Saltar al contenido principal Saltar al contenido complementario

SAML para integración con proveedores de identidad

El lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto basado en XML para autenticación y autorización. Uno de los beneficios clave de SAML es que permite el inicio de sesión único (SSO) y, por lo tanto, minimiza la cantidad de veces que un usuario tiene que iniciar sesión en aplicaciones y sitios web en la nube.

Tres entidades participan en el proceso de autenticación:

  • El usuario inicia el acceso a una aplicación o servicio.

  • El proveedor de identidad (IdP) es el sistema fiable para la autenticación de usuarios, por ejemplo, Microsoft Entra ID u Okta.

  • El proveedor de servicios (SP) es la aplicación o servicio en el que el usuario desea iniciar sesión, por ejemplo Qlik Cloud.

El proveedor de identidad autentica al usuario y afirma la identidad del usuario al proveedor de servicios. Esto se hace mediante el intercambio de documentos XML firmados digitalmente conocidos como aserciones SAML. Estas aserciones o afirmaciones contienen información sobre el usuario, su estado de autenticación y atributos potencialmente adicionales. El proveedor de servicios puede entonces dar al usuario acceso a sus servicios. Con SSO habilitado en el proveedor de identidad, el usuario puede acceder a varios sitios y aplicaciones de proveedores de servicios sin tener que iniciar sesión en cada sitio.

Nota de Qlik Cloud GovernmentEl IDP basado en SAML no es compatible con Qlik Cloud Government.

SSO iniciado por SP e IdP

SAML admite flujos de inicio de sesión iniciados por el proveedor de servicios (SP) o el proveedor de identidad (IdP).

Con el SSO iniciado por el SP, el usuario comienza en el sitio del proveedor de servicios, pero en lugar de iniciar sesión en el sitio, la autenticación SSO se inicia con el proveedor de identidad. Por ejemplo, cuando un usuario inicia sesión en el proveedor de servicios de Qlik Cloud, el inicio de sesión se transfiere al proveedor de identidad, que maneja la autenticación SSO real.

Con el SSO iniciado por el IdP, el usuario inicia sesión directamente en el proveedor de identidad y selecciona la aplicación, que inicia la autenticación SSO para el proveedor de servicios.

Aserciones

Las aserciones son sentencias o instrucciones en XML que contienen información de autenticación y autorización en un formato estandarizado. Son generadas por el proveedor de identidad y verificadas por el proveedor de servicios.

Al integrarse con proveedores de identidad, es posible que necesite configurar su aplicación para intercambiar afirmaciones SAML de forma segura. Esto implica establecer relaciones de confianza, URL de terminales e intercambio de certificados.

Notificaciones

Las notificaciones son piezas de información sobre un usuario que el proveedor de identidad afirma y envía al proveedor de servicios durante el proceso de autenticación. SAML define un conjunto de notificaciones estándar, incluidos atributos de usuario como nombre y correo electrónico. Puede modificar la asignación de notificaciones según los requisitos de su aplicación.

Metadatos

El intercambio de metadatos entre el proveedor de identidad (IdP) y el proveedor de servicios (SP) es esencial para establecer una relación de confianza y garantizar el correcto funcionamiento del protocolo SAML.

Metadatos del IdP

La configuración del proveedor de servicios requiere metadatos sobre el proveedor de identidad. En Qlik Cloud, puede cargar esta información como archivos de metadatos XML IdP a través del centro de actividades Administración.

Los metadatos del proveedor de identidad incluyen los siguientes detalles:

  • El ID de entidad del proveedor de identidad.

  • La URL de inicio de sesión único (SSO). Este es el punto de conexión donde el proveedor de servicios envía las solicitudes de autenticación SAML al proveedor de identidad. Es la URL a la que se redirige al usuario para su autenticación.

  • El certificado de firma utilizado por el proveedor de identidad para firmar las aserciones SAML que envía al proveedor de servicios.

Metadatos del SP

Para establecer la configuración en el lado del proveedor de identidad, necesita metadatos del proveedor de servicios. Puede obtener esta información en el centro de actividades Administración en Qlik Cloud.

Los metadatos del proveedor de servicios incluyen los siguientes detalles:

  • El ID de entidad del proveedor de servicios.

  • La URL del Servicio de Consumidores de Aserciones (ACS). Aquí es donde el proveedor de identidad envía las aserciones SAML después de la autenticación.

  • El certificado de firma utilizado por el proveedor de servicios para firmar las solicitudes de autenticación que envía al proveedor de identidad.

Más información

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.