Puede configurar el método de autenticación SAML para autenticar a los usuarios con acceso de administrador a la interfaz de usuario del administrador. Esto delega la autenticación y la autorización a un proveedor de identidades (IdP) SAML 2.0 externo. El administrador de Unified Access Gateway actúa como proveedor de servicios (SP) de SAML. Cuando un usuario accede a la interfaz de usuario del administrador de Unified Access Gateway con https://<<uag-fqdn>>:9443/admin, se le redirige al IdP externo, donde se le solicita que introduzca sus credenciales. Si se autentica y autoriza correctamente, se le redirecciona de nuevo a Unified Access Gateway y se inicia sesión automáticamente.

Se debe crear una aplicación SAML en el IdP específicamente para el administrador de Unified Access Gateway. Los metadatos SAML exportados desde esta aplicación de IdP se utilizan para configurar la confianza de SAML en Unified Access Gateway. Se trata de una integración de SAML completamente federada, por lo que no es necesario agregar usuarios administradores por separado a Unified Access Gateway.

Nota: A partir de Unified Access Gateway 2209, un usuario con la función de supervisión (administrador con pocos privilegios) puede acceder a las API mediante autenticación básica cuando la función de autenticación SAML de administrador está habilitada. Cuando la autenticación SAML para el administrador está habilitada, el administrador predeterminado (con la función de ADMINISTRACIÓN y las credenciales básicas) se deshabilita automáticamente. Aunque la autenticación SAML para el administrador esté deshabilitada, el administrador predeterminado se habilita automáticamente. Si el administrador está configurado con autenticación SAML, asegúrese de desactivar la opción de Contraseña previa al inicio de sesión para el usuario de SUPERVISIÓN.

La aplicación SAML de IdP se puede asignar a usuarios o grupos de usuarios específicos para conceder acceso de administrador, y el nombre de usuario del administrador autorizado se recibe en el campo de NameID de aserción de SAML firmado. Si el IdP cifra las aserciones SAML, Unified Access Gateway debe configurarse con un certificado de cifrado al cargar los metadatos del proveedor de identidad. IdP utiliza la clave pública de este certificado para cifrar la aserción. La solicitud AuthNRequest generada por Unified Access Gateway se firma con un certificado TLS público.

  1. En la sección de configuración manual de la interfaz de usuario del administrador, haga clic en Seleccionar.
  2. En Configuración avanzada, seleccione el icono de engranaje de configuración de la cuenta.
  3. En la ventana Configuración de la cuenta, haga clic en Configuración de inicio de sesión de SAML y complete los ajustes
    1. Active la opción Habilitar autenticación SAML para habilitar la opción.
    2. Seleccione el Proveedor de identidades en el menú desplegable.
      Nota:
      • El proveedor de identidades está disponible para su selección en el menú desplegable si se cargó previamente el archivo de metadatos del proveedor de identidades.
      • Utilice los siguientes ajustes para la configuración de SAML en la consola de administración del proveedor de identidades.
        Opción Descripción
        URL de inicio de sesión único Introduzca la URL del servicio del consumidor de aserción como

        https://<<uag-fqdn>>:9443/login/saml2/sso/admin

        URI de los destinatarios (identificador de entidad del SP) Introduzca la URL de los destinatarios como

        https://<<uag-fqdn>>:9443/admin

        Emisor del SP Si es necesario, introduzca el emisor del SP como

        https://<<uag-fqdn>>:9443/admin

      Para obtener información sobre cómo configurar el proveedor de identidades y cargar el archivo de metadatos del proveedor de identidades en UAG, consulte Configurar el proveedor de identidades con información de Unified Access Gateway y Cargar metadatos SAML del proveedor de identidades en Unified Access Gateway.

  4. Active la opción Firmar con certificado de administrador para firmar la solicitud de autenticación SAML mediante el certificado TLS. Si se desactiva, la solicitud de autenticación SAML se firma mediante un certificado TLS en contacto con Internet.
  5. (Opcional) Introduzca el Identificador de entidad de SP estática si hay varias Unified Access Gateways para configurar con SAML de administración. Esta opción es útil cuando hay varias instancias de Unified Access Gateway que se deben configurar con SAML de administración porque elimina la necesidad de crear una aplicación SAML individual en IdP para cada Unified Access Gateway.
    1. Cree una aplicación SAML en IdP con un identificador de entidad estática.
    2. Configure la aplicación SAML para comprobar la firma de solicitud de autenticación SAML entrante. Cuando la verificación de la solicitud se realiza correctamente, IdP envía la respuesta de aserción de SAML a la URL del consumidor de aserciones de la solicitud de autenticación SAML.
    3. Configure cada Unified Access Gateway con el mismo identificador de entidad estática.
    Nota: Cuando no se introduce ningún Identificador de entidad de SP estática, el valor de Emisor en la solicitud de autenticación SAML que se origina de UAG se utiliza de forma predeterminada en la URL del portal de administración. Por ejemplo, https://<uagip>:9443/portal. Sin embargo, cuando se proporciona el Identificador de entidad de SP estática, el valor de Emisor es el identificador de entidad estática.
  6. Haga clic en Guardar.

    Se aplican los cambios de autenticación y el usuario administrador cierra sesión automáticamente en la interfaz de usuario del administrador. En el siguiente inicio de sesión, Unified Access Gateway redirige la solicitud de inicio de sesión del administrador al proveedor de identidades y, si la autenticación se realiza correctamente, el proveedor de identidades proporciona acceso al administrador.

    Nota: Para revertir las opciones de configuración de administrador y restaurar la autenticación con contraseña predeterminada, utilice el comando adminreset. Si desea obtener más información, consulte Recuperar el administrador mediante el comando adminreset.