Configurar Auth0 como proveedor de servicios SAML

Para configurar Auth0 como proveedor de servicios (SP) en una federación , deberá crear una conexión empresarial en Auth0 y, a continuación, actualizar su (IdP) de SAML con los metadatos de la conexión. Auth0 admite el uso de Auth0 como SP en configuraciones compatibles con el protocolo SAML 1.1 o SAML 2.0.

Obtén los metadatos y el certificado del IdP

Necesitarás recopilar algunos metadatos de configuración del IdP para crear una conexión en Auth0:

Campo	Descripción
URL de inicio de sesión	La URL a la que se envían las solicitudes de autenticación SAML. También se conoce como endpoint de inicio de sesión único (SSO).
URL de cierre de sesión	La URL a la que se envían las solicitudes de cierre de sesión SAML. También se conoce como endpoint de cierre de sesión único (SLO).
Certificado de firma X.509	El certificado de clave pública que el SP necesita para validar la firma de las aserciones de autenticación firmadas digitalmente por el IdP. Auth0 acepta los formatos .pem y .cer.

Crear una conexión empresarial de SAML en Auth0

Puede crear una conexión empresarial de SAML en el o mediante la de Auth0:

Dashboard
Management API

Vaya a Dashboard > Authentication > Enterprise y seleccione SAML.
Seleccione Create Connection.
Configure las siguientes opciones:

Configuración	Descripción
Nombre de la conexión	Introduzca un nombre para la conexión, como `SAML-SP`.
URL de inicio de sesión	Introduzca la Sign In URL que obtuvo del IdP.
Certificado de firma X509	Cargue el archivo del certificado de firma X509 (en formato `.pem` o `.cer`) que obtuvo del IdP.
Habilitar cierre de sesión	Habilite el campo Sign Out URL.
URL de cierre de sesión	Introduzca la Sign Out URL que obtuvo del IdP.
Atributo de ID de usuario	Introduzca el atributo del token SAML que se asignará a la propiedad `user_id` en Auth0. Si no se establece, `user_id` se obtendrá de los siguientes valores (en el orden indicado): `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier` `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn` `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name`
Modo de depuración	Habilite Debug Mode para obtener registros más detallados.
Firmar solicitud	Habilite las solicitudes de autenticación SAML firmadas.
Algoritmo de firma de la solicitud	En el menú desplegable, seleccione el algoritmo hash que se va a usar.
Resumen del algoritmo de firma de la solicitud	En el menú desplegable, seleccione el algoritmo que se usará para comprobar la validez de la aserción.
Enlace de protocolo	En el menú desplegable, seleccione una de las siguientes opciones: `HTTP-Redirect`: Permite transmitir mensajes dentro de parámetros de URL. `HTTP-POST`: Permite transmitir mensajes dentro de un formulario HTML.
Sincronizar atributos del perfil del usuario en cada inicio de sesión	Habilite la sincronización de los atributos del perfil del usuario en cada inicio de sesión.

Seleccione Create.

El endpoint Create a Connection de la Management API de Auth0 admite las siguientes propiedades en el objeto options al crear una conexión SAML:

