¿Cómo podemos ayudarle hoy?
Configuración manual de inicio de sesión único de SAML
Las instrucciones de este artículo solo se aplican a instalaciones de MyWorkDrive que utilizan Active Directory para la identidad del usuario. Si MyWorkDrive está configurado con Entra ID para el directorio de usuarios, utiliza un inicio de sesión nativo de Microsoft y no se requiere SAML para habilitar SSO.
Descripción general de la configuración manual de MyWorkDrive SAML
El lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto para el intercambio de datos de autenticación y autorización entre partes, específicamente, entre un proveedor de identidad y un proveedor de servicios. Como su nombre lo indica, SAML es un lenguaje de marcado basado en XML para afirmaciones de seguridad (declaraciones que los proveedores de servicios usan para tomar decisiones de control de acceso).
MyWorkDrive Server 5.0 es compatible con el inicio de sesión único (SSO) del administrador de archivos web basado en SAML, además de ADFS (que se configura por separado). Para SAML, MyWorkDrive actúa como proveedor de servicios (SP) mientras que el socio actúa como proveedor de identidad (IdP), por ejemplo: Shibboleth, OneLogin, Centrify, Azure AD, OKTA, etc.
Guías de configuración de SAML preconfiguradas
Varios proveedores de SAML están preconfigurados en MyWorkDrive y utilizan un proceso de configuración simplificado. Visite los siguientes artículos para la configuración de Azure AD, Okta y OneLogin. No es necesario ni recomendable configurar manualmente MyWorkDrive para estos proveedores.
Requisitos previos de SAML manual
- Asegúrese de que los usuarios tengan aplicado un sufijo upn para el nombre de dominio que coincida con el nombre de inicio de sesión del proveedor SAML para que puedan iniciar sesión en su servidor MyWorkDrive con su dirección de correo electrónico.
- Asegúrese de que el servidor MyWorkDrive sea de confianza para la delegación según nuestro Artículo de delegación
- Haga que su servidor esté disponible a través de Cloud Web Connector o configure su propio certificado SSL público y nombre de host que apunte a su servidor MyWorkDrive a través del puerto 443 (SSL) y asegúrese de que su servidor sea accesible públicamente. Ver artículo de soporte.
Flujo de inicio de sesión
A continuación, se explica el flujo de inicio de sesión del usuario a MyWorkDrive desde un proveedor de identidad (IdP):
- Se supone que todos los usuarios inician sesión en el ldP utilizando su sufijo UPN (por ejemplo, @yourdomain.com) y coincide con su UPN de nombre de usuario de Active Directory.
- Su servidor MyWorkDrive utiliza su propio nombre de host y certificado SSL (*.MyWorkDrive.net no es compatible con SAML).
- El usuario hace clic en la URL del servicio de consumidor de afirmación de MyWorkDrive (p. ej., https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) como URL de inicio de sesión único.
- Si el usuario aún no ha iniciado sesión en el ldP, el servidor MyWorkDrive redirige al usuario al servicio SSL para iniciar sesión.
- Una vez confirmado, el servicio IdP genera una respuesta SAML válida y redirige al usuario a MyWorkdrive para verificar la respuesta SAML.
- Si la autenticación del usuario se valida con éxito, se inicia sesión automáticamente en MyWorkDrive Web File Manager de su empresa.
Pasos de configuración del servidor SAML SSL MyWorkDrive
Para configurar correctamente SAML en el servidor MyWorkDrive, son necesarios los siguientes pasos manuales:
Configuración del servicio IdP
Si su IdP importará la configuración de los metadatos, puede usar el enlace de metadatos de MyWorkDrive desde su servidor en https://YourMWDserver.yourdomain.com/SAML/ServiceProviderMetadata
- Cree una configuración SAML en el IdP que haga referencia a MyWorkDrive:
- Especifique la URL del servicio de consumidor de aserciones (por ejemplo, https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) como la URL de inicio de sesión único.
- Especifique el URI de audiencia (ID de entidad de SP): ingrese "MyWorkDrive" como el URI de audiencia.
- Especifique la URL del servicio de cierre de sesión único (p. ej., https://SuMWDServer.sudominio.com/SAML/SLOService.aspx) como la URL de cierre de sesión.
- Especifique el emisor del SP. Este es el nombre del proveedor de servicios local: ingrese "MyWorkDrive".
- Descargue el certificado ldp y colóquelo en C:\Wanpath\WanPath.Data\Settings\Certificates
Configuración del servidor MyWorkDrive
- Actualice la configuración de SAML ubicada en C:\Wanpath\WanPath.Data\Settings para descomentar el entrada para su IdP. Si no hay una entrada presente para su IdP, puede usar el ejemplo de MWD.
- Archivo de certificado local. Este paso debe completarse para usted en el servidor MyWorkDrive versión 5.2 y superior y debe haber un certificado presente en la carpeta con la contraseña en el archivo saml.config. Si no es así, proceda a exportar su certificado SSL público que coincida con su nombre de host MyWorkDrive como se indica en su IdP con una contraseña y coloque el archivo de exportación PFX del certificado SL en C:\Wanpath\WanPath.Data\Settings\Certificates y haga referencia a él en la sección del proveedor de servicios con la contraseña que utilizó durante la exportación.
- En la sección del proveedor de identidad: Establezca el Nombre en el emisor del proveedor de identidad. Este valor también se conoce como ID de entidad de metadatos.
- En la sección Proveedor de identidad: Establezca SingleSignOnServiceUrl en la URL de inicio de sesión único del proveedor de identidad.
- En la sección Proveedor de identidad: Establezca SingleLogoutServiceUrl en la URL de cierre de sesión único del proveedor de identidad.
- Actualice la sección PartnerCertificateFile del proveedor de identidad con la ruta completa y el nombre del archivo de certificado del proveedor de identidad.
La sección de configuración del proveedor de identidad del socio debe ser similar al siguiente saml.conf
<!– Okta –>
<PartnerIdentityProvider Name=” http://www.okta.com/exkxxxxxxsyyyyyzzzz55″
Descripción = "Okta"
SignAuthnRequest=”verdadero”
SignLogoutRequest=”verdadero”
SignLogoutResponse=”verdadero”
WantLogoutRequestSigned=”verdadero”
WantLogoutResponseSigned=”verdadero”
SingleSignOnServiceUrl=”https://yourcompany.okta.com/app/yourcompany_mwdserver1_1/exkxxxxxyyyy555/sso/saml”
SingleLogoutServiceUrl=”https://yourcompany.okta.com/app/yourcompany_mwdtest1_1/exkrcdasxxxxxxyyyyy55/slo/saml”
PartnerCertificateFile=”C:\Wanpath\WanPath.Data\Configuración\Certificados\okta.cer”/>
La configuración de la sección del proveedor de servicios debe ser similar a la siguiente saml.conf
<ServiceProvider Name=”MyWorkDrive”
Descripción=”Proveedor de servicios MWD” AssertionConsumerServiceUrl=”~/SAML/AssertionConsumerService.aspx” LocalCertificateFile=”C:\Wanpath\WanPath.Data\Settings\Certificates\yourdomain.pfx”
LocalCertificatePassword=”contraseña”/>
Finalmente, antes de realizar la prueba, asegúrese de haber agregado algunos usuarios a su nueva entrada de MyWorkDrive en su IdP para autorizarlos a acceder a MyWorkDrive. Para probar SAML sin que sea obligatorio después de habilitarlo, use la siguiente URL: http://yourserver.yourdomain.com/account/login-saml.aspx