Security Assertion Markup Language (SAML) single sign-on (SSO)

Security Assertion Markup Language (SAML) es un formato de datos abierto y basado en XML para intercambiar datos de autenticación y autorización entre diversas partes (por ejemplo, entre un proveedor de identidad y un proveedor de servicios). SAML normalmente se usa para el navegador web de single sign-on (SSO).

Cómo funciona SAML

El proveedor de identidad (IdP) se utiliza con fines de autenticación. Cuando el proveedor de identidad confirma la identidad del usuario, el proveedor de servicios de (SP) puede dar acceso al usuario a sus servicios. Como el proveedor de identidad ha habilitado SSO, el usuario puede acceder a varios sitios y aplicaciones de proveedores de servicios sin tener que iniciar sesión en cada sitio.

La especificación SAML define tres roles:

  • Principal: Normalmente un usuario
  • IdP: El proveedor de identidad
  • SP: El proveedor de servicios

El rol principal solicita un servicio al SP, el cual solicita y obtiene una confirmación de identidad del servidor IdP. En virtud de dicha confirmación, el proveedor de servicios SP decide si debe proporcionar o no el servicio solicitado por el rol principal.

SAML en Qlik NPrinting

Qlik NPrinting admite SAML V2.0 si:

  • Se implementa un servicio que pueda integrarse con proveedores de identidad externos.
  • Admite HTTP Redirect Binding y HTTP POST Binding para las repuestas de SAML.
  • Admite propiedades de SAML para el control de acceso de recursos y datos.

Limitaciones:

  • Qlik NPrinting no firma la solicitud de autenticación de SAML. Esto significa que los proveedores de identidad que requieran que se firme la solicitud de autenticación de SAML no son compatibles.
  • El cifrado de respuesta de SAML no es compatible, por lo que Qlik NPrinting no lee los mensajes o atributos encriptados.
  • SAML single logout no es compatible.
Nota:

Debe habilitar la autenticación de Windows para usar el complemento Qlik NPrinting On-Demand en el servidor web de QlikView.

Si solo desea usar la autenticación SAML, entonces debe instalar el complemento Qlik NPrinting On-Demand en un QlikView Server configurado en un Servidor Web IIS de Microsoft.

Instalar Qlik NPrinting On-Demand en un AccessPoint de QlikView alojado en Microsoft IIS

Configuraciones de Qlik NPrinting web console y NewsStand

Puesto que Qlik NPrinting web console y NewsStand tienen diferentes direcciones web, debe configurar dos conexiones de SAML diferentes para que ambas funcionen.

El proveedor de identidad inició SSO

Con SSO iniciado en el proveedor de identidad, el usuario inicia sesión directamente en el proveedor de identidad, el cual lleva a cabo la autenticación de SSO.

Cuando el flujo de autenticación comienza desde el proveedor de identidad, el usuario es redirigido al panel de control de Qlik NPrinting a Qlik NPrinting web console o a la página de inicio de NewsStand.

El proveedor de servicios inició SSO

Con SSO iniciado en el proveedor de servicios, el usuario comienza en el sitio del proveedor del servicio. En lugar de iniciar sesión en el sitio del proveedor de servicios, la autenticación de SSO se inicia con el proveedor de identidad. En este proceso de autenticación, Qlik NPrinting desempeña el papel de un proveedor de servicios. Según sea la configuración de SAML, la página de inicio de sesión de Qlik NPrinting muestra un botón para cada uno de sus proveedores de identidad. Cuando haga clic en un botón, se le redirigirá al sitio del proveedor de identidad para la autenticación. Si ya ha iniciado sesión, el proveedor de identidad lo dirige al panel de control de Qlik NPrinting.

Metadatos

El proveedor de servicios (Qlik NPrinting) necesita información de configuración de un proveedor de identidad. Esta información está disponible en un archivo de metadatos del proveedor de identidad, el cual se puede descargar y entregar al proveedor de servicios para una fácil configuración. Los metadatos del proveedor de identidad se cargan desde la página de configuración de Qlik NPrinting SAML.

No todos los proveedores de identidad admiten la descarga de archivos de metadatos. Si la descarga no es compatible, el archivo de metadatos puede crearse manualmente.

Qlik NPrinting proporciona al proveedor de identidad los metadatos del proveedor de servicios, los cuales se descargan desde la página con el listado de configuración de SAML. Los metadatos incluyen la información siguiente:

  • URL del servicio de consumidor de aserciones (ACS)
  • ID de entidad

Qlik NPrinting requiere la siguiente información en los metadatos del proveedor de identidad:

  • Certificado
  • ID de entidad
  • Ubicación de redirección de HTTP