Security Assertion Markup Language Inicio de sesión único (SSO)
Security Assertion Markup Language es un formato de datos abierto y basado en XML para intercambiar datos de autenticación y autorización entre diversas partes (por ejemplo, entre un proveedor de identidad y un proveedor de servicios). SAML normalmente se usa para el navegador web de Inicio de sesión único (SSO).
Cómo funciona SAML
El proveedor de identidad (IdP) se utiliza con fines de autenticación. Cuando el proveedor de identidad confirma la identidad del usuario, el proveedor de servicios de (SP) puede dar acceso al usuario a sus servicios. Como el proveedor de identidad ha habilitado SSO, el usuario puede acceder a varios sitios y aplicaciones de proveedores de servicios sin tener que iniciar sesión en cada sitio.
La especificación SAML define tres roles:
- Principal: Normalmente un usuario
- IdP: El proveedor de identidad
- SP: El proveedor de servicios
El rol principal solicita un servicio al SP, el cual solicita y obtiene una confirmación de identidad del servidor IdP. En virtud de dicha confirmación, el proveedor de servicios SP decide si debe proporcionar o no el servicio solicitado por el rol principal.
SAML en Qlik NPrinting
Qlik NPrinting admite SAML 2.0 si:
- Se implementa un servicio que pueda integrarse con proveedores de identidad externos.
- Admite HTTP Redirect Binding y HTTP POST Binding para las repuestas de SAML.
- Admite propiedades de SAML para el control de acceso de recursos y datos.
Limitaciones
- Qlik NPrinting no firma la solicitud de autenticación de SAML. Esto significa que los proveedores de identidad que requieran que se firme la solicitud de autenticación de SAML no son compatibles.
- El cifrado de respuesta de SAML no es compatible, por lo que Qlik NPrinting no lee los mensajes o atributos encriptados.
- Cierre de sesión único de SAML no es compatible.
Debe habilitar la autenticación de Windows para usar el complemento Qlik NPrinting On-Demand en el servidor Web de QlikView y Qlik Sense.
Si solo desea usar la autenticación JWT, entonces debe instalar el complemento Qlik NPrinting On-Demand en un QlikView Server configurado en un Servidor Web IIS de Microsoft.
Instalar el módulo On-Demand en un punto de acceso AccessPoint de QlikView alojado en IIS de Microsoft. (solo en inglés)
Configuraciones de Qlik NPrinting web console y NewsStand
Puesto que Qlik NPrinting web console y NewsStand tienen diferentes direcciones web, debe configurar dos conexiones de SAML diferentes para que ambas funcionen.
El proveedor de identidad inició SSO
Con SSO iniciado en el proveedor de identidad, el usuario inicia sesión directamente en el proveedor de identidad, el cual lleva a cabo la autenticación de SSO.
Cuando el flujo de autenticación comienza desde el proveedor de identidad, el usuario es redirigido al panel de control de Qlik NPrinting a Qlik NPrinting web console o a la página de inicio de NewsStand.
El proveedor de servicios inició SSO
Con SSO iniciado en el proveedor de servicios, el usuario comienza en el sitio del proveedor del servicio. En lugar de iniciar sesión en el sitio del proveedor de servicios, la autenticación de SSO se inicia con el proveedor de identidad. En este proceso de autenticación, Qlik NPrinting desempeña el papel de un proveedor de servicios. Según sea la configuración de SAML, la página de inicio de sesión de Qlik NPrinting muestra un botón para cada uno de sus proveedores de identidad. Cuando haga clic en un botón, se le redirigirá al sitio del proveedor de identidad para la autenticación. Si ya ha iniciado sesión, el proveedor de identidad lo dirige al panel de control de Qlik NPrinting.
Metadatos
El proveedor de servicios (Qlik NPrinting) necesita información de configuración de un proveedor de identidad. Esta información está disponible en un archivo de metadatos del proveedor de identidad, el cual se puede descargar y entregar al proveedor de servicios para una fácil configuración. Los metadatos del proveedor de identidad se cargan desde la página de configuración de Qlik NPrinting SAML.
No todos los proveedores de identidad admiten la descarga de archivos de metadatos. Si la descarga no es compatible, el archivo de metadatos puede crearse manualmente.
Qlik NPrinting proporciona al proveedor de identidad los metadatos del proveedor de servicios, los cuales se descargan desde la página con el listado de configuración de SAML. Los metadatos incluyen la información siguiente:
- URL del servicio de consumidor de aserciones (ACS)
- ID de entidad
Qlik NPrinting requiere la siguiente información en los metadatos del proveedor de identidad:
- Certificado
- ID de entidad
- Ubicación de redirección de HTTP