un error.
- Para asegurarse que tus usuarios tengan la información solicitada puede realizar lo siguiente:
- Abrir Active Directory Users And Computers accesible desde las herramientas administrativas de Windows. Verás una ventana como la siguiente:
- Seleccionar tu dominio y luego seleccionar el container Users. Allí podrás visualizar todos los usuarios creados en su Active Directory. Seleccionar al usuario que quieres editar o visualizar su información de perfil.
- Verificar los datos y tener en cuenta que el E-mail indicado no necesariamente corresponde con el utilizado para acceder como usuario en el ADFS.
En caso de algún problema comuníquese con el servicio de soporte de Crehana enviando un mail a soportecampus@crehana.com.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.