Muchas organizaciones pueden servir como su proveedor de identidad para SAML.

En las siguientes secciones se describe cómo configurar los siguientes proveedores:

Independientemente del proveedor de identidad que utilice, debe hacer lo siguiente:

  1. Establezca el nombre del algoritmo Firma para SAML en SHA256withRSA.
  2. En su proveedor de identidad, configure las siguientes asignaciones de atributos (OneSpan Sign las usará para identificar al usuario que inicia sesión):
    3. Usuario Atributos
    correo electrónico

    Una de las siguientes opciones:

    • correo electrónico
    • direccióndecorreoelectrónico
    • correo
    nombre

    Una de las siguientes opciones:

    • nombre
    • nombredepila
    • cn
    apellido

    Una de las siguientes opciones:

    • apellido
    • patronímico
    • sn
    iddecuenta

    Una de las siguientes opciones:

    • cuenta
    • iddecuenta
    • Iddecuenta
    tipo

    Una de las siguientes opciones:

    • rol
    • tipo
    • tipodeusuario

Si desea configurar un proveedor de identidad solo para "destinatarios" (no miembros de una cuenta de OneSpan Sign), especifique solo el parámetro correo electrónico. No es necesario especificar un nombre o apellido.

Si necesita importar los metadatos requeridos a su almacén de claves, consulte Actualización de su certificado y metadatos SAML

Aprovisionamiento automático y subcuentas

Esta sección supone que las subcuentas están activadas en su cuenta. Si no es así, puedes ignorar esta sección.

OneSpan Sign tiene una configuración para cuentas individuales, llamada Sender Auto Provisioning. El autoaprovisionamiento se activa para una cuenta cuando el parámetro allowSenderCreation en el archivo saml.config tiene un valor definido de true. Esta función está activada de forma predeterminada.

Si esta función está activada, la primera vez que un remitente intente iniciar sesión a través del SSO, OneSpan Sign le creará una cuenta y le dará acceso a la interfaz de usuario para remitentes de OneSpan Sign.

Si esta función está desactivada, una organización debe agregar manualmente un remitente a una cuenta de OneSpan Sign antes de que pueda iniciar sesión a través del SSO.

Si las subcuentas se han habilitado en su cuenta, entonces las configuraciones de aprovisionamiento automático y el comportamiento cambian, dependiendo de su configuración específica. Específicamente, cuando un usuario se conecta a OneSpan Sign a través de un proveedor de identidad, ya es un usuario de OneSpan Sign o no lo es. Las siguientes secciones abordan estos dos casos:

No es un OneSpan Sign usuario

Cuando alguien que no es un usuario de OneSpan Sign se conecta a OneSpan Sign a través de un proveedor de identidad o bien se ha activado el aprovisionamiento automático para ellos o no. Las siguientes secciones describen estos dos casos:

Aprovisionamiento automático activado

Si el aprovisionamiento automático está activado, cuando alguien que no es un usuario de OneSpan Sign se conecta a OneSpan Sign a través de un proveedor de identidades:

  • El usuario es redirigido al tablero.

  • El aprovisionamiento automático agrega automáticamente al usuario a una o más subcuentas, dependiendo de los atributos del usuario que se hayan configurado para ellos en uno de los siguientes dos procedimientos.

Para agregar un usuario a una sola subcuenta:

  • Debe configurar los siguientes atributos del usuario:
    • accountid=UID de la cuenta de la subcuenta a la que se agregará el usuario<>
    • role=<member o manager o owner>

Para agregar un usuario a varias subcuentas:

  • Debe configurar el atributo de usuario subaccounts con un formato JSON como el siguiente:

    • subaccounts = {"userType":"<user-type>", "phone":"<phone>", "subaccounts": [{"accountUid":"<UID1>", "roles":["role1", "role2",...]}, {"accountUid":"<UID2>", "roles":["role1", "role2",...]}, etc...]}

En este caso:

  • Los posibles valores de <user-type> son Regular o Manager.
  • Los valores posibles para un rol son member o manager o owner.

Aprovisionamiento automático desactivado

Cuando alguien que no es un usuario de OneSpan Sign se conecta a OneSpan Sign a través de un proveedor de identidad y el aprovisionamiento automático está desactivado para ellos (allowSenderCreation=false), aparece un mensaje de error que indica que el usuario no existe.

