Configuración de inicio de sesión único SAML – Okta

Descripción general de MyWorkDrive SAML

El lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto para el intercambio de datos de autenticación y autorización entre partes, específicamente, entre un proveedor de identidad y un proveedor de servicios. Como su nombre lo indica, SAML es un lenguaje de marcado basado en XML para afirmaciones de seguridad (declaraciones que los proveedores de servicios usan para tomar decisiones de control de acceso).

MyWorkDrive Server 5.1 introdujo el inicio de sesión único (SSO) del administrador de archivos web basado en SAML además de ADFS (que se configura por separado). Para SAML, MyWorkDrive actúa como proveedor de servicios (SP) mientras que SSO actúa como proveedor de identidad (IdP).

Este documento proporciona una integración optimizada de MyWorkDrive con Okta Single Sign-On a partir de la versión 5.2. Para la versión 5.0 o para configurar manualmente SAML vea nuestro artículo detallado sobre la configuración de SAML aquí

Estas instrucciones también están disponibles en línea en el Directorio de aplicaciones Okta.

Configuración de inicio de sesión único de MyWorkDrive Okta

MyWorkDrive aparece como una aplicación empresarial aprobada en Okta. Simplemente busque "MyWorkDrive" en la búsqueda de aplicaciones al agregar la aplicación.

La única información que deberá proporcionar es su URL pública para comenzar la configuración.

Tenga en cuenta que nuestras instrucciones a continuación están optimizadas y, a partir de MyWorkDrive Server versión 5.2, simplemente podemos ingresar la URL de "URL de metadatos del proveedor de identidad" desde el portal de Okta para configurar automáticamente MyWorkDrive para el inicio de sesión único de Okta.

Requisitos previos de Okta SSO

• Servidor MyWorkDrive 5.2 o superior.
• Una cuenta Okta con privilegios de administrador.
• Asegúrese de que los usuarios tengan un sufijo upn aplicado para el nombre de dominio que coincida con el nombre de inicio de sesión de Okta, de modo que los usuarios puedan iniciar sesión en su servidor MyWorkDrive con su dirección de correo electrónico.
• Asegúrese de que el servidor MyWorkDrive sea de confianza para la delegación según nuestro Artículo de delegación
• Asegúrese de que su servidor MyWorkDrive sea accesible en Internet para el inicio de sesión del cliente (web, móvil, unidad de mapa). Habilite Cloud Web Connector o configure su propio certificado SSL público y nombre de host que apunte a su servidor MyWorkDrive a través del puerto 443 (SSL) Ver artículo de soporte.

Flujo de inicio de sesión

 

A continuación, se explica el flujo de inicio de sesión del usuario a MyWorkDrive desde un proveedor de identidad (IdP):

 

1. Se supone que todos los usuarios inician sesión en el ldP utilizando su sufijo UPN (por ejemplo, @yourdomain.com) y coincide con su UPN de nombre de usuario de Active Directory.
2. Su servidor MyWorkDrive utiliza su propio nombre de host y certificado SSL (*.MyWorkDrive.net no es compatible con SAML).
3. El usuario hace clic en la URL del servicio de consumidor de afirmación de MyWorkDrive (p. ej., https://YourMWDserver.yourdomain.com/SAML/AssertionConsumerService.aspx) como URL de inicio de sesión único.
4. Si el usuario aún no ha iniciado sesión en el ldP, el servidor MyWorkDrive redirige al usuario al servicio SSL para iniciar sesión.
5. Una vez confirmado, el servicio IdP genera una respuesta SAML válida y redirige al usuario a MyWorkdrive para verificar la respuesta SAML.
6. Si la autenticación del usuario se valida con éxito, se inicia sesión automáticamente en MyWorkDrive Web File Manager de su empresa.

Pasos de configuración de SAML MyWorkDrive Okta

• Inicie sesión en Okta con una cuenta de administrador y haga clic en el botón Administrador.
• Desde el panel de administración, haga clic en el acceso directo "Agregar aplicaciones".
• En el cuadro "Buscar una aplicación", busque "MyWorkDrive" (sin espacios). Se completará automáticamente a medida que escriba. Cuando vea el panel con nuestro logotipo, haga clic en el botón Agregar.

• La etiqueta de la aplicación debe decir "MyWorkDrive"
• En el campo URL base, escriba o pegue la URL pública como se muestra en el ejemplo, es decir https://share.mycompany.com Tenga en cuenta que SAML/SSO no es compatible con nuestro Cloud Web Connector mediante las URL de myworkdrive.net.
• Opcionalmente, configure las opciones de Visibilidad de la aplicación según la política de su organización y haga clic en Listo.

Okta ahora debería cargar la página de detalles de la aplicación donde puede asignar el acceso de usuarios/grupos apropiado. Sin embargo, Okta no funcionará hasta que complete la configuración en MyWorkDrive. Recomendamos asignar al menos un usuario de prueba en este momento.

Para completar la configuración de Okta en MyWorkDrive, debe obtener la URL de metadatos del proveedor de identidad de Okta e ingresarla en MyWorkDrive.