Campo	Tipo	¿Obligatorio?	Descripción
`signInEndpoint`	String	Obligatorio	La URL de inicio de sesión del IdP.
`signingCert`	String	Obligatorio	Contenido del certificado de firma X509 (en formato `.pem` o `.cer`) codificado en Base64.
`debug`	Booleano	Opcional	Activa o desactiva el modo de depuración, que incluye registros más detallados durante el proceso de autenticación. Establézcalo en `false` para las conexiones utilizadas en entornos de producción.
`destinationUrl`	String	Opcional	La URL a la que Auth0 enviará las solicitudes de autenticación SAML. Solo es necesaria cuando se utiliza una puerta de enlace proxy.
`digestAlgorithm`	String	Opcional	El algoritmo utilizado para cifrar el elemento de resumen de las solicitudes de autenticación. Los valores aceptados son `sha256` y `sha1`.
`disableSignout`	Boolean	Opcional	Activa o desactiva la URL de cierre de sesión. Si es `false`, debe proporcionar una URL de cierre de sesión para aceptar solicitudes de cierre de sesión. Si es `true`, las solicitudes de cierre de sesión se enviarán a la URL de inicio de sesión.
`fieldsMap`	Object	Opcional	Contiene asignaciones de atributos que se aplican a las respuestas de autenticación del IdP. Por ejemplo: `"email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"`.
`idpinitiated`	Objeto	Opcional	Contiene opciones para el SSO iniciado por el IdP: `enabled`: Booleano. Activa o desactiva el SSO iniciado por el IdP. `client_id`: String. El ID de cliente de la aplicación predeterminada. `client_protocol`: String. El protocolo de respuesta que se utiliza para comunicarse con la aplicación predeterminada. Los valores aceptados son `oauth2`, `samlp` y `wsfed`. `client_authorizequery`: String. La cadena de consulta que se envía a la aplicación predeterminada.
`protocolBinding`	String	Opcional	El binding de protocolo utilizado para las solicitudes de autenticación. Los valores aceptados son: `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect` `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST`
`recipientUrl`	String	Opcional	La URL a la que el IdP enviará las respuestas de autenticación de SAML. Solo se requiere cuando se usa una puerta de enlace proxy.
`signatureAlgorithm`	Cadena	Opcional	El algoritmo que se utiliza para firmar las solicitudes de autenticación. Los valores admitidos son `rsa-sha256` y `rsa-sha1`.
`signSAMLRequest`	Booleano	Opcional	Activa o desactiva la firma de las solicitudes de autenticación enviadas por Auth0.
`user_id_attribute`	String	Opcional	El nombre del atributo en las respuestas de autenticación que se asignará a la propiedad de ID de usuario. Este campo sustituirá cualquier asignación para la propiedad `user_id` en el objeto `fieldsMap`.

Ejemplo de solicitud

{
	"strategy": "samlp",
	"name": "example-samlp-connection",
	"options": {
		"signingCert": "{X509_CERTIFICATE_IN_BASE64}",
		"signInEndpoint": "https://example.com/samlp/login",
		"disableSignout": false,
		"signOutEndpoint": "https://example.com/samlp/logout",
		"fieldsMap": {
			"email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
			"user_id": [
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
				"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
			],
			"given_name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
			"address_name": "http://schemas.auth0.com/address_name",
			"address_street_address": "http://schemas.auth0.com/address_street_address"
		},
		"user_id_attribute": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
		"idpinitiated": {
			"enabled": true,
			"client_id": "{DEFAULT_APPLICATION_CLIENT_ID}",
			"client_protocol": "oauth2",
			"client_authorizequery": "response_type=code&scope=openid email profile"
		},
		"signSAMLRequest": true,
		"signatureAlgorithm": "rsa-sha256",
		"digestAlgorithm": "sha256",
		"protocolBinding": "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect",
		"debug": true
	}
}

Configurar la conexión SAML para gateways proxy

Si tiene Auth0 detrás de un gateway proxy, deberá configurar los campos destinationUrl y recipientUrl de la conexión SAML según corresponda.

Obtenga la configuración actual de su conexión SAML mediante el endpoint Get a connection de la Management API.
Copie el valor del objeto options de la respuesta.
Agregue los siguientes campos al objeto options:

Campo	Tipo	Valor
`destinationUrl`	String	URL del gateway proxy.
`recipientUrl`	String	URL del gateway proxy.

Llame al endpoint Update a connection de la Management API con el objeto options completo y actualizado en el cuerpo de la solicitud.

Personaliza la plantilla de solicitud

Cuando Auth0 envía la solicitud de autenticación al IdP, el cuerpo de la solicitud contiene un objeto AuthnRequest. Puedes personalizar la plantilla que se usa para este objeto:

Ve a Dashboard > Authentication > Enterprise > SAML y selecciona tu conexión.
Cambia a la vista Settings y localiza el campo Request Template.
Modifica la plantilla.
Selecciona Save Changes.