Este mensaje de error resalta la necesidad de que un usuario en esta situación tenga a alguien que: (1) active el aprovisionamiento automático para ellos; (2) realice uno de los procedimientos Aprovisionamiento automático activado para ellos.

Le recomendamos que especifique los atributos accountid y role en la configuración de su proveedor de identidad. Si no lo hace, el aprovisionamiento automático funcionará de la siguiente manera:

  • Si el Id. de entidad es compartido por varias cuentas, se devolverá un error de acceso no autorizado.

  • Si el Id. de entidad no es compartido por varias cuentas, el nuevo usuario debe agregarse, aprovisionarse automáticamente, a la cuenta OneSpan Sign que tiene la configuración SAML (esta configuración suele residir en la cuenta principal, Level 0). Después de haber aprovisionado automáticamente al nuevo usuario, debe asignarles un rol. Si no lo hace, el usuario no podrá crear ninguna transacción.

Ya es un OneSpan Sign usuario

Cuando alguien que no es un usuario de OneSpan Sign se conecta a OneSpan Sign a través de un proveedor de identidades:

  • Se redirigen automáticamente al tablero.

  • El sistema ignora el allowSenderCreation parámetro.

Active Directory Federation Services (ADFS) de Microsoft puede servir como proveedor de identidad SAML 2.0 para OneSpan Sign.

Para configurar ADFS para que sirva de proveedor de identidad SAML para OneSpan Sign:

  1. Inicie el ADFS 2.0 Management Console.
  2. Abra la carpeta Relaciones de confianza y haga clic con el botón derecho en Veracidades de usuarios de confianza.
  3. Seleccione Agregar veracidad del usuario de confianza y, luego, Iniciar.
  4. En el asistente Agregar veracidad del usuario de confianza, seleccione Importar datos sobre el usuario de confianza de un archivo.
  5. Importe los metadatos requeridos a su almacén de claves. Para descargarlo, consulte Actualización de su certificado y metadatos SAML.
  6. Complete el asistente según sea necesario, ingrese su Nombre para mostrar y las Reglas de autorización que desea usar.
  7. En la pestaña Avanzado, cambie el Algoritmo de hash seguro a SHA-256.

  8. Cree una nueva Regla de notificaciones para atributos LDAP con el siguiente formulario:

  9. Edite la regla para que su pantalla tenga el siguiente aspecto:

  10. Cree otra Regla de notificaciones para transformar una notificación entrante. Así, se agregará un correo electrónico al Asunto de la respuesta como IDdenombre.

  11. Esta regla de notificaciones hará referencia a la primera de ellas. Por esta razón, esta última debe seguir siendo la Regla 1.

OKTA puede servir como SAML Identity Provider para OneSpan Sign.

En el siguiente ejemplo se configura OKTA como el proveedor de identidad para una instancia de OneSpan Sign US Sandbox.

OKTA puede servir como SAML Identity Provider para OneSpan Sign:

  1. Navegue a https://www.okta.com/developer/signup/ y cree una organización gratuita de Developer Edition de OKTA.
  2. Inicie sesión en la Consola de administrador y haga clic en Agregar aplicaciones.
  3. Haga clic en Crear nueva aplicación y seleccione SAML 2.0 como método de inicio de sesión.
  4. En la sección Configuración general, ingrese un nombre de aplicación. A continuación, haga clic en Siguiente.
  5. En la sección Configurar SAML, pegue la siguiente URL en los campos de URL de inicio de sesión único:

    6. https://sandbox.e-signlive.com/sso/saml/SSO/alias/e-signlive

Mantenga la URL del destinatario y la URL de destino iguales.

