Activar las conexiones Active Directory Federation Services (AD FS) SSO con su cuenta OVHcloud
Cómo asociar el servicio Active Directory Federation Services (AD FS) a su cuenta de OVHcloud a través de SAML 2.0
Esta traducción ha sido generada de forma automática por nuestro partner SYSTRAN. En algunos casos puede contener términos imprecisos, como en las etiquetas de los botones o los detalles técnicos. En caso de duda, le recomendamos que consulte la versión inglesa o francesa de la guía. Si quiere ayudarnos a mejorar esta traducción, por favor, utilice el botón "Contribuir" de esta página.
Última actualización: 13/10/2022
Objetivo
Puede utilizar la autenticación SSO (Single Sign-On) única para conectarse a su cuenta de OVHcloud. Para activar estas conexiones, su cuenta y sus servicios AD FS (Active Directory Federation Services) deben configurarse mediante autenticación SAML (Security Assertion Markup Language).
Esta guía explica cómo asociar una cuenta de OVHcloud a un Active Directory externo.
Requisitos
- Los servicios AD FS (Active Directory Federation Services) deben ejecutarse en su servidor
- Disponer de una cuenta de OVHcloud
- Haber iniciado sesión en el área de cliente de OVHcloud.
Procedimiento
Para que un proveedor de servicios (es decir, su cuenta de OVHcloud) pueda establecer una conexión SSO con un proveedor de identidad (es decir, su servicio AD FS), lo esencial es establecer una relación de confianza mutua.
Creación de confianza AD FS
Su AD FS actúa como proveedor de identidad. Las solicitudes de autenticación de su cuenta de OVHcloud solo se aceptarán si primero lo ha declarado como un organismo tercero de confianza.
En el contexto Active Directory, significa que debe añadirse como Relying Party Trust.
En el Gestor de servidores, abra el menú Tools y seleccione AD FS Management.
Haga clic en Relying Party Trusts.
Haga clic en Add Relying Party Trust....
Seleccione Claims aware y acepte con el botón Start.
Puede introducir manualmente la información sobre el organismo tercero de confianza o importarla desde un archivo de metadatos.
Importar los metadatos de OVHcloud SP
Puede obtener el archivo de metadatos adecuado a través de los siguientes enlaces:
Seleccione Import data about the relying party from a file y seleccione su archivo de metadatos.
Haga clic en el botón Next .
Escriba un nombre para mostrar el organismo tercero de confianza y haga clic en el botón Next.
Haga clic en Next en la ventana de control de acceso.
Haga clic de nuevo en Next para continuar.
Haga clic en el botón Close en la última ventana. La aprobación de OVHcloud como organismo tercero de confianza se ha añadido a su AD FS.
Con OVHcloud añadido como organismo tercero de confianza, ya debería poder conectarse a través de una conexión SSO. Sin embargo, toda la información sobre la identidad del usuario (en términos de "afirmación" SAML) no estará disponible hasta que configure una estrategia para que los campos LDAP Active Directory se ajusten a los atributos de la declaración SAML.
Atributos LDAP coincidentes a atributos SAML
Haga clic en el registro de OVHcloud en la sección "Relying Party Trusts".
Haga clic en Edit Claim Issuance Policy....
Haga clic en el botón Add Rule....
Haga clic en Next.
Introduzca un nombre de regla y establezca la tabla de correspondencias.
Seleccione Active Directory como Atribute store.
Los siguientes parámetros se pueden configurar libremente para que el proveedor de servicios pueda leer correctamente los datos LDAP Active Directory. Puede consultar la siguiente imagen, por ejemplo.
Haga clic en el botón Finish.
Haga clic en el botón Apply y acepte con OK.
Una vez completada la tabla de correspondencias, el servicio AD FS confía en OVHcloud como proveedor de servicios. El siguiente paso es comprobar que la cuenta de OVHcloud confíe en su AD FS como proveedor de identidad.
Configurar la confianza de la cuenta de OVHcloud y configurar la conexión
El AD FS se añadirá como proveedor de identidad de confianza al área de cliente de OVHcloud, donde podrá proporcionar los metadatos del proveedor de identidad.
Conéctese y haga clic en su perfil en la parte superior derecha.
Haga clic en su nombre para acceder a la página de gestión de su perfil.
Abra la pestaña Gestión de usuarios.
Haga clic en el botón SSO connection.
Introduzca los metadatos XML del servicio AD FS. En este caso, el campo Nombre de atributo de grupo es opcional. Haga clic en Confirmar.
Ahora debe encontrar el AD FS como proveedor de identidad, así como los grupos por defecto.
Para más información, haga clic en el enlace situado bajo la URL del servicio SSO.
El botón ... permite actualizar o eliminar el SSO y consultar los detalles.
Su AD FS se considera ahora proveedor de identidad de confianza. No obstante, debe añadir grupos a su cuenta de OVHcloud.
Si intenta conectarse por SSO, es probable que aparezca un mensaje de error Not in valid groups.
Su cuenta de OVHcloud verifica si el usuario se autentifica pertenece a un grupo existente en la cuenta.
Para solucionarlo, compruebe que la información relativa al atributo "Group" devuelto por el servicio AD FS es correcta.
Considere el de un usuario "John Doe" de su Active Directory, como se muestra en la siguiente imagen.
Compruebe la tabla de correspondencias en AD FS :
En este ejemplo, el atributo "Group" devuelto por el Active Directory para el usuario "John Doe" es "title" Esto corresponde al "job title" que es manager@<my-domain>.com.
También puede comprobarlo en la declaración SAML:
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">
<AttributeValue>manager@<my-domain>.com</AttributeValue>
</Attribute>
...
</AttributeStatement>
Esto significa que debe añadir el grupo manager@<my-domain>.com a su cuenta de OVHcloud asignándole un papel. En caso contrario, su cuenta de OVHcloud no sabe lo que el usuario está autorizado a hacer.
Para añadirlo, haga clic en el botón Declarar un grupo e introduzca los siguientes campos:
A continuación, compruebe que el grupo se ha añadido a su cuenta de OVHcloud en la sección Grupos :
Una vez que se conecte posteriormente con el usuario Active Directory "John Doe", su cuenta de OVHcloud reconocerá que el usuario tiene el rol "REGULAR", especificado por su grupo.
A continuación, podrá desconectarse de su cuenta y reconectarse con su AD FS como proveedor de identidad.
Conexión mediante SSO
En la página de identificación de OVHcloud, introduzca su ID de cliente seguido de /idp sin contraseña y haga clic en el botón Login .
A continuación, será redirigido a la página de conexión AD FS. Introduzca un login/password de un usuario de su Active Directory LDAP y haga clic en el botón Sign in.
Ahora está conectado con el mismo ID de cliente, pero a través de su usuario Active Directory y con su SSO AD FS.
Más información
Proteger mi cuenta de OVHcloud y gestionar mis datos personales
Definición y gestión de la contraseña de su cuenta
Proteger su cuenta de OVHcloud con la doble autenticación
Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.
Did you find this guide useful?
Please feel free to give any suggestions in order to improve this documentation.
Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.
Your support requests will not be processed via this form. To do this, please use the "Create a ticket" .
Thank you. Your feedback has been received.