Variables de plantilla

Las variables se pueden insertar en la plantilla AuthnRequest con la sintaxis @@VariableName@@. Las siguientes variables están disponibles:

Nombre	Descripción
`AssertionConsumerServiceURL`	La URL a la que el IdP envía la respuesta después de que el usuario inicia sesión. Incluye el atributo `ProtocolBinding` en la plantilla de solicitud si lo usas.
`Connection.<options-key>`	Usa la notación con puntos en la clave `Connection` para acceder a cualquiera de los valores de `options` de la conexión, tal como los devuelve el endpoint Get a Connection del Management API de Auth0. Por ejemplo, si la conexión tiene `options.some_property: "value"`, puedes usar `@@Connection.some_property@@` en la plantilla.
`Destination`	La URL a la que Auth0 envía la solicitud. Debe ser la URL de inicio de sesión configurada para la conexión.
`ID`	El ID de la transacción.
`IssueInstant`	La marca de tiempo de la transacción.
`Issuer`	El ID de entidad del SP en formato `urn`. Por ejemplo, `urn:auth0:<YOUR_AUTH0_TENANT_NAME>:<YOUR_AUTH0_CONNECTION_NAME>`.
`LoginHint`	El username o correo electrónico del usuario que inicia sesión. Si usas Identifier First Authentication, Auth0 puede enviar este valor al IdP para precompletarlo en el formulario de inicio de sesión del IdP.
`ProtocolBinding`	El tipo de enlace del protocolo.
`ProviderName`	El nombre de la aplicación que inició la solicitud. Siempre devuelve el nombre del inquilino de Auth0.
`AssertServiceURLAndDestination`	Obsoleto. En configuraciones nuevas, usa `AssertionConsumerServiceURL` y `Destination` en su lugar.

Configura el IdP

Ve a Configuración del Proveedor de identidad (IdP) de SAML para encontrar los metadatos que deberás proporcionar al IdP. Auth0 admite todos los Proveedores de identidad (IdP) de SAML compatibles con el protocolo SAML 1.1 o SAML 2.0. A continuación, encontrarás instrucciones detalladas para configurar proveedores específicos.

Probar la conexión

Para probar la conexión en el Dashboard:

Ve a Dashboard > Authentication > Enterprise > SAML.
Busca la conexión que creaste, selecciona el icono del menú … (tres puntos) y haz clic en Try.
Aparecerá una página de Universal Login y se te pedirá que introduzcas tus credenciales.
Introduce el correo electrónico de un usuario que exista en el IdP. Si configuraste Home Realm Discovery, asegúrate de introducir un correo electrónico que use uno de los dominios especificados.
Cuando se te redirija a la pantalla de inicio de sesión del IdP, inicia sesión como lo harías normalmente.
Se te redirigirá a una página de Auth0 que muestra el contenido de la aserción de autenticación enviada a Auth0 desde el IdP.

Solucionar problemas con la conexión

Si la conexión no funciona como se espera, prueba los siguientes pasos:

Borra el historial, las cookies y la caché del navegador antes de cada prueba. Si no lo haces, es posible que el navegador no detecte la información de configuración más reciente o que tenga cookies obsoletas que afecten la ejecución.
Asegúrate de que el navegador permita las cookies y tenga JavaScript habilitado.
Captura un archivo HAR de la transacción y, a continuación, usa la herramienta SAML de Auth0 para decodificar la aserción SAML e inspeccionar su contenido.

​Obtén los metadatos y el certificado del IdP

​Crear una conexión empresarial de SAML en Auth0

​Ejemplo de solicitud

​Configurar la conexión SAML para gateways proxy

​Personaliza la plantilla de solicitud

​Variables de plantilla

​Configura el IdP

​Probar la conexión

​Solucionar problemas con la conexión