• Haga clic en la pestaña Iniciar sesión de la página de detalles de la aplicación Okta.
• Haga clic en el enlace que dice "Metadatos del proveedor de identidad". Esto abrirá una nueva pestaña/ventana del navegador y le mostrará los metadatos. Deberá ingresar (copiar/pegar) esta URL en MyWorkDrive. Deje esa ventana abierta por ahora.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• Inicie sesión en Admin para su MyWorkDrive Server y elija la sección Enterprise.
• Habilite la nueva opción SAML/ADSFS SSO y seleccione Okta SAML en el menú desplegable. La sección de opciones Enterprise requiere una licencia Enterprise.

 

 

• Ingrese la URL de metadatos del proveedor de identidad que abrió en una nueva ventana del navegador arriba.
  La URL se verá como https://myworkdrive-youroktaaccount.okta.com/app/exk3dvmg3sTXDMqNp356/sso/saml/metadata
• Clic en Guardar.

• Si no lo hizo anteriormente, asigne un usuario a MyWorkDrive en Okta para probar con la configuración de UPN adecuada para que su dirección de correo electrónico de inicio de sesión de Okta coincida con MyWorkDrive.

Prueba de acceso desde Okta

Después de asignar un usuario de prueba, inicie sesión en Okta con su usuario de prueba (o si usa su propio usuario, primero haga clic en "Mis aplicaciones" para iniciar como usuario en lugar de editar). Recuerde que su inicio de sesión de usuario de Okta debe coincidir con su inicio de sesión de MyWorkDrive.

 

 

En la lista de aplicaciones, haga clic en la aplicación MyWorkDrive (logotipo).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

El usuario inicia sesión automáticamente en el administrador de archivos web de su navegador MyWorkDrive.

 

 

 

 

 

 

 

 

 

 

 

 

Ha completado la configuración de Okta SAML SSO para MyWorkDrive. Ahora puede asignar el resto de sus usuarios/grupos según corresponda.

 

Si le faltan recursos compartidos en la lista de carpetas al iniciar sesión a través del proveedor de SAML, el motivo es que falta una configuración de delegación del servidor o es incorrecta. Asegúrese de que el servidor MyWorkDrive sea de confianza para la delegación según nuestro Artículo de delegación.

Paso opcional: solicitar el inicio de sesión de SSO en los navegadores

Si desea solicitar a los usuarios que inicien sesión en Web File Manager a través de Okta, seleccione la opción en My Work Drive Admin, sección Enterprise para "Requerir inicio de sesión SSO"

 

Cuando se selecciona esta opción, se le pedirá al usuario que inicie sesión en Okta si no ha iniciado sesión y accede al administrador de archivos web de MyWorkDrive.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Si no se selecciona esta opción, los usuarios podrán iniciar sesión a través de la página de inicio de sesión habitual, así como siguiendo el enlace de la aplicación en Okta.

Paso opcional: cierre de sesión único

El cierre de sesión único garantizará que si un usuario cierra la sesión de Okta, también se cerrará la sesión de MyWorkDrive Web File Manager. Hay varios pasos adicionales si desea configurar el cierre de sesión único.

Descargue el Certificado público de MyWorkDrive a su máquina local. En la sección de administración, elija la pestaña Empresa y, si ha habilitado SAML/ADFS SSO y seleccionó Otka en el menú desplegable, verá el enlace Descargar certificado público. Deberá cargar esto en Okta en un paso posterior.

La descarga viene como un archivo ZIP. Localice este archivo (generalmente en Descargas) y extraiga el archivo MWD.CER

Ahora proceda a Okta.

• Inicie sesión en Okta, haga clic en Admin para cambiar a la Vista de administración, luego en Aplicaciones y haga clic en MyWorkDrive en la lista de aplicaciones.
• Haga clic en la pestaña "Iniciar sesión", haga clic en Editar en la parte superior derecha del cuadro.
• Marque la casilla "Habilitar cierre de sesión único".

 

 

 

 

 

 

 

 

 

 

 

 

 

• Esto expondrá el cuadro Certificado de firma.
• Busque el archivo MWD.CER que acaba de extraer y cárguelo.

 

 

 

 

 

 

 

 

 

 

 

 

Desplácese hacia abajo y haga clic en Guardar en la parte inferior derecha después de cargar.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• La parte de Okta de la configuración del cierre de sesión único ahora está completa.

Volver a MyWorkDrive

• Cargue las herramientas de administración para MyWorkDrive.
• En la sección Enterprise de MyWorkDrive Admin, haga clic en Guardar para actualizar los metadatos en la URL de metadatos del proveedor de identidad, después de habilitar el cierre de sesión único, cargar el certificado y guardarlo en Okta.
  Esto asegurará que su MyWorkDrive se actualice a través de la URL de metadatos del proveedor de identidad con las URL de cierre de sesión y la configuración del certificado.

 

Felicitaciones, el cierre de sesión único ahora está habilitado. Al cerrar la sesión de Okta, se cerrará la sesión del Administrador de archivos web del navegador MyWorkDrive.