Autenticación de inicio de sesión único

    Autenticación NTLM

    Para habilitar el inicio de sesión único para dominios, siga los pasos que se enumeran a continuación:

    • Haga clic en la pestaña Delegación .
    • Seleccione Inicio de sesión único en Configuración en la sección de navegación de la izquierda.
    • Marque la casilla de verificación Habilitar inicio de sesión único con Active Directory .
    • Seleccione los dominios para los que desea habilitar el inicio de sesión único en el cuadro desplegable Seleccionar dominios .
    • Haga clic en Guardar configuración .

    Para modificar la configuración de inicio de sesión único existente,

    • Haga clic en la pestaña Delegación .
    • Seleccione Inicio de sesión único en Configuración en la sección de navegación de la izquierda.
    • Haga clic en el icono de edición en la columna de estado contra el dominio que desea modificar la configuración.
    • Ingrese el nombre de la computadora y la contraseña en los campos respectivos.
    • Haga clic en la casilla de verificación Crear esta cuenta de computadora en el dominio para crear una computadora con las credenciales ingresadas si ya no está presente en el dominio.
    • Si aparece el mensaje Error al crear una cuenta de computadora , entonces los servidores DNS y el sitio DNS se pueden ingresar manualmente.
    • Haga clic en Guardar .

    Para identificar la dirección IP del servidor DNS:

    • Abra el símbolo del sistema desde una máquina que pertenezca al dominio que ha seleccionado.
    • Escriba ipconfig / all y presione enter.
    • Utilice la primera dirección IP que se muestra en Servidor DNS.

    Para identificar el sitio DNS:

    • Abra Sitios y servicios de Active Directory en Active Directory.
    • Expanda los sitios e identifique el sitio en el que aparece el controlador de dominio configurado en el dominio seleccionado.
    • Utilice el nombre del sitio para el sitio DNS.

    Pasos para solucionar problemas de SSO:

    Los sitios de confianza son los sitios con los que la autenticación NTLM puede ocurrir sin problemas. Si el SSO ha fallado, la causa más probable es que la URL de ADManager Plus no forma parte de los sitios de confianza de su navegador. Por favor, agregue la URL de ADManager Plus en la lista de sitios de confianza. Siga los pasos que se indican a continuación:

    • explorador de Internet
    • Google Chrome
    • Mozilla Firefox
    Nota:
    • Se recomienda que cierre todas las sesiones del navegador después de agregar la URL a la lista de sitios de confianza para que los cambios surtan efecto.
    • Google Chrome e Internet Explorer utilizan la misma configuración de Internet. Cambiar la configuración en Internet Explorer o en Chrome habilitará NTLM SSO en ambos navegadores. Se recomienda nuevamente cerrar ambas sesiones del navegador para habilitar los cambios.

    Explorador de Internet:

    • Abra Internet Explorer y haga clic en el botón Herramientas.
    • Haz clic en Opciones de Internet.
    • En el cuadro de diálogo de opciones de Internet que se abre, haga clic en la pestaña Seguridad y luego en una zona de seguridad (Intranet local, Sitios de confianza o Sitios restringidos).
    • Haga clic en Sitios.
    • Si está utilizando IE 11, haga clic en el botón avanzado y agregue el sitio de ADManager Plus a la lista de sitios de intranet.
    • Si usa versiones anteriores a IE 11, agregue el sitio ADManager Plus a la lista de sitios de la intranet.
    • Haga clic en Cerrar y luego en Aceptar.
    • Cierre todas las sesiones del navegador y vuelva a abrir su navegador.

    Google Chrome

    • Abra Chrome y haga clic en el icono Personalizar y controlar Google Chrome (icono de 3 líneas horizontales en el extremo derecho de la barra de direcciones).
    • Haga clic en Configuración, desplácese hasta la parte inferior y haga clic en el enlace Mostrar configuración avanzada.
    • En la sección Red, haga clic en Cambiar la configuración del proxy.
    • En el cuadro de diálogo Propiedades de Internet que se abre, vaya a la pestaña Seguridad -> Intranet local y luego haga clic en Sitios.
    • Haga clic en Avanzado y agregue la URL de ADManager Plus en la lista de sitios de intranet.
    • Haga clic en Cerrar y luego en Aceptar.
    • Cierre todas las sesiones del navegador y vuelva a abrir su navegador.

