Saltar al contenido principal

Proveedores de servicios SAML

Las aplicaciones, especialmente las aplicaciones personalizadas, pueden autenticar a los usuarios con un externo mediante protocolos como Connect (OIDC) u . Sin embargo, quizá le interese utilizar un proveedor empresarial de para la autenticación, incluso si escribió su aplicación para usar cualquiera de estos protocolos.
Diagrama de protocolos para proveedores de servicios SAML

Proveedores de identidad SAML

Algunas aplicaciones (como Salesforce, Box y Workday) permiten a los usuarios autenticarse ante un Proveedor de identidad (IdP) externo mediante el protocolo SAML. Luego, puede integrar la aplicación con Auth0, que actúa como el IdP SAML de la aplicación. Los usuarios de la aplicación serán redirigidos a Auth0 para iniciar sesión, y Auth0 puede autenticarlos mediante cualquier conexión de autenticación de backend, como un directorio LDAP, una base de datos u otro IdP SAML o proveedor social. Una vez que el usuario se autentica, Auth0 devuelve a la aplicación una aserción SAML que lo confirma.
Diagrama de protocolos de IdP SAML
A continuación, se muestra una lista de servicios de IdP que se sabe que admiten el protocolo SAML. Puede haber servicios adicionales además de los que se muestran a continuación. Los siguientes proveedores han participado en una prueba de interoperabilidad de Kantara y, por lo tanto, es probable que cumplan adecuadamente con la especificación SAML.
  • adAS
  • ADFS
  • Dot Net Workflow
  • Elastic Team & Enterprise
  • Entrust GetAccess & IdentityGuard (verifique el protocolo compatible)
  • EIC (verifique el protocolo compatible)
  • Ilex Sign&go
  • iWelcome
  • NetIQ Access Manager
  • OpenAM
  • RCDevs Open SAMPL IdP
  • Optimal IdM VIS Federation Services
  • Oracle Access Manager (Oracle Identity Federation se fusionó en este)
  • PingFederate (IDP Light)
  • RSA Federated Identity (IDP Light)
  • SecureAuth
  • Symplified
  • Tivoli Federated Identity Manager
  • TrustBuilder
  • Ubisecure SSO
  • WSO2 Identity Server
También puede consultar instrucciones paso a paso sobre cómo configurar varios proveedores de identidad SAML con Auth0.

Auth0 como proveedor de servicios

Si Auth0 actúa como proveedor de servicios en una federación SAML, puede enrutar solicitudes de autenticación a un Proveedor de identidad sin necesidad de tener una cuenta creada de antemano para un usuario específico. Con la aserción devuelta por el Proveedor de identidad, Auth0 puede recopilar la información necesaria para crear un perfil para el usuario (este proceso a veces se denomina aprovisionamiento just-in-time). Para obtener más información, consulte Seleccionar entre varias opciones de conexión. Aunque Auth0 no requiere cuentas de usuario creadas previamente antes del proceso de autenticación, es posible que la aplicación integrada con Auth0 sí las requiera. Si este es el caso, tiene varias opciones para gestionarlo:
  • Después de que el Proveedor de identidad cree el usuario, puede usar un proceso externo para crear el usuario correspondiente en la aplicación (o en Auth0) y agregar los atributos del perfil de usuario que requiera la aplicación. Si, después de la autenticación, falta algún atributo en el perfil, la aplicación puede obtenerlo de la fuente correspondiente y almacenarlo en el perfil de usuario de Auth0. Los atributos adicionales se enviarán a la aplicación (además de los agregados por el Proveedor de identidad) la próxima vez que el usuario inicie sesión.
  • Puede usar una Rule de Auth0 para llamar a una API, recuperar cualquier información faltante y agregarla dinámicamente al perfil de Auth0 (que luego se devuelve a la aplicación). Las Rules se ejecutan después de una autenticación correcta, y la aplicación puede recuperar los atributos del perfil cada vez o guardarlos en el perfil de Auth0.
  • Auth0 puede pasar la información básica del perfil del Proveedor de identidad a la aplicación, que luego recupera cualquier información faltante de otra fuente. Con estos dos conjuntos de información, la aplicación crea un perfil de usuario local.
Puede especificar dominios de correo electrónico como parte de la configuración de la Conexión SAMLP de Auth0 para controlar el IdP que gestiona un grupo específico de usuarios. Por ejemplo, si agrega el dominio de correo electrónico example.com a la configuración de la Conexión SAMLP de Auth0 para Company X, todos los usuarios con direcciones de correo electrónico del dominio example.com serán gestionados por el IdP específico de Company X.

Auth0 como proveedor de identidad

Si Auth0 actúa como Proveedor de identidad en una federación SAML, las cuentas de usuario pueden crearse de varias formas:
  • Mediante un sistema de autenticación de backend, como un directorio LDAP, una base de datos u otro Proveedor de identidad SAML.
  • Mediante el .
  • Llamando a la de Auth0.
  • Implementando el registro de usuarios de autoservicio.
Si su aplicación está diseñada para obtener la información del perfil del usuario de un repositorio local, deberá crear el perfil local después de que las cuentas se hayan creado en Auth0. Algunas formas de hacerlo son las siguientes:
  • Un proceso externo que cree perfiles de usuario en la aplicación;
  • Una Rule de Auth0 que se ejecute durante el primer inicio de sesión y llame a una API de la aplicación para crear el perfil del usuario en la aplicación;
  • Modificar la aplicación para crear perfiles de usuario de forma dinámica, en función de la información de la aserción SAML.