Para configurar un método de autenticación que funcione, primero debemos configurar un servidor de autenticación.
La primera etapa consiste en seleccionar el método de autenticación que necesita.
Haga clic en Añadir servidor.
Seleccione el método en el menú desplegable.
La función Servidor de autenticación es dinámica y sólo muestra los campos necesarios para el método de autenticación que elija.
Rellene los campos con precisión para garantizar una conexión correcta con los servidores.
Opciones para LDAP, LDAP-MD5, LSAPS, LDAPS-MD5, Radius y SAML
Opción
Descripción
Método
Elija un método de autenticación
LDAP - LDAP básico con nombres de usuario y contraseñas enviados en texto claro al servidor LDAP.
LDAP-MD5 - LDAP básico con nombre de usuario en texto claro y contraseña con hash MD5 para mayor seguridad.
LDAPS - LDAP sobre SSL. Envía la contraseña en texto claro dentro de un túnel cifrado entre el ADC y el servidor LDAP.
LDAPS-MD5 - LDAP sobre SSL. La contraseña es MD5 hash para mayor seguridad dentro de un túnel cifrado entre el ADC y el servidor LDAP.
Nombre
Asigne un nombre a su servidor para identificarlo: este nombre se utiliza en todas las reglas.
Dirección del servidor
Añada la dirección IP o el nombre de host del servidor de autenticación
Puerto
Para LDAP y LDAPS los puertos están configurados por defecto en 389 y 636.
Para Radius, el puerto suele ser el 1812.
Para SAML, los puertos se establecen en el ADC.
Dominio
Introduzca el nombre de dominio del servidor LDAP.
Formato de inicio de sesión
Utilice el formato de inicio de sesión que necesite.
Nombre de usuario - con este formato elegido, sólo es necesario introducir el nombre de usuario. Cualquier información de usuario y dominio introducida por el usuario se elimina, y se utiliza la información de dominio del servidor.
Nombre de usuario y dominio - El usuario debe introducir el dominio completo y la sintaxis del nombre de usuario. Ejemplo: miempresa\jdoe O jdoe@miempresa. La información de dominio introducida a nivel de servidor se ignora.
En blanco: el ADC aceptará todo lo que introduzca el usuario y lo enviará al servidor de autenticación. Esta opción se utiliza cuando se usa MD5.
Descripción
Añadir una descripción
Base de búsqueda
Este valor es el punto de partida para la búsqueda en la base de datos LDAP.
Ejemplo dc=miempresa,dc=local
Condición de búsqueda
Las condiciones de búsqueda deben ajustarse al RFC 4515. Ejemplo:
Realice una búsqueda de un usuario administrador de dominio en el servidor de directorio.
Contraseña
Contraseña del usuario administrador del dominio.
Tiempo muerto
Tiempo tras el cual un servidor inactivo vuelve a marcarse como activo.
Opciones para la autenticación SAML
IMPORTANTE: Al configurar la autenticación a través de SAML, es necesario crear una Aplicación Empresarial para la Autenticación de Entra ID. Las instrucciones para hacerlo están disponibles en el capítulo Configuración de la aplicación de autenticación Entra ID en Microsoft Entra.
Opción
Descripción
Método
Elija un método de autenticación
LDAP - LDAP básico con nombres de usuario y contraseñas enviados en texto claro al servidor LDAP.
LDAP-MD5 - LDAP básico con nombre de usuario en texto claro y contraseña con hash MD5 para mayor seguridad.
LDAPS - LDAP sobre SSL. Envía la contraseña en texto claro dentro de un túnel cifrado entre el ADC y el servidor LDAP.
LDAPS-MD5 - LDAP sobre SSL. La contraseña es MD5 hash para mayor seguridad dentro de un túnel cifrado entre el ADC y el servidor LDAP.
Nombre
Asigne un nombre a su servidor para identificarlo: este nombre se utiliza en todas las reglas.
Proveedor de identidad
Coincidencia de certificado IdP
IdP Certificate Match hace referencia al proceso de verificación de que el certificado digital utilizado por un proveedor de identidades (IdP) para firmar las aserciones SAML coincide con el certificado en el que confía el proveedor de servicios (SP). Esta validación garantiza que el IdP es legítimo y que las aserciones que envía son auténticas e inalteradas. El SP normalmente almacena el certificado del IdP en sus metadatos y compara el certificado incrustado en las aserciones SAML con el almacenado para determinar una coincidencia.
