Saltar al contenido principal
Puede usar Auth0 como en configuraciones de 2.0.

Integraciones de SSO con soporte nativo de Auth0

  1. Vaya a Dashboard > Applications > SSO Integrations y seleccione Create SSO Integration.
  2. Elija una integración de proveedor de identidad para SSO. En la siguiente pantalla, haga clic en Continue.
  3. Introduzca los datos requeridos para el proveedor seleccionado y haga clic en Save.
En la vista Tutorial, verá instrucciones de configuración adicionales específicas de la integración que haya elegido. Algunas integraciones de SSO utilizan el complemento SAML2 Web App.

Configurar manualmente las integraciones de SSO

Puede configurar manualmente una integración SAML de con el complemento SAML2 Web App en el . Puede configurar el complemento SAML siguiendo las instrucciones que aparecen en pantalla junto con la información disponible en la configuración del proveedor de servicios.

Obtén del proveedor de servicios la URL de devolución de llamada de la aplicación

Obtén del proveedor de servicios la URL a la que debe enviarse la aserción de autenticación SAML. Puede denominarse URL del servicio de consumo de aserciones, URL de retorno o URL de devolución de llamada.

Configurar SAML SSO en Auth0

  1. Vaya a Dashboard > Applications > Applications y cree una aplicación nueva o haga clic en el nombre de una aplicación para configurarla.
  2. Desplácese hasta la parte inferior de la página Settings y haga clic en Advanced Settings.
  3. Seleccione la pestaña Certificates, haga clic en Download Certificates y elija el formato PEM. El certificado se descargará en un archivo llamado {yourTenant}.pem. Guarde este archivo; deberá cargarlo al configurar el proveedor de servicios.
    Pestaña Certificates de Dashboard Applications Advanced Settings
  4. Seleccione la pestaña Endpoints y ubique SAML Protocol URL. Cópiela y guárdela. Deberá proporcionársela al proveedor de servicios.
  5. Desplácese hasta la parte superior y seleccione la pestaña Addons.
  6. Active el selector SAML2 Web App.
    No se admite habilitar al mismo tiempo los complementos SAML y WS-Fed para un solo cliente, ya que esto puede generar un comportamiento incoherente. Use un cliente independiente para cada complemento.
  7. En la pestaña Settings, introduzca la URL de devolución de llamada de la aplicación del proveedor de servicios (o la aplicación) a la que deben enviarse las aserciones SAML después de que Auth0 haya autenticado al usuario. Esta es la URL del Assertion Consumer Service (ACS).
    Pestaña Settings de SAML2 Web App en Dashboard Applications Applications Addons Tab
    Agregar una URL de devolución de llamada permitida al complemento SAML2 también agrega esa URL como el primer elemento de la lista de URL de devolución de llamada permitidas de la aplicación. Esto afectará a cualquier funcionalidad que dependa de la primera URL de esta lista como valor predeterminado.Además, si más adelante se actualiza o cambia la primera URL de la lista de URL de devolución de llamada permitidas de la aplicación, ese cambio se reflejará en el complemento SAML2, lo que puede interrumpir su funcionamiento.
  8. Desplácese hasta la parte inferior de la pestaña y haga clic en Enable.
  9. Si su proveedor de servicios envía varias URL de ACS en la solicitud SAML, deberá agregarlas a la lista de permitidas. Para ello, vaya a la pestaña Settings de su aplicación, busque Allowed Callback URLs y agréguelas.

Configurar SAML SSO en el proveedor de servicios

  1. Vaya a la pestaña Usage del complemento SAML para ver la información que necesita para configurar la aplicación del proveedor de servicios.
    Dashboard Applications Applications Addons Tab SAML2 Web App Usage Tab
  2. Busque Proveedor de identidad Metadata y haga clic en Download para descargar el archivo de metadatos. Agregue esta información al proveedor de servicios para que sepa cómo enviar solicitudes de autenticación basadas en SAML a Auth0. Las instrucciones que se proporcionan aquí son genéricas. Deberá localizar las pantallas y los campos correspondientes en el proveedor de servicios.
  • Si el proveedor de servicios admite la carga de un archivo de metadatos, proporcione la URL de metadatos obtenida en la pestaña Usage del complemento web SAML2.
  • Si el proveedor de servicios no admite la carga de un archivo de metadatos, configure los ajustes manualmente con la información de la vista Usage del complemento SAML.
    • Para la URL de inicio de sesión, use Proveedor de identidad Login URL, que es la URL a la que el proveedor de servicios debe enviar sus solicitudes de autenticación SAML.
    • Si tiene un dominio personalizado, use la URL basada en el dominio personalizado en lugar de su dominio de Auth0. En lugar de usar una URL con este formato: https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Username-Password-Authentication le conviene usar una con este formato: https://{yourCustomDomain}/samlp/CLIENTID?connection=Username-Password-Authentication.
    • Si usa Organizaciones, puede dirigir a los usuarios a la pantalla de inicio de sesión de una organización específica proporcionando un id de organización en la cadena de consulta como parámetro organization. De forma opcional, también puede especificar la conexión incluyendo el parámetro connection. Ejemplo: https://{yourTenant}.auth0.com/samlp/CLIENTID?connection=Acme-Saml-Connection&organization=org_123456789
    • Si el proveedor de servicios también tiene un campo para una URL de cierre de sesión, vuelva a introducir Proveedor de identidad Login URL; tanto el inicio como el cierre de sesión se gestionan con la misma URL.
  • Descargue el certificado desde la vista Usage del complemento SAML y proporcióneselo al proveedor de servicios. Este certificado se utilizará para validar la firma de las aserciones de autenticación SAML enviadas desde Auth0 al proveedor de servicios. Si el proveedor de servicios solicita un Issuer, también puede obtenerlo desde la vista Usage del complemento SAML.

Verificar la configuración

Una vez que haya completado la configuración anterior, prueve el inicio de sesión.
  • Si su aplicación no funciona a la primera, borre el historial del navegador y, de ser posible, las cookies antes de cada prueba. De lo contrario, es posible que el navegador no cargue la versión más reciente de la página HTML o que tenga cookies obsoletas que afecten la ejecución.
  • Para facilitar la solución de problemas de SSO, capture una traza HTTP de la interacción. Muchas herramientas pueden capturar el tráfico HTTP del navegador para analizarlo.
    • Busque en internet “HTTP Trace” para encontrar e instalar una herramienta.
    • Capture la secuencia de inicio de sesión de principio a fin y analice la traza. Siga la secuencia de solicitudes GET para ver hasta qué punto avanza en la secuencia esperada. Debería ver una redirección desde su sitio original al SP y luego al IdP, el envío de credenciales si tuvo que iniciar sesión, después una redirección de vuelta a la URL de devolución de llamada o al SP y, por último, una redirección a la URL de devolución de llamada especificada en su aplicación.
  • Asegúrese de que las cookies y JavaScript estén habilitados en el navegador.
  • Use la herramienta http://samltool.io para decodificar una aserción SAML.

Más información