Configurar ADFS como Proveedor de identidad SAML

Cree una conexión personalizada con Active Directory Federation Services (ADFS) de Microsoft para tener más flexibilidad al configurar las asignaciones. Para crear la conexión personalizada, deberá:

Configurar ADFS.
Crear una conexión SAML en la que Auth0 actúe como proveedor de servicios.
Editar la relación de confianza del usuario autenticado en ADFS.
Habilitar y probar la integración.

Configurar ADFS

Agregar relación de confianza de la parte usuaria

Para obtener información sobre cómo agregar una relación de confianza de la , consulte Crear una relación de confianza de la parte usuaria en https://docs.microsoft.com.

Crear con metadatos de federación

Siga los pasos de Create a claims aware relación de confianza de la parte usuaria using federation metadata (MSDN). En la dirección de metadatos de federación del paso 4, la URL que introduzca debe tener uno de estos formatos: US: https://{yourTenantName}.auth0.com/samlp/metadata?connection={connectionName} EU: https://{yourTenantName}.eu.auth0.com/samlp/metadata?connection={connectionName} AU: https://{yourTenantName}.au.auth0.com/samlp/metadata?connection={connectionName} JP: https://{yourTenantName}.jp.auth0.com/samlp/metadata?connection=CONNECTION_NAME : https://{yourTenantName}/samlp/metadata?connection={connectionName} Una vez que termine de crear la relación de confianza de la parte usuaria, continúe con la siguiente sección.

Crear manualmente

Inicie su instancia de ADFS y abra el asistente Add relación de confianza de la parte usuaria.
En la página Welcome, elija Claims aware y haga clic en Start.
En la página Select Data Source, seleccione Enter data about the parte usuaria manually y haga clic en Next.
En la página Specify Display Name, proporcione un nombre descriptivo para su parte usuaria (el formato habitual es urn:auth0:{yourTenant}:{yourConnectionName}) y una breve descripción en Notes. Asegúrese de reemplazar {yourConnectionName} por un nombre único que también usará para crear una conexión en Auth0 en un paso posterior. Si en este momento no está seguro del nombre de la conexión, siempre podrá editarlo más adelante. Haga clic en Next.
En la página Configure Certificate, haga clic en Next. (Más adelante volveremos para configurar el certificado).
En la página Configure URL, marque la casilla Enable support for the SAML 2.0 WebSSO protocol. El asistente le pedirá una parte usuaria SAML 2.0 SSO service URL. Por ahora, introduzca una URL provisional; volveremos a este paso más adelante. Haga clic en Next.
En la página Configure Identifiers, indique que el identificador de la relación de confianza de la parte usuaria es urn:auth0:{yourTenant}:{yourConnectionName} (o el valor que haya usado como nombre para mostrar al iniciar el asistente). Haga clic en Next.
En la página Choose Access Control Policy, seleccione Permit everyone y haga clic en Next.
Revise la configuración que proporcionó en la página Ready to Add Trust y haga clic en Next para guardar la información. Si todo se completó correctamente, verá un mensaje indicándolo en la página Finish.
Asegúrese de que la casilla Configure claims issuance policy for this application esté seleccionada y haga clic en Close.

Editar la directiva de emisión de reclamaciones

Después de cerrar el asistente Add relación de confianza de la parte usuaria, aparece la ventana Edit Claim Issuance Policy.

Haga clic en Add Rule… para iniciar el asistente.
Seleccione Send LDAP Attributes as Claims como Claim rule template y haga clic en Next.
Especifique un valor para Claim rule name, como “LDAP Attributes” (puede ser cualquiera).
Elija Active Directory como Attribute Store.
Asigne los atributos LDAP a los siguientes tipos de reclamación salientes:

LDAP Attribute	Outgoing Claim
E-Mail-Addresses	E-Mail Address
Display-Name	Name
User-Principal-Name	Name ID
Given-Name	Given Name
Surname	Surname

La reclamación saliente Name ID siempre debe estar presente para garantizar la correcta gestión de la sesión. Recomendamos encarecidamente agregar todas las reclamaciones indicadas arriba, especialmente E-Mail Address, ya que son las que se usan con más frecuencia. Puede agregar asignaciones de reclamaciones adicionales si es necesario. 6. Haga clic en Finish. 7. En la ventana Edit Claim Issuance Policy, haga clic en Apply. Ahora ya puede cerrar esta ventana.

