Para configurar los métodos de autenticación SAML y SAML y Pass-Through en Horizon, debe cargar el archivo XML de metadatos del certificado SAML del proveedor de identidades en UAG (Unified Access Gateway). La carga permite que UAG confíe en el proveedor de identidades comprobando la firma de una aserción mediante la clave pública del proveedor de identidades.
Requisitos previos
Debe haber descargado el archivo XML de metadatos SAML del proveedor de identidades y haber guardado este archivo en un equipo al que pueda acceder.
Procedimiento
- En la sección Configurar manualmente de la consola administrativa de UAG, haga clic en Seleccionar.
- En la sección , seleccione el icono de rueda dentada Cargar metadatos del proveedor de identidades.
- Introduzca el ID de identidad del proveedor de identidades en el cuadro de texto ID de entidad.
Si no introduce un valor en el cuadro de texto ID de entidad, el nombre del proveedor de identidades en el archivo de metadatos se analizará y se utilizará como ID de identidad del proveedor de identidades.
- En la sección Metadatos del IDP, haga clic en Seleccionar y desplácese hasta la ubicación en la que haya guardado el archivo de metadatos.
- Seleccione PEM como tipo de formato del certificado en el menú desplegable Tipo de certificado de cifrado.
Nota: Debe seleccionar PEM si desea utilizar una aserción cifrada para validar la autenticación SAML. El cifrado y descifrado de la aserción requiere una combinación de una clave pública y una privada. El proveedor de identidades cifra la aserción con una clave pública que solo UAG puede descifrar con una combinación de clave pública y privada, lo que garantiza una seguridad mejorada.
- Para la clave Clave privada, haga clic en Seleccionar y desplácese hasta la ubicación en la que guardó la clave privada para el certificado en formato PEM.
- Para la Cadena de certificados, haga clic en Seleccionar y desplácese hasta la ubicación en la que guardó la cadena de certificados en formato PEM.
- Para habilitar la opción Permitir aserciones SAML sin cifrar, active la opción. Si la opción está desactivada; no se permiten aserciones sin cifrar durante la autenticación SAML.
- Para habilitar la función Forzar siempre la autenticación SAML, active la opción. Cuando la opción está activada, siempre obliga a presentar la página de autenticación SAML al usuario cuando se utiliza este proveedor de identidades, siempre que el IDP también esté configurado para forzar la autenticación SAML.
Nota: Cuando se habilita la función
Forzar siempre la autenticación SAML,
SAML ForceAuthn="true"
se establece como un atributo para AuthnRequest en el IdP. Se notifica al IdP que ignore cualquier contexto de seguridad anterior al autenticar al usuario.
- Haga clic en Guardar.
Se muestra el siguiente mensaje:
La configuración se guardó correctamente.
Qué hacer a continuación
Configure los ajustes de Horizon en UAG para seleccionar el método de autenticación y elegir el proveedor de identidades necesario.