SAML con Azure Active Directory
Esta guía le orienta en la configuración de su Azure Active Directory (Azure AD) como proveedor de identidad (IdP) de SSO de SAML para Ostorlab.
Requisitos previos
Configuración de Azure AD
Agregar una aplicación a su inquilino de Azure AD (Azure AD tenant)
- En el portal de Azure, en el panel de navegación izquierdo, seleccione Azure Active Directory.
-
Seleccione Enterprise applications. Mostrará algunas de las aplicaciones existentes en su inquilino de Azure AD.
-
Seleccione New application.
-
Seleccione el mosaico Non-gallery application y en el panel Add your own application, ingrese Ostorlab como el nombre de la aplicación y luego seleccione Add.
-
En la nueva aplicación Ostorlab, navegue hasta la sección Single sign-on, y seleccione SAML.
-
Seleccione el icono Edit en el panel Basic SAML Configuration.
Ingresar la configuración de Ostorlab en su aplicación Azure AD
Los valores que debe usar dependen de su prefijo de organización de Ostorlab. Asegúrese de reemplazar
<os>con su prefijo de organización real.
| Configuración SAML | Valor |
|---|---|
| Identifier (Entity ID) | https://api.ostorlab.co/saml/metadata/ |
| Reply URL | https://api.ostorlab.co/saml/acs/?org=<organisation_prefix> |
| Relay State | Vacío |
Configurar el Name identifier format
-
Seleccione el icono Edit en el panel User Attributes & Claims.
-
Luego, seleccione el icono Edit junto a Name identifier value.
-
En el panel Manage User Claims, expanda Choose name identifier format y seleccione Email address.
-
Finalmente, seleccione Save en la parte inferior del panel Manage User Claims.
Importante: No cambie el valor del Name ID Format una vez que sus usuarios hayan comenzado a usar Ostorlab, ni siquiera alternando su valor entre Email o Persistent
Nota: Asegúrese de asignar usuarios y grupos para usar su nueva aplicación SAML de Ostorlab. Así es como puede controlar el acceso de los miembros a su organización Ostorlab. Consulte la documentación de Azure AD para obtener más información.
Ahora que la configuración del lado de Azure AD del SSO de SAML está completa, deberá configurar Ostorlab para recibir solicitudes de SSO de SAML desde su Azure AD.
Configuración de su organización Ostorlab
Para configurar su organización Ostorlab para que acepte solicitudes de SSO de SAML desde Azure AD, deberá proporcionar el Identity Provider Entity ID y la Sign-On Service URL desde Azure Active Directory.
Para hacer esto, vaya al Portal de Azure (Azure Portal), seleccione Enterprise applications y haga clic en la aplicación que creó en los pasos anteriores. Haga clic en Get Started debajo de Set up single sign on.
- Desplácese hacia abajo hasta Set up test y copie el Azure AD Identifier. Este es el Identity Provider Entity ID.
- Copie la Login URL. Esta es la Sign-On Service URL.
Agregar la configuración en Ostorlab
-
Vaya a la página de integración de SAML https://report.ostorlab.co/integrations/saml y cambie a la pestaña de configuración.
-
Ingrese el Identity Provider Entity ID y la Sign-On Service URL que copió en los pasos anteriores.
- Seleccione
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POSTcomo el Sign-On Service Binding. - Pegue su certificado en el campo X.509 Certificate.
- Haga clic en Save/Update.
Iniciar sesión en Ostorlab utilizando Azure AD
Una vez que se crea su aplicación Azure AD y sus datos de configuración se pasan a Ostorlab, ahora puede iniciar sesión en Ostorlab utilizando sus credenciales de SSO de SAML.
Navegue a https://report.ostorlab.co/account/login, haga clic en LOGIN VIA SSO e ingrese el prefijo de su organización Ostorlab. Si todo está configurado correctamente, se le debe solicitar que inicie sesión en su instancia de Azure AD, y luego será redirigido inmediatamente a Ostorlab.