Exportar el certificado de firma

Por último, deberá exportar el certificado de firma desde la consola de ADFS para cargarlo en Auth0.

En el panel de navegación de la izquierda, vaya a ADFS > Service > Certificates. Seleccione el certificado Token-signing y haga clic con el botón derecho para elegir View Certificate.
En la pestaña Details, haga clic en Copy to File…. Se abrirá el Certificate Export Wizard. Haga clic en Next.
Elija Base-64 encoded X.509 (.CER) como el formato que desea usar. Haga clic en Next.
Indique la ubicación en la que desea exportar el certificado. Haga clic en Next.
Verifique que la configuración del certificado sea correcta y haga clic en Finish.

Crear una conexión SAML con Auth0 como proveedor de servicios

Siga el tutorial para crear una conexión SAML en el que Auth0 actúa como proveedor de servicios. Cuando se le indique, cargue el certificado de firma que exportó desde ADFS. Las URL de inicio y cierre de sesión suelen tener el formato https://your.adfs.server/adfs/ls.
Haga clic en Save. Aparecerá una página con instrucciones para crear una nueva relación de confianza de la parte usuaria en ADFS, en la que se muestran los valores exactos necesarios para su cuenta/conexión de Auth0. Anote estos valores. A continuación, se muestra un ejemplo:

Parámetro	Valor de ejemplo

Editar la relación de confianza de la parte usuaria

En la consola de ADFS, vaya a ADFS > Relying Party Trusts desde el panel de navegación izquierdo. Seleccione la relación de confianza de la parte usuaria que creó anteriormente y haga clic en Properties (ubicado en el panel de navegación derecho).
Seleccione la pestaña Identifiers y complete Relying Party Identifier con el valor de Entity ID de la pantalla anterior. Asegúrese de hacer clic en Add para agregar el identificador a la lista.
Seleccione la pestaña Endpoints y elija la URL de marcador de posición que proporcionó anteriormente. Haga clic en Edit….
Complete Trusted URL con el valor de Post-back URL.
Haga clic en OK. Por último, haga clic en Apply y cierre la ventana Properties.

Habilitar la firma de solicitudes (opcional)

Si lo desea, puede firmar sus solicitudes SAML al servidor ADFS.

Vaya a la página Settings de su Proveedor de identidad SAML-P en el Auth0 Dashboard.
Active Sign Requests.
Justo debajo del selector Sign Requests hay un enlace para descargar su certificado.
Vuelva a ADFS y cargue el certificado descargado desde la pestaña Signatures del cuadro de diálogo de propiedades de la relación de confianza.

Habilitar y probar la integración

Antes de probar la integración, asegúrese de haber completado los siguientes pasos:

Cree un usuario en el que pueda usar para probar la nueva conexión.
Habilite su Conexión para al menos una aplicación.

Vaya a Authentication > Enterprise > SAML.
Seleccione la conexión que desea probar y haga clic en los puntos suspensivos (…); luego, haga clic en Try. Aparecerá la pantalla de inicio de sesión de Microsoft. Inicie sesión y haga clic en Next.

Más información

Solucionar problemas con las configuraciones de SAML

​Configurar ADFS

​Agregar relación de confianza de la parte usuaria

​Crear con metadatos de federación

​Crear manualmente

​Editar la directiva de emisión de reclamaciones

​Exportar el certificado de firma

​Crear una conexión SAML con Auth0 como proveedor de servicios

​Editar la relación de confianza de la parte usuaria

​Habilitar la firma de solicitudes (opcional)

​Habilitar y probar la integración

​Más información