Con SAML Login, Auth0 actúa como proveedor de servicios, por lo que deberá obtener un certificado de firma X.509 del IdP de SAML (en formato PEM o CER); más adelante, lo cargará en Auth0. Los métodos para obtener este certificado varían, así que consulte la documentación de su IdP si necesita ayuda adicional.
Puede usar la o el para cargar el certificado de firma X.509. Si usa la Management API, debe convertir el archivo a Base64. Para ello, use una sencilla herramienta en línea o ejecute el siguiente comando en Bash: cat signing-cert.crt | base64.
Si tus aserciones SAML están cifradas, debes configurar valores adicionales para tu conexión a fin de indicarle a Auth0 cómo debe gestionar el descifrado.
A continuación, deberá crear y configurar una conexión empresarial SAML en Auth0, y cargar su certificado de firma X.509. Esta tarea puede realizarse mediante el Dashboard de Auth0 o la Management API.
Introduzca los detalles de la conexión y seleccione Crear:
Campo
Descripción
Nombre de la conexión
Identificador lógico de la conexión; debe ser único para su inquilino y coincidir con el nombre que se usa al configurar la Post-back URL y el Entity ID en el IdP. Una vez establecido, este nombre no se puede cambiar.
URL de inicio de sesión
URL de inicio de sesión único de SAML.
Certificado de firma X.509
Certificado de firma (codificado en PEM o CER) que recuperó antes del IdP durante este proceso.
Habilitar cierre de sesión
Cuando está habilitado, se puede establecer una URL de cierre de sesión específica. De lo contrario, se usa de forma predeterminada la URL de inicio de sesión.
URL de cierre de sesión (opcional)
URL de cierre de sesión único de SAML.
Atributo de ID de usuario (opcional)
Atributo del token SAML que se asignará a la propiedad user_id en Auth0.
Modo de depuración
Cuando está habilitado, se generarán registros más detallados durante el proceso de autenticación.
Firmar solicitud
Cuando está habilitado, la solicitud de autenticación SAML se firmará. (Asegúrese de descargar y proporcionar el certificado correspondiente para que el IdP de SAML pueda validar la firma de las aserciones).
Algoritmo de firma de solicitud
Algoritmo que Auth0 usará para firmar las aserciones SAML.
Algoritmo de resumen de firma de solicitud
Algoritmo que Auth0 usará para el resumen de la firma de la solicitud.
Vinculación de protocolo
Vinculación HTTP compatible con el IdP.
Plantilla de solicitud (opcional)
Plantilla que da formato a la solicitud SAML.
3. En la vista Provisioning, configure cómo se crean y actualizan los perfiles de usuario en Auth0.
Campo
Descripción
Sincronizar atributos del perfil de usuario en cada inicio de sesión
Cuando está habilitado, Auth0 sincroniza automáticamente los datos del perfil del usuario en cada inicio de sesión, lo que garantiza que los cambios realizados en el origen de la conexión se actualicen automáticamente en Auth0.
Sincronizar perfiles de usuario usando SCIM
Cuando está habilitado, Auth0 permite sincronizar los datos del perfil de usuario mediante SCIM. Para obtener más información, consulte Configure Inbound SCIM.
En la vista Login Experience, configure cómo inician sesión los usuarios con esta conexión.
Campo
Descripción
Home Realm Discovery
Compara el dominio de correo electrónico de un usuario con los dominios del Proveedor de identidad proporcionados. Para obtener más información, consulte Configure Identifier First Authentication
Mostrar botón de conexión
Esta opción muestra las siguientes opciones para personalizar el botón de conexión de su aplicación.
Nombre visible del botón (Opcional)
Texto que se usa para personalizar el botón de inicio de sesión de Universal Login. Cuando se establece, el botón muestra: “Continuar con {Nombre visible del botón}”.
URL del logotipo del botón (Opcional)
URL de la imagen que se usa para personalizar el botón de inicio de sesión de Universal Login. Cuando se establece, el botón de inicio de sesión de Universal Login muestra la imagen como un cuadrado de 20 px por 20 px.
Los campos opcionales solo están disponibles con Universal Login. Los clientes que usan Classic Login no verán el botón Add, Nombre visible del botón ni URL del logotipo del botón.