    Mozilla Firefox

    • Abra el navegador web Firefox y escriba about: config en la barra de direcciones.
    • Haga clic en Tendré cuidado, lo prometo en la ventana de advertencia.
    • En el campo de búsqueda, escriba: network.automatic-ntlm-auth.trusted-uris.
    • Haga doble clic en la preferencia "network.automatic-ntlm-auth.trusted-uris" y escriba la URL de AD360 en el cuadro de indicación. Si ya hay sitios en la lista, escriba una coma y luego la URL de ADManager Plus. Haga clic en Aceptar para guardar los cambios.
    • Cierre todas las sesiones del navegador y vuelva a abrir su navegador.

    Autenticación SAML

    Puede configurar el inicio de sesión único para acceder a ADManager Plus a través de cualquiera de estos populares proveedores de identidad.

    Pasos para configurar el inicio de sesión único en ADManager Plus

    Paso 1: agregue ADManager Plus como una aplicación personalizada en la solución de administración de identidad

    Paso 2: Configure los ajustes de la solución de administración de identidad en ADManager Plus

    Configurar el inicio de sesión único con Okta

    Paso 1: configurar ADManager Plus en Okta

    • Inicie sesión en el portal de Okta.
    • En la pestaña Aplicaciones, haga clic en Agregar y seleccione Crear nueva aplicación.
    • Seleccione Plataforma como web, elija el método de inicio de sesión como SAML 2.0 y haga clic en Crear.
    • En Configuración general, proporcione un nombre para la conexión. Por ejemplo, ADManager Plus - MFA y cargue un logotipo para la aplicación.
    • En la sección Configurar SAML, ingrese el valor para URL de signo único y URI de audiencia que se puede obtener de ADManager Plus -> Delegación -> pestaña Configuración -> Inicio de sesión único -> Autenticación SAML -> Okta -> ACS / URL del destinatario.
    • Haga clic en Finalizar. Una vez que se complete la configuración, vaya a la pestaña Iniciar sesión para descargar el archivo de metadatos.

    Paso 2: configurar Okta en ADManager Plus

    • Inicie sesión en ADManager Plus.
    • Haga clic en la pestaña Delegación. Seleccione la opción Inicio de sesión único en la sección Configuración. Haga clic en autenticación SAML.
    • Seleccione Okta en la lista desplegable.
    • Cargue el archivo de metadatos obtenido en el paso 1.
    • Habilite la opción Forzar inicio de sesión si desea que los usuarios inicien sesión en el producto solo a través de SAML Single Sign Ons.
    • Haga clic en Guardar para completar la configuración.

    Configurar el inicio de sesión único con OneLogin

    Paso 1: configurar ADManager Plus en OneLogin

    • Inicie sesión en el portal OneLogin.
    • Haga clic en la pestaña Aplicaciones y seleccione Agregar aplicaciones.
    • Haga clic en SAML Test Connector en la categoría de aplicaciones.
    • Ingrese el nombre para mostrar de la configuración y cargue el logotipo de la aplicación. Haga clic en Siguiente.
    • En la pestaña Configuración, ingrese Destinatario, Audience URI y ACS URL, que se pueden obtener del portal ADManager Plus en Delegación -> pestaña Configuración -> Inicio de sesión único -> Autenticación SAML -> OneLogin -> ACS / URL del destinatario.
    • Haga clic en Más acciones en el panel superior y haga clic en Metadatos SAML para descargar el archivo de metadatos.
    • Haga clic en Guardar para completar la configuración en Onelogin.

    Paso 2: Configure OneLogin en ADManager Plus:

    • Inicie sesión en ADManager Plus.
    • Haga clic en la pestaña Delegación. Seleccione la opción Inicio de sesión único en Configuración. Haga clic en autenticación SAML.
    • Seleccione Onelogin de la lista desplegable.
    • Cargue el archivo de metadatos obtenido en el paso 1.
    • Habilite la opción Forzar inicio de sesión si desea que los usuarios inicien sesión en el producto solo a través de SAML Single Sign Ons.
    • Haga clic en Guardar para completar la configuración.