  1. En el campo Restricción del público, ingrese el ID de la entidad SP. Por ejemplo: urn:saml:sso:sandbox:e-signlive:com
  2. Para el valor del estado del relé predeterminado, ingrese https://sandbox.e-signlive.com/packages/inbox
  3. Haga clic en Mostrar configuración avanzada y ajuste la configuración de la siguiente tabla:
    4. CONFIGURACIÓN VALOR

    Formato de ID de nombre

    DirecciónDeCorreoElectrónico

    Respuesta

    Firmado

    Firma de aserción

    Sin firmar

    Algoritmo de firma

    RSA_SHA256

    Algoritmo implícito

    SHA256

    Cifrado de aserción

    Sin cifrar

    Cierre de sesión único SAML

    Desactivado

    authContextClassRef

    Sin especificar

    Respetar Forzar autenticación

    No

    ID del emisor SAML

    http://www.okta.com/${org.externalKey}
  1. En la sección Declaraciones de atributos, agregue las siguientes tres declaraciones de atributos y, a continuación, haga clic en Siguiente:
    2. Nombre Formato de nombre Valor
    correo electrónico Referencia de URI user.email
    nombre Referencia de URI user.FirstName
    apellido Referencia de URI user.lastName
  2. En la sección Comentarios, seleccione Esta es una aplicación interna que hemos creado. A continuación, haga clic en Finalizar.

    Ahora verá la sección Iniciar sesión de su Aplicación SAML de ejemplo recién creada. Mantenga esta página abierta en una pestaña o ventana distinta del navegador. Necesitará su vínculo de metadatos del proveedor de identidad cuando realice el procedimiento Configurar SAML en su cuenta de eSignLive.

    3. Para copiar el vínculo de metadatos del proveedor de identidad, haga clic con el botón derecho y seleccione Copiar.

  3. Haga clic con el botón derecho en la sección Personas del nombre de su aplicación y seleccione Abrir vínculo en una pestaña nueva (para que pueda volver a la sección Iniciar sesión más adelante).
  4. En la nueva pestaña que se abre, haga clic en el botón Asignar aplicación.
  5. Aparece un cuadro de diálogo llamado Asignar nombre de la aplicación a un máximo de 500 personas. Escriba su nombre de usuario en el cuadro de búsqueda y seleccione la casilla de verificación junto a su nombre de usuario. A continuación, haga clic en Siguiente.
  6. Se le pedirá que introduzca los atributos específicos del usuario. Haga clic en Confirmar asignaciones para mantener los valores predeterminados.

    Ya tiene todo listo para realizar el procedimiento Configurar SAML en su cuenta de eSignLive. Necesitará el vínculo de metadatos del proveedor de identidad del paso 10.

Azure AD puede servir como SAML Identity Provider para OneSpan Sign. Para obtener más información al respecto, consulte la documentación de Microsoft Azure.

Para configurar Azure para que funcione con OneSpan Sign, debe realizar los siguientes procedimientos:

  1. Satisfacer los requisitos previos
  2. Agregar OneSpan Sign como aplicación a Azure AD
  3. Configurar los ajustes básicos de SAML
  4. Configurar atributos y notificaciones del usuario
  5. Configurar usuarios y permisos
  6. Probar el SSO iniciado por el SP

Requisitos previos

Para comenzar, necesita los siguientes elementos:

  • Una suscripción a Azure AD
  • Una cuenta de OneSpan Sign, ya sea de espacio aislado o de producción.
  • Los metadatos SAML que se aplican a su instancia de OneSpan Sign (por ejemplo, sandbox.esignlive.com)
  • Si tiene previsto utilizar el SSO iniciado por el SP, debe descargar el archivo XML de metadatos de federación.

Para descargar el archivo XML de metadatos de federación:

  1. Inicie sesión en el portal de Azure como administrador de aplicaciones en la nube o como administrador de aplicaciones para su inquilino de Azure AD.
  2. Haga clic en Azure Active Directory.
  3. En Active Directory, haga clic en Aplicación empresarial y, a continuación, en Todas las aplicaciones.
  4. Busque la sección Administrar y seleccione Inicio de sesión único.
  5. Seleccione SAML.
  6. En la página Configurar inicio de sesión único con SAML, vaya a la sección Certificado de firma SAML.
  7. Haga clic en el vínculo Descargar metadatos de federación.
  8. Contacte con nuestro Equipo de asistencia para que podamos completar las configuraciones necesarias por nuestra parte.

Agregar OneSpan Sign como aplicación a Azure AD

El primer paso para configurar Azure como proveedor de SAML para OneSpan Sign es agregar OneSpan Sign al portal de aplicaciones de Azure AD.

