Requisitos:
El administrador de la empresa Rainbow debe configurar el SSO.
Debe haber al menos una licencia Enterprise asignada a la empresa, de lo contrario no se mostrará la pestaña Seguridad.
Procedimiento:
Inicie sesión con una cuenta de Administrador de la empresa
Abra Mi empresa> Configuración> Pestaña Seguridad:
Añada un nuevo método de autenticación: OIDC o SAML.
Para SAML, introduzca la siguiente información de su IDP :
- URL de inicio de sesión
- URL de cierre de sesión (opcional)
- Atributo ID de usuario: Atributo ID no depende de la empresa debe ser siempre el mismo
Para ADFS: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Para Azure AD: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
Para Shibboleth: urn:oid:0.9.2342.19200300.100.1.3
- Certificados: este certificado debe descargarse en formato pem desde su IDP.
Se trata del certificado de firma de token.
Como ejemplo, puede encontrarlo aquí en Azure AD:
Opciones avanzadas:
Los valores por defecto deberían funcionar para la mayoría de los casos, a utilizar con precaución
- Forzar autenticación: activa siempre la autenticación aunque ya exista una sesión, no está marcada por defecto
- Firmar siempre la solicitud: las solicitudes de Rainbow se firman, no marcado por defecto
- Permitir aserciones sin cifrar: Las aserciones no se cifran, marcado por defecto
Una vez finalizado, puede descargar el archivo de metadatos de Rainbow e importarlo en el servidor IDP.
Para OIDC:
Introduzca la siguiente información de su IDP:
- ID de cliente
- Secreto
- URL de descubrimiento
Opciones avanzadas - Información de autenticación del usuario:
Los valores por defecto deberían funcionar para la mayoría de los casos, a utilizar con precaución
- Atributo ID de usuario: el nombre del atributo a utilizar en la solicitud de autenticación para identificar al usuario
- Parámetro de ámbito: el parámetro de ámbito a incluir en la solicitud de autenticación
- Valor ACR: una cadena separada por espacios que especifica los valores de la Clase de Contexto de Autenticación a utilizar en la solicitud de autenticación del usuario, valores que aparecen en el orden de preferencia
O utilice el método manual:
Identificador de autenticación externa
En función del usuario, también es posible configurar un Identificador de Autenticación Externa.
Este identificador se utilizará para autenticar al usuario.
Por ejemplo, puede ser útil si el LoginEmail de Rainbow es diferente del correo electrónico del usuario rellenado en Azure AD.
Al final de la configuración de SSO, es posible activar SSO para todos los miembros de la empresa editando el menu SAML o OIDC:
Nota: Los administradores de la empresa seguirán teniendo la opción de iniciar sesión mediante SSO o Inicio de sesión/contraseña.
Para más información sobre OIDC, SAML, la lista de servidores soportados y su configuración, puede echar un vistazo en los siguientes artículos:
https://support.openrainbow.com/hc/en-us/sections/360003695979-Authentification