    Configurar el inicio de sesión único mediante Ping Identity

    Paso 1: configurar ADManager Plus en Ping Identity

    • Inicie sesión en el portal Ping Identity.
    • Haga clic en Aplicaciones -> Mis aplicaciones -> Agregar aplicación -> Nueva aplicación SAML.
    • Ingrese el nombre de la aplicación, la descripción, la categoría y el logotipo para continuar con el siguiente paso.
    • Para completar automáticamente los detalles de configuración de ADManager Plus, puede cargar el archivo de metadatos que se puede descargar iniciando sesión en ADManager Plus -> Delegación -> pestaña Configuración -> Inicio de sesión único -> Autenticación SAML -> Identidad de ping -> Descargar Metadatos de SP.
    • La opción alternativa es ingresar la URL de ACS y el ID de entidad que se puede obtener iniciando sesión en ADManager Plus -> Delegación -> pestaña Configuración -> Inicio de sesión único -> Autenticación SAML -> OneLogin -> URL de ACS / destinatario.
    • Habilite la opción Forzar inicio de sesión si desea que los usuarios inicien sesión en el producto solo a través de SAML Single Sign Ons.
    • En el siguiente paso, haga clic en Guardar y publicar.
    • Una vez que se completa la configuración, se puede descargar el archivo de metadatos.

    Paso 2: configurar la identidad de ping en ADManager Plus

    • Inicie sesión en ADManager Plus.
    • Haga clic en la pestaña Delegación. Seleccione la opción Inicio de sesión único en Configuración. Haga clic en autenticación SAML.
    • Seleccione Ping Identity en la lista desplegable.
    • Cargue el archivo de metadatos obtenido en el paso 1.
    • Habilite la opción Forzar inicio de sesión si desea que los usuarios inicien sesión en el producto solo a través de SAML Single Sign Ons.
    • Haga clic en Guardar para completar la configuración.

    Configurar el inicio de sesión único con un proveedor de identidad personalizado

    Puede configurar cualquier proveedor de identidad personalizado de su elección para habilitar el inicio de sesión único para acceder a ADManager Plus. Para hacerlo, configure los ajustes de ADManager Plus en el proveedor de identidad preferido siguiendo los pasos explicados anteriormente.

    Configurar el proveedor de identidad personalizado en ADManager Plus

    • Inicie sesión en ADManager Plus.
    • Haga clic en la pestaña Delegación. Seleccione la opción Inicio de sesión único en Configuración. Haga clic en autenticación SAML.
    • Seleccione el proveedor de identidad personalizado de la lista desplegable.
    • Cargue el archivo de metadatos del proveedor de identidad personalizado.
    • Habilite la opción Forzar inicio de sesión si desea que los usuarios inicien sesión en el producto solo a través de SAML Single Sign Ons.
    • Haga clic en Guardar para completar la configuración.

    Configurar el inicio de sesión único mediante los servicios de federación de Active Directory (ADFS)

    Prerrequisitos

    Para configurar ADFS para la verificación de identidad en ADManager Plus, necesita los siguientes componentes:
    • Necesita instalar el servidor ADFS. Los pasos detallados para instalar y configurar ADFS se pueden encontrar en este artículo de Microsoft .
    • Un certificado SSL para firmar su página de inicio de sesión de ADFS y la huella digital de ese certificado.

    Pasos de configuración:

    Solo se configura el método de autenticación basado en formularios para los usuarios que intentan acceder a ADManager Plus a través de la autenticación ADFS, tanto para uso de intranet como de extranet. Se puede ver esta configuración de  autenticación Políticas →  autenticación principal →  Configuración global.

    Reglas de reclamo y confianza de la parte que confía

    Durante la configuración, deberá agregar una Confianza de terceros y crear reglas de reclamo. Se crea una Confianza de Confianza para establecer la conexión entre dos aplicaciones con fines de autenticación mediante la verificación de reclamaciones. En este caso, ADFS confiará en la parte que confía (ADManager Plus) y autenticará a los usuarios en función de las reclamaciones generadas. Las reclamaciones se generan a partir de reglas de reclamaciones al aplicarles determinadas condiciones. Una reclamación es un atributo que se utiliza para identificar una entidad, para establecer el acceso. Por ejemplo, el userPrincipalName de Active Directory.

    Adición de una confianza para una parte que confía

    Pasos:

    1. La conexión entre ADFS y ADManager Plus se crea mediante Relying Party Trust (RPT). Seleccione la carpeta Confianzas de terceros en AD FS.
    2. En la barra lateral de Acciones, seleccione Agregar confianza de parte de confianza. Se abre el Asistente para agregar confianza a un tercero.
    3. Haga clic en Inicio.
    4. En la página Seleccionar fuente de datos, haga clic en la opción Ingresar datos sobre la fiesta manualmente y haga clic en Siguiente.
    5. En la página Especificar nombre para mostrar, ingrese un nombre para mostrar de su elección y también agregue notas adicionales si es necesario. Haga clic en Siguiente.
    6. En la página Elegir perfil, haga clic en el botón de perfil de ADFS FS. Haga clic en Siguiente.
    7. En la pantalla Configurar certificado, la configuración predeterminada ya se ha aplicado. Haga clic en Siguiente.
    8. En la pantalla Configurar URL, marque la casilla con la etiqueta Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO. La URL del servicio SSO SAML 2.0 de la parte que confía será la URL ACS de su servidor ADManager Plus. Tenga en cuenta que no hay una barra al final de la URL. Por ejemplo: https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f

      Nota :

      1. URL ACS / URL del destinatario: inicie sesión en la consola web ADManager Plus con credenciales de administrador.

      2. Vaya a la pestaña Delegación → Configuración → Inicio de sesión único → Autenticación SAML → URL ACS / URL del destinatario. Copie la URL ACS / URL del destinatario.

    9.  

    10. En la página siguiente, para la opción de identificadores de confianza de la parte que confía, agregue https://admp.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f
    11. En la página siguiente, puede optar por configurar la autenticación de múltiples factores para la confianza de la parte que confía. Haga clic en Siguiente.
    12. En la página Elegir reglas de autorización de emisión, puede elegir entre Permitir que todos los usuarios accedan a esta parte de confianza o Negar a todos los usuarios el acceso a esta parte de confianza. Haga clic en Siguiente.
    13. Las siguientes dos páginas mostrarán una descripción general de los ajustes que ha configurado. En la página Finalizar, haga clic en Cerrar para salir del asistente. Si ha seleccionado la opción Abrir el cuadro de diálogo Editar reglas de reclamación para este fideicomiso de parte de confianza cuando el asistente cierra, el Editor de reglas de reclamación se abrirá automáticamente.

    Crear una regla de reclamo

    Una vez que haya configurado el Fideicomiso de la parte que confía, puede crear las reglas de reclamo utilizando el Editor de reglas de reclamo que se abre de forma predeterminada cuando termina de crear el fideicomiso.

    Pasos:

    1. Para crear una nueva regla, haga clic en Agregar regla.
    2. En la lista de plantillas de reglas de reclamación disponibles, seleccione Enviar atributos LDAP como reclamaciones. Haga clic en Siguiente.
    3. En la página siguiente, proporcione un nombre de regla de reclamo y seleccione Active Directory como el almacén de atributos.
    4. En la columna Atributo LDAP, seleccione userPrincipalName.
    5. En la columna Tipo de reclamo saliente, seleccione ID de nombre.
    6. Haga clic en Finalizar para guardar la regla.

      Nota :

      Puede elegir varios atributos LDAP y asignarlos a sus correspondientes tipos de notificaciones salientes. Por ejemplo, puede agregar atributos LDAP como el nombre, apellido, número de teléfono, etc.

    7. Una vez que haga clic en Finalizar, podrá ver la regla que se ha creado.
    Después de completar la configuración de ADFS, descargue el archivo de metadatos haciendo clic en el enlace de metadatos del proveedor de identidad. Por ejemplo: https: //server_name/FederationMetadata/2007-06/FederationMetadata.xml. Necesitará este archivo al configurar la autenticación SAML en ADManager Plus. Por lo tanto, guarde este archivo y manténgalo seguro.