Para agregar OneSpan Sign al portal de Azure AD:

  1. Inicie sesión en el portal de Azure como administrador de aplicaciones en la nube o como administrador de aplicaciones para su inquilino de Azure AD.
  2. Haga clic en Azure Active Directory.
  3. Seleccione Aplicaciones empresariales y, a continuación, haga clic en Todas las aplicaciones.
  4. Haga clic en Nueva aplicación y, a continuación, elija Aplicación situada fuera de la galería.
  5. Ingrese un nombre para su aplicación (por ejemplo, OSS) y, luego, haga clic en Agregar.

Configurar los ajustes básicos de SAML

Ahora que agregó la aplicación, necesita realizar algunas configuraciones básicas de SAML.

Los ajustes que debe configurar variarán según su instancia de OneSpan Sign y de si configurará el SSO para que lo inicie IDP o lo inicie SP.

Para configurar los ajustes de SAML:

  1. Inicie sesión en el portal de Azure como administrador de aplicaciones en la nube o como administrador de aplicaciones para su inquilino de Azure AD.
  2. Haga clic en Azure Active Directory.
  3. En Active Directory, haga clic en Aplicación empresarial y, a continuación, elija la aplicación que acaba de agregar (por ejemplo, OSS).
  4. Busque la sección Administrar y, luego, seleccione Inicio de sesión único.
  5. Seleccione SAML.
  6. En la página Configurar inicio de sesión único con SAML, haga clic en el ícono de edición en la sección Configuración básica de SAML.
  7. Ingrese la siguiente información:
    • Identificador (ID de entidad): El ID de entidad se puede copiar desde los metadatos SAML que descargó anteriormente. Para encontrar el ID de entidad, abra el archivo de metadatos con un editor de texto, como el Bloc de notas, y busque ID de entidad. Una vez encontrado, copie y pegue la entrada en este campo.
    • URL de respuesta: La URL de respuesta es la URL del servicio SSO. Por ejemplo: https://<your instance>/sso/saml/SSO/alias/e-signlive
    • URL de inicio de sesión: Este campo es necesario solo si va a utilizar SSO iniciado por SP. Si está utilizando SSO iniciado por IDP, deje este campo en blanco. Si va a utilizar SSO iniciado por SP, ingrese lo siguiente: https://<server:port>/sso/saml/login/alias/e-signlive?idp=<EntityId of an IdP>,
      ,donde:
      • <server:port> es el puerto de servidor que utiliza su instancia de OneSpan Sign. Por ejemplo: https://sandbox.esignlive.com

      • <EntityId of an IdP> es el ID de entidad que se encuentra en el archivo XML de metadatos de federación que descargó anteriormente. Para encontrar el ID de entidad, abra el archivo de metadatos con un editor de texto, como el Bloc de notas, y busque ID de entidad. Una vez encontrado, copie y pegue la entrada en esta sección de la URL.

  8. Si está utilizando SSO iniciado por SP, contacte con nuestro Equipo de asistencia para que podamos completar las configuraciones que se necesitan por nuestra parte.

La siguiente tabla contiene más información sobre los ajustes de configuración de SAML:

Ajustes de configuración de SAML Iniciado por SP Iniciado por IDP Descripción

Identificador (ID de entidad)

Obligatorio en algunas aplicaciones

Obligatorio en algunas aplicaciones

Identifica de forma única la aplicación. Azure AD envía el identificador a la aplicación como el parámetro Público del token SAML. Se espera que la aplicación lo valide. Este valor también aparece como el ID de entidad en cualesquier metadatos SAML proporcionados por la aplicación. Encontrará este valor como el elemento Emisor en la AuthnRequest (solicitud SAML) enviada por la aplicación.

URL de respuesta

Opcional

Obligatorio

Especifica dónde espera la aplicación recibir el token SAML. La URL de respuesta también se denomina URL del Servicio de consumidor de aserciones (ACS). Puede usar los campos de URL de respuesta adicionales para especificar varias URL de respuesta. Por ejemplo: (1) es posible que necesite varias URL de respuesta adicionales para varios subdominios; (2) con fines de prueba, puede especificar simultáneamente varias URL de respuesta (URL de host local y públicas).

URL de inicio de sesión

Obligatorio

No se especifica

Cuando un usuario abre esta URL, el proveedor de servicios redirige a Azure AD para autenticar al usuario e iniciar sesión. Azure AD utiliza la URL para iniciar la aplicación desde Office 365 o el Panel de acceso de Azure AD. Cuando está en blanco, Azure AD realiza el inicio de sesión iniciado por IDP si un usuario inicia la aplicación desde Office 365, el Panel de acceso de Azure AD o la URL de SSO de Azure AD.