IdP Entidad ID
Un IdP Entity ID de SAML es un identificador único global que sirve como dirección definitiva para un proveedor de identidades (IdP) dentro del ecosistema SAML (Security Assertion Markup Language). Este identificador suele ser una URL o URI que distingue de forma exclusiva al IdP de otras entidades implicadas en los procesos de autenticación y autorización basados en SAML. Desempeña un papel crucial a la hora de establecer la confianza y facilitar la comunicación segura entre los IdP, los proveedores de servicios (SP) y los usuarios.
IdP SSO URL
Una URL IdP SSO, abreviatura de URL de inicio de sesión único, es una URL de punto final específica proporcionada por un proveedor de identidad (IdP) que sirve como pasarela de autenticación para iniciar sesiones de inicio de sesión único (SSO). Al redirigir a un usuario a esta URL, el IdP le pide que se autentique utilizando sus credenciales y, una vez autenticado correctamente, lo redirige de vuelta al proveedor de servicios (SP) con una aserción que contiene su información de identidad. A continuación, el proveedor de servicios valida esta afirmación, lo que permite al usuario acceder a los recursos del proveedor de servicios sin tener que volver a autenticarse.
IdP URL de cierre de sesión
La URL de cierre de sesión del IdP SAML es un punto final específico del proveedor de identidades (IdP) que inicia y gestiona el proceso de cierre de sesión para las sesiones de inicio de sesión único (SSO). Cuando un usuario hace clic en el botón de cierre de sesión en una aplicación, la aplicación redirige al usuario a la URL de cierre de sesión del IdP. A continuación, el IdP invalida la sesión del usuario en todas las partes de confianza asociadas con la autenticación SSO y envía una respuesta de cierre de sesión a la aplicación, cerrando efectivamente la sesión del usuario en todas las aplicaciones conectadas.
Certificado IdP
Un certificado SAML IdP es un certificado digital X.509 emitido por una autoridad de confianza a un proveedor de identidades (IdP) que participa en los protocolos de autenticación SAML (Security Assertion Markup Language). Este certificado sirve como medio seguro para verificar la identidad del IdP y autenticar la integridad y confidencialidad de los mensajes SAML intercambiados entre el IdP y los proveedores de servicios (SP).
Puede seleccionar el Certificado IdP que tendrá instalado en el ADC utilizando el menú desplegable.
Descripción
Una descripción para la definición.
Buscar usuario
Realizar una búsqueda de un usuario administrador de dominio.
Contraseña
Para especificar la contraseña del usuario admin.
Proveedor de servidores
ID de la entidad SP
Un SP Entity ID es un identificador único que sirve como dirección global para un Proveedor de Servicios (SP) específico en el contexto del protocolo SAML. Es una forma estandarizada de identificar a un SP y suele ser una URL u otro URI que señala los metadatos SAML del SP, que contienen información crítica como certificados de cifrado y puntos finales de autenticación.
Certificado de firma SP
Un certificado de firma SAML SP es un certificado X.509 utilizado por un proveedor de servicios (SP) para firmar respuestas SAML, garantizando la autenticidad e integridad de los mensajes intercambiados entre el SP y el proveedor de identidades (IdP) durante la autenticación de inicio de sesión único (SSO). El SP firma la respuesta utilizando su clave privada, y el IdP verifica la firma utilizando la clave pública asociada al certificado, confirmando la identidad del remitente y que el contenido del mensaje no ha sido manipulado.
SP Tiempo de espera de la sesión
El tiempo de espera de la sesión del SP se refiere a la duración máxima durante la cual la sesión de autenticación de un usuario se considera válida en el lado del proveedor de servicios (SP) tras un inicio de sesión único (SSO) satisfactorio a través de un proveedor de identidades (IdP). Después de este tiempo especificado, el SP termina la sesión y requiere que el usuario vuelva a autenticarse para recuperar el acceso a los recursos protegidos. Este mecanismo ayuda a proteger contra el acceso no autorizado y garantiza que las sesiones de usuario no estén inactivas durante largos periodos.