    Consejos para solucionar problemas:

    • Si aparece el siguiente mensaje de error después de la configuración del proveedor de identidad, "Lo sentimos, no se encontró la página que solicitó. Verifique que la URL esté bien escrita y en mayúsculas. Si tiene problemas para ubicar un destino, intente desde nuestra página de inicio". Vuelva a ingresar la URL del destinatario / ACS y vuelva a intentarlo.
    • Si se produce un error al acceder a ADManager Plus desde el portal del proveedor de identidad, asegúrese de que el campo de estado del relé sordo esté configurado.

    Configurar el inicio de sesión único con Azure AD

    Paso 1: configurar ADManager Plus en Azure AD

    1. Inicie sesión en el portal de Azure AD.
    2. Seleccione Azure Active Directory.
    3. En el panel izquierdo, en la  sección Administrar , seleccione  Aplicaciones empresariales .
    4. En la parte superior de la  ventana Aplicaciones empresariales: todas las aplicaciones , haga clic en  + Nueva aplicación .
    5. Para la configuración inicial de ADManager Plus, haga clic en el  mosaico de la aplicación Sin galería . Ingrese el nombre de la aplicación   (ADManager Plus) y haga clic en  Agregar . Ahora aparecerá en la página Aplicaciones empresariales - Todas las aplicaciones.
    6. Haga clic en la  aplicación ADManager Plus que aparece en Todas las aplicaciones.
    7. En el panel izquierdo de la aplicación, en  Administrar , seleccione  Inicio de sesión único .
    8. En la página  Configurar inicio de sesión único , haga clic en Cargar archivo de metadatos y cargue el archivo de metadatos que se puede descargar iniciando sesión en ADManager Plus → Delegación → Configuración → Configuración de inicio de sesión → Inicio de sesión único → Autenticación SAML → SAML personalizado → Descargar metadatos SP .
    9. Ahora, de vuelta en Azure AD, vaya a la sección Certificado de firma de SAML y descargue el archivo de metadatos. Este archivo se usará más adelante al configurar Azure AD en ADManager Plus.

    Paso 2: asignación de usuarios / grupos

    1. Inicie sesión en el portal de Azure AD.
    2. Seleccione Azure Active Directory
    3. En el panel izquierdo, en la  sección Administrar , seleccione  Aplicaciones empresariales , luego seleccione  Todas las aplicaciones .
    4. De la lista de aplicaciones, seleccione ADManager Plus.
    5. En el panel izquierdo de la página de la aplicación ADManager Plus, seleccione  Usuarios y grupos .
    6. Haga clic en  + Agregar usuario .
    7. En la   página Agregar asignación , haga clic en la   sección Usuarios y grupos para seleccionar los usuarios y grupos deseados.
    8. Haga clic en  Asignar .

    Paso 3: configurar Azure AD en ADManager Plus

    1. Inicie sesión en ADManager Plus.
    2. Haga clic en la  pestaña Delegación .
    3. En  Configuración en el panel izquierdo, seleccione  Configuración de inicio de sesión .
    4. Seleccione  Inicio de sesión único .
    5. Marque la  opción Habilitar inicio de sesión único con Active Directory y seleccione  Autenticación SAML .
    6. Elija SAML personalizado como proveedor de identidad.
    7. Elija  Cargar archivo de metadatos  en el  modo de configuración SAML .
    8. Seleccione Examinar y cargue el archivo de metadatos que se puede descargar iniciando sesión en el portal de Azure AD → Aplicaciones empresariales - Todas las aplicaciones → ADManager Plus → Administrar → Inicio de sesión único → Certificado de firma SAML → Descargar metadatos de federación.
    9. Ingrese los detalles del proveedor de servicios y descargue el archivo de metadatos.
    10. Haga clic en  Guardar para finalizar la configuración.
    "); $ (" .mob-act ") .click (function () {$ (" .right-menu ") .addClass (" menushow ");}); $ (" ul.right-menu li: nth -child (1) span ") .click (function () {$ (" .right-menu ") .removeClass (" menushow ");}); var loc = document.location +" "; if (loc.search ( "https://www.manageengine.com")! == - 1) {$ (".downloadd") .show (); $ (".getquo") .hide ();} else {$ (". downloadd "). hide (); $ (". getquo "). show ();}