Las cuentas empresa JESI ahora tienen la oportunidad de tener activado el inicio de sesión único.
El inicio de sesión único (SSO) en la empresa se refiere a la capacidad de los empleados de iniciar sesión una sola vez con un conjunto de credenciales para obtener acceso a todas las aplicaciones, sitios web y datos corporativos para los que tienen permiso. SSO resuelve problemas clave para la empresa proporcionando: Mayor seguridad y cumplimiento
Configuración del proveedor de identidad compatible con SAML 2.0
El lenguaje de marcado de afirmación de seguridad (SAML) es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidad empresarial y JESI (el proveedor de servicios).
Experiencia de inicio de sesión SAML 2.0
Actualmente, JESI admite la experiencia de inicio de sesión del proveedor de identidades.
Experiencia de inicio de sesión iniciada por el proveedor de identidad
Con la experiencia de inicio de sesión iniciada por el proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión de la empresa e iniciar sesión para confirmar su identidad. El proveedor de identidad de la empresa envía la respuesta SAML2 directamente a la plataforma JESI. El usuario inicia sesión y se le redirige a la aplicación JESI donde puede acceder a los recursos sin necesidad de autenticación adicional.
Las respuestas SAML se relacionarán con cuentas JESI preconfiguradas mediante una aserción de atributo de dirección de correo electrónico. Las cuentas JESI solo se compararán si residen dentro del contexto del proveedor de identidad configurado.
Experiencia de inicio de sesión iniciada por el proveedor de servicios
Nota: Se espera que en el futuro se admitan los inicios de sesión empresariales iniciados por el proveedor de servicios (SP). La experiencia será diferente a la iniciada por el proveedor de identidad.
Experiencia de cierre de sesión único (SLO)
JESI admite el flujo de cierre de sesión único iniciado por el proveedor de identidad SAML2 para finalizar las sesiones de usuario activas
Nota: Cerrar sesión en JESI terminará la sesión actual del usuario y requerirá una nueva autenticación para acceder. JESI NO admite SLO iniciado por el proveedor de servicios
Unirse a la organización automáticamente
Actualmente, JESI requiere que se creen y activen cuentas de usuario dentro de la plataforma JESI antes de otorgar acceso a través de un proveedor de identidad empresarial.
Nota: En el futuro se admitirá el aprovisionamiento justo a tiempo (automático) de cuentas JESI. Actualmente, los usuarios deben tener una cuenta configurada antes de utilizar SSO (en esta etapa, la forma más sencilla de hacerlo es importar usuarios).
Configure su acceso JESI con un proveedor de identidad SAML
Configuración del proveedor de servicios JESI
Para la configuración dentro de un proveedor de identidad, se deben utilizar las siguientes configuraciones
|
Configuración |
Descripción |
Valor |
|
ID de entidad |
ID de entidad del proveedor de servicios JESI |
https://api.jesi.io/ |
|
URL de metadatos |
Documento XML que contiene la información necesaria para la interacción con proveedores de identidad habilitados para SAML. El documento contiene p.e. URL de puntos finales, información sobre enlaces admitidos, identificadores y claves públicas. |
https://apiv2.jesi.io/sso/saml2/metadata |
|
Respuesta/URL ACS |
La URL de respuesta será el destino en la respuesta SAML para el SSO iniciado por IDP. |
https://apiv2.jesi.io/sso/saml2/acs |
|
URL de cierre de sesión |
URL para enviar la respuesta de cierre de sesión de SAML a la aplicación. |
https://apiv2.jesi.io/sso/saml2/logout |
|
URL de inicio de sesión |
La URL contiene la página de inicio de sesión de esta aplicación que realizará el inicio de sesión único iniciado por el proveedor de servicios. |
No disponible actualmente |
|
Solicitudes de autenticación firmadas |
Las solicitudes del proveedor de servicios se firmarán |
verdadero |
|
Quiero que se firmen las afirmaciones |
Las respuestas a la Afirmación del proveedor de identidad se firmarán |
verdadero |
|
Afirmaciones cifradas |
JESI admite respuestas de aserción SAML2 cifradas. Opcionalmente, el proveedor de identidad puede cifrar la parte de aserción de las respuestas SAML2. Todo el tráfico SAML2 hacia y desde la plataforma JESI ya está cifrado mediante HTTPS, pero esto añade otra capa de seguridad. |
opcional |
Configuración del proveedor de identidad requerida por JESI
Para la configuración dentro de JESI, se deben proporcionar las siguientes configuraciones.
|
Configuración |
Descripción |
Opcionalidad |
|
ID de entidad |
Esta será la audiencia de la respuesta SAML para el SSO iniciado por IDP. |
Requerido |
|
X509 Certificado X509 |
BCertificado, codificado en formato BASE 64, para el proveedor de identidad empresarial. Este es el certificado que permite a JESI verificar la firma digital en las respuestas SAML que le envía el proveedor de identidad empresarial. |
Requerido |
|
URL de inicio de sesión (redireccionamiento) |
URL de inicio de sesión del proveedor de identidad (que admite el enlace de redireccionamiento HTTP) que JESI debe usar para permitir que un miembro inicie sesión. Se usará en el futuro para habilitar el inicio de sesión iniciado por el proveedor de servicios. |
Opcional |
|
URL de inicio de sesión (HTTP-POST) |
URL de inicio de sesión del proveedor de BIdentity (que admite el enlace HTTP POST) que JESI debe usar para permitir que un miembro inicie sesión. Se usará en el futuro para habilitar el inicio de sesión iniciado por el proveedor de servicios |
Opcional |
Comuníquese con el administrador del proveedor de identidad si necesita ayuda para determinar qué fuente de información de metadatos debe proporcionar.
Atributos y reclamos del usuario
JESI requiere que se reciba la siguiente información de atributos del proveedor de identidad cuando un usuario inicia sesión.
|
Nombre del reclamo |
Descripción |
Opcionalidad |
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Identificador de usuario único. Se mantuvo para admitir solicitudes de cierre de sesión del proveedor de identidad. |
Requerido |
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Dirección de correo electrónico del usuario. Se utiliza para hacer coincidir con una cuenta JESI habilitada. |
Requerido |
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Nombre de pila del usuario. Se utilizará en el futuro para el aprovisionamiento Justo a Tiempo. |
Requerido |
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Apellido del Usuario. Se utilizará en el futuro para el aprovisionamiento Justo a Tiempo. |
Requerido |
|
http://jesi.io/sso/saml/2021/01/identity/claims/title |
Título del puesto del usuario. Se utilizará en el futuro para el aprovisionamiento Justo a Tiempo. El usuario solicitará que complete los valores faltantes antes de aprovisionar la cuenta. |
Opcional |
|
http://jesi.io/sso/saml/2021/01/identity/claims/mobilenumber |
Título del puesto del usuario. Se utilizará en el futuro para el aprovisionamiento Justo a Tiempo. El usuario solicitará que complete los valores faltantes antes de aprovisionar la cuenta. |
Opcional |
Nota: La reclamación del número de móvil se utilizará en el futuro para mejorar el aprovisionamiento de cuentas justo a tiempo.