Estado del relé

Opcional

Opcional

Especifica a la aplicación donde redirigir al usuario después de que se complete la autenticación. Por lo general, el valor es una URL válida para la aplicación. Sin embargo, algunas aplicaciones utilizan este campo de manera diferente. Para más información, pregunte al proveedor de la aplicación.

URL de cierre de sesión

Opcional

Opcional

Se utiliza para enviar las respuestas de cierre de sesión SAML de nuevo a la aplicación.

Una vez completada, la Configuración básica de SAML debería ser algo así, con los valores de cada campo representando los valores de su propio sitio. Por ejemplo, en la siguiente imagen debe reemplazar sandbox.esignlive.com con el nombre de dominio de su propia URL de servicio SSO:

Configurar atributos y notificaciones del usuario

Una vez configurada la Configuración básica de SAML, puede comenzar a crear asociaciones entre un usuario y sus atributos.

Para configurar atributos y notificaciones del usuario:

  1. Haga clic en Azure Active Directory.

  2. En Active Directory, haga clic en Aplicación empresarial y, a continuación, elija la aplicación que acaba de agregar (por ejemplo, OSS).
  3. En la página Configurar inicio de sesión único con SAML, haga clic en el ícono de edición en la sección Atributos del usuario.
  4. Elimine cualquier atributo existente que aparezca.
  5. Haga clic en Agregar nueva notificación.
  6. En el cuadro Nombre, escriba el nombre del atributo.
  7. Deje el campo Namespace en blanco.
  8. Agregue las siguientes notificaciones en el campo Atributo de origen, asignando el nombre de la notificación y los atributos de origen de la siguiente manera:
    Opciones de nombreAtributo de origen

    nombre

    		usuario.nombreasignado

    correo electrónico

    		usuario.correoelectronico

    apellido

    		usuario.apellido
  9. Haga clic en Guardar.

Aprovisionamiento automático

Si tiene el mismo SAML configurado en varias cuentas en la misma instancia, deberá agregar un atributo adicional para aprovisionar automáticamente a los nuevos remitentes a una cuenta específica. Si no lo hace, el aprovisionamiento automático fallará.

El nombre del atributo requerido es iddecuenta. Puede asignarse a cualquier atributo de Azure AD que tenga el identificador de usuario (UID) de la cuenta de destino (para obtener la lista de los UID de su cuenta, contacte con nuestro Equipo de asistencia).

  • accountid: Esta notificación se debe asignar a un atributo del directorio activo que contenga el IDdecuenta de la cuenta del propietario.

  • type: Esta notificación se debe asignar a un atributo del directorio activo que tenga un valor Habitual o de Gerente.

Configurar usuarios y permisos

Ahora que ha definido algunos atributos y notificaciones del usuario, puede empezar a asignar usuarios a la aplicación.

Para configurar los permisos de los usuarios:

  1. Haga clic en Azure Active Directory.

  2. En Active Directory, haga clic en Aplicación empresarial y, a continuación, elija la aplicación que acaba de agregar (por ejemplo, OSS).
  3. Haga clic en Usuarios y grupos.
  4. Haga clic en Agregar usuario.
  5. En la sección Agregar asignación, seleccione Usuarios y grupos.
  6. Seleccione el usuario o grupo que desea asignar para usar la aplicación.
  7. Haga clic en Seleccionar.

Probar el SSO iniciado por el SP

Ahora que ha terminado sus configuraciones, puede probar para ver que todo funciona.

Para probar el SSO iniciado por SP:

  1. Inicie sesión en el portal de Azure como administrador de aplicaciones en la nube o como administrador de aplicaciones para su inquilino de Azure AD.
  2. Haga clic en Azure Active Directory.
  3. En Active Directory, haga clic en Aplicación empresarial y, a continuación, elija la aplicación que acaba de agregar (por ejemplo, OSS).
  4. Busque la sección Administrar y, luego, seleccione Inicio de sesión único.
  5. En la sección Probar el inicio de sesión único, haga clic en Probar.
  6. Haga clic en Iniciar sesión como usuario actual.