Si tiene los permisos administrativos adecuados para completar la integración, haga clic en Continuar para conocer los parámetros personalizados necesarios para configurar su IdP. De lo contrario, proporcione la URL indicada a su administrador para que pueda ajustar la configuración requerida.
Crear una conexión empresarial con la Management API
También puede usar la Management API para crear su conexión SAML. Al hacerlo, puede optar por especificar manualmente cada campo de configuración de SAML o, en su lugar, indicar un documento de metadatos SAML que contenga los valores de configuración.
Realice una llamada POST al endpoint Create a Connection. Asegúrese de reemplazar los valores de marcador de posición MGMT_API_ACCESS_TOKEN, CONNECTION_NAME, SIGN_IN_ENDPOINT_URL, SIGN_OUT_ENDPOINT_URL y BASE64_SIGNING_CERT por su de Management API, el nombre de la conexión, la URL de inicio de sesión, la URL de cierre de sesión y el certificado de firma codificado en Base64 (en formato PEM o CER), respectivamente.
En lugar de especificar cada campo de la configuración de SAML, puede indicar un documento de metadatos SAML que contenga los valores de configuración. Al indicar un documento de metadatos SAML, puede proporcionar el contenido XML del documento (metadataXml) o la URL del documento (metadataUrl). Si proporciona la URL, el contenido se descarga solo una vez; la conexión no se reconfigurará automáticamente si el contenido de la URL cambia en el futuro.
Proporcione el contenido del documento de metadatos
Use la opción metadataXml para proporcionar el contenido del documento:
Proporcione la URL de un documento de metadatos
Use la opción metadataUrl para indicar la URL del documento:Cuando se proporciona la URL, el contenido se descarga solo una vez; la conexión no se reconfigura automáticamente si el contenido de la URL cambia en el futuro.
Actualice la información de una conexión existente con la URL de metadatos
Este proceso solo funcionará si la conexión se creó manualmente con metadataUrl.
Si tiene una implementación B2B y federa con Auth0 mediante su propio proveedor de identidad SAML, es posible que necesite actualizar la información de la conexión almacenada en Auth0, como cambios en el certificado de firma, cambios en la URL del endpoint o nuevos campos de aserción. Auth0 lo hace automáticamente para las conexiones ADFS, pero no para las conexiones SAML.Puede crear un proceso por lotes (cron job) para realizar una actualización periódica. El proceso puede ejecutarse cada pocas semanas y realizar una llamada PATCH al endpoint /api/v2/connections/CONNECTION_ID, pasando un cuerpo que contenga {options: {metadataUrl: '$URL'}}, donde $URL es la misma URL de metadatos con la que creó la conexión. Use la URL de metadatos para crear una nueva conexión temporal y luego comparar las propiedades de la conexión antigua y la nueva. Si hay alguna diferencia, actualice la nueva conexión y luego elimine la conexión temporal.
Cree una conexión SAML con options.metadataUrl. El objeto de conexión se completará con la información de los metadatos.
Actualice el contenido de los metadatos en la URL.
Envíe un PATCH al endpoint /api/v2/connections/CONNECTION_ID con {options: {metadataUrl: '$URL'}}. Ahora el objeto de conexión se actualiza con el nuevo contenido de los metadatos.
Si usa el parámetro options, sobrescribirá todo el objeto options. Asegúrese de que todos los parámetros estén presentes.
Para especificar un ID de entidad personalizado, use la Management API para reemplazar el valor predeterminado urn:auth0:YOUR_TENANT:YOUR_CONNECTION_NAME. Establezca la propiedad connection.options.entityID cuando se cree la conexión por primera vez o al actualizar una conexión existente.El siguiente ejemplo de JSON puede usarse para crear una nueva conexión SAML mediante la URL de metadatos del IdP de SAML y, al mismo tiempo, especificar un ID de entidad personalizado. El ID de entidad sigue siendo único, ya que se crea con el nombre de la conexión.
Este tipo de conexión admite un endpoint de revocación global de tokens, que permite a un proveedor de identidad compatible revocar las sesiones de usuario de Auth0, revocar los y activar el cierre de sesión por canal secundario para las aplicaciones que usan un canal secundario seguro.Esta función se puede usar con Universal Logout en Okta Workforce Identity.Para obtener más información e instrucciones de configuración, consulta Universal Logout.
Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma
