Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
En los portales integrados, puede definir proveedores de identidades para que admitan los tipos de autenticación definidos en la siguiente tabla.
| Authentication type (Tipo de autenticación) | Descripción |
|---|---|
| Integrado | Requiere que los usuarios envíen sus credenciales (nombre de usuario y contraseña) al portal integrado para autenticarse. Cuando creas un portal, el proveedor de identidades integrado se configura y se habilita. Para entender la experiencia de inicio de sesión desde el punto de vista del usuario, consulta Iniciar sesión en el portal con las credenciales de usuario (proveedor integrado). |
| SAML (vista previa) | El lenguaje de marcado para confirmaciones de seguridad (SAML) es un protocolo estándar para el entorno de inicio de sesión único (SSO). La autenticación de SSO mediante SAML permite a los usuarios iniciar sesión en los portales integrados de Apigee sin tener que crear nuevas cuentas. Los usuarios inician sesión con las credenciales de su cuenta gestionada de forma centralizada. Para saber cómo es la experiencia de inicio de sesión desde el punto de vista del usuario, consulta Iniciar sesión en el portal mediante la autenticación SAML (vista previa). |
Ventajas de la autenticación SAML para portales integrados
Configurar SAML como proveedor de identidades para un portal integrado ofrece las siguientes ventajas:
- Configura tu programa de desarrolladores una vez y reutilízalo en varios portales integrados. Elige tu programa de desarrolladores al crear tu portal integrado. Actualiza o cambia fácilmente el programa para desarrolladores a medida que evolucionen los requisitos.
- Tener control total sobre la gestión de usuarios Conecta el servidor SAML de tu empresa al portal integrado. Cuando los usuarios abandonen tu organización y se les retire el acceso de forma centralizada, ya no podrán autenticarse con tu servicio de SSO para usar el portal integrado.
Configurar el proveedor de identidades integrado
Configure el proveedor de identidades integrado, tal como se describe en las siguientes secciones.
Acceder a la página Proveedor de identidades integrado
Para acceder al proveedor de identidades integrado, sigue estos pasos:
Abre la página Portales.
Interfaz de usuario de Cloud Console
En la consola de Apigee en Cloud, ve a la página Distribución > Portales.
Ir a PortalesInterfaz clásica
En la barra de navegación lateral, selecciona Publicar > Portales para ver la lista de portales.
Haga clic en la fila del portal del que quiera ver el proveedor de identidades.
Haz clic en Cuentas.
Haz clic en la pestaña Autenticación.
En la sección Proveedores de identidades, haga clic en el tipo de proveedor Integrado.
Configura el proveedor de identidades integrado, tal como se describe en las siguientes secciones:
Habilitar el proveedor de identidades integrado
Para habilitar el proveedor de identidades integrado, sigue estos pasos:
- Accede a la página Proveedor de identidades integrado.
Abre el editor.
Interfaz de usuario de Cloud Console
Haz clic en Editar.
Interfaz clásica
En la sección Configuración de proveedor, haz clic en
.Selecciona la casilla Habilitado para habilitar el proveedor de identidades. Para inhabilitar el proveedor de identidades integrado, desmarca la casilla.
Haz clic en Guardar.
Restringir el registro en el portal por dirección de correo o dominio
Restringe el registro en el portal identificando las direcciones de correo electrónico (developer@some-company.com) o los dominios de correo electrónico (some-company.com, sin el @ inicial) que pueden crear cuentas en tu portal.
Para que coincida con todos los subdominios anidados, añade la cadena de comodín *. a un dominio o subdominio. Por ejemplo, *.example.com coincidirá con test@example.com, test@dev.example.com, etc.
Si no se indica nada, se puede usar cualquier dirección de correo para registrarse en el portal.
Para restringir el registro en el portal por dirección de correo o dominio, sigue estos pasos:
- Accede a la página Proveedor de identidades integrado.
Añade una o varias direcciones de correo electrónico.
Interfaz de usuario de Cloud Console
- Haz clic en Editar.
- Haz clic en + Añadir correo electrónico.
- Introduce una dirección o un dominio de correo electrónico que quieras permitir que se registre e inicie sesión en el portal.
- Añade más entradas según sea necesario.
- Para eliminar una entrada, haz clic en Eliminar junto a la entrada.
Interfaz clásica
- En la sección Configuración de proveedor, haz clic en .
- En la sección Restricciones de la cuenta, introduzca una dirección de correo o un dominio de correo que quiera permitir que se registre e inicie sesión en el portal en el cuadro de texto y haga clic en +.
- Añade más entradas según sea necesario.
- Para eliminar una entrada, haz clic en la x situada junto a ella.
Haz clic en Guardar.
Configurar notificaciones por correo electrónico
En el caso del proveedor integrado, puedes habilitar y configurar las siguientes notificaciones por correo electrónico:
| Notificación por correo electrónico | Destinatario | Activador | Descripción |
|---|---|---|---|
| Account Notify | Proveedor de APIs | El usuario del portal crea una cuenta | Si has configurado tu portal para que requiera la activación manual de las cuentas de usuario, debes activar manualmente la cuenta de usuario para que el usuario del portal pueda iniciar sesión. |
| Verificar cuenta | Usuario del portal | El usuario del portal crea una cuenta | Proporciona un enlace seguro para verificar la creación de la cuenta. El enlace caduca en 10 minutos. |
Al configurar las notificaciones por correo electrónico:
- Usa etiquetas HTML para dar formato al texto. No olvides enviar un correo de prueba para comprobar que el formato es el esperado.
Puedes insertar una o varias de las siguientes variables, que se sustituirán cuando se envíe la notificación por correo electrónico.
Variable Descripción {{firstName}}Nombre {{lastName}}Apellidos {{email}}Dirección de correo electrónico {{siteurl}}Enlace al portal activo {{verifylink}}Enlace usado para verificar la cuenta.
Para configurar las notificaciones por correo electrónico, sigue estos pasos:
- Accede a la página Proveedor de identidades integrado.
Configura las notificaciones por correo electrónico.
Interfaz de usuario de Cloud Console
Haz clic en Editar.
Interfaz clásica
Para configurar las notificaciones por correo electrónico que se envían a:
- Proveedores de APIs para la activación de cuentas de usuario nuevas: haz clic en en la sección Notificación de cuenta.
- Para que los usuarios del portal verifiquen su identidad, haz clic en en la sección Verificación de cuenta.
- Proveedores de APIs para la activación de cuentas de usuario nuevas: haz clic en
Edita los campos Asunto y Cuerpo.
Haz clic en Guardar.
Configurar el proveedor de identidades SAML (vista previa)
Configura el proveedor de identidades SAML, tal como se describe en las secciones siguientes.
Acceder a la página Proveedor de identidades SAML
Para acceder al proveedor de identidades SAML, sigue estos pasos:
Abre la página Portales.
Interfaz de usuario de Cloud Console
En la consola de Apigee en Cloud, ve a la página Distribución > Portales.
Ir a PortalesInterfaz clásica
En la barra de navegación lateral, selecciona Publicar > Portales para ver la lista de portales.
Haga clic en la fila del portal del que quiera ver el proveedor de identidades.
Haz clic en Cuentas.
Haz clic en la pestaña Autenticación.
En la sección Proveedores de identidades, haga clic en el tipo de proveedor SAML.
Configura el proveedor de identidades SAML, tal como se describe en las siguientes secciones:
Habilitar el proveedor de identidades SAML
Para habilitar el proveedor de identidades SAML, sigue estos pasos:
- Accede a la página Proveedor de identidades de SAML.
Abre el editor.
Interfaz de usuario de Cloud Console
Haz clic en Editar.
Interfaz clásica
En la sección Configuración de proveedor, haz clic en
.Selecciona la casilla Habilitado para habilitar el proveedor de identidades.
Para inhabilitar el proveedor de identidades SAML, desmarca la casilla.
Haz clic en Guardar.
Si has configurado un dominio personalizado, consulta Usar un dominio personalizado con el proveedor de identidades SAML.
Configurar los ajustes de SAML
Para configurar los ajustes de SAML, sigue estos pasos:
- Accede a la página Proveedor de identidades de SAML.
Abre el editor.
Interfaz de usuario de Cloud Console
Haz clic en Editar.
Interfaz clásica
Haz clic en
en la sección Configuración de SAML.Haz clic en Copiar junto a la URL de metadatos del proveedor de servicios.
Configura tu proveedor de identidades SAML con la información del archivo de metadatos del proveedor de servicios.
En el caso de algunos proveedores de identidades SAML, solo se te pedirá la URL de los metadatos. En otros casos, tendrá que extraer información específica del archivo de metadatos e introducirla en un formulario.
En este último caso, pegue la URL en un navegador para descargar el archivo de metadatos del proveedor de servicios y extraer la información necesaria. Por ejemplo, el ID de entidad o la URL de inicio de sesión se pueden extraer de los siguientes elementos del archivo de metadatos del SP:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login"><md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
Configura los ajustes de SAML del proveedor de identidades.
En la sección SAML Settings (Configuración de SAML), edita los siguientes valores obtenidos del archivo de metadatos de tu proveedor de identidades SAML:
Ajuste de SAML Descripción URL de inicio de sesión URL a la que se redirige a los usuarios para iniciar sesión en el proveedor de identidades SAML.
Por ejemplo:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/samlURL de cierre de sesión URL a la que se redirige a los usuarios para cerrar sesión en el proveedor de identidades SAML. Deja este campo en blanco si:
- Tu proveedor de identidades SAML no proporciona una URL de cierre de sesión
- No quieres que los usuarios cierren sesión en tu proveedor de identidades SAML cuando cierren sesión en el portal integrado
- Quieres habilitar un dominio personalizado (consulta el problema conocido)
ID de entidad del proveedor de identidades ID único del proveedor de identidades SAML.
Por ejemplo:http://www.okta.com/exkhgdyponHIp97po0h7Haz clic en Guardar.
Configurar atributos de usuario personalizados para el proveedor de identidades SAML
Para asegurar que la asignación entre el proveedor de identidades SAML y las cuentas de usuario del portal sea correcta, te recomendamos que crees y configures los atributos de usuario personalizados definidos en la siguiente tabla para tu proveedor de identidades SAML. Asigna a cada atributo personalizado el valor del atributo de usuario correspondiente definido por tu proveedor de identidades SAML (por ejemplo, Okta).
| Atributo personalizado | Ejemplo (Okta) |
|---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
A continuación, se muestra cómo configurar atributos de usuario personalizados y el atributo NameID con Okta como proveedor de identidades SAML de terceros.
Usar un dominio personalizado con el proveedor de identidades SAML
Una vez que hayas configurado y habilitado el proveedor de identidades SAML, podrás configurar un dominio personalizado (por ejemplo, developers.example.com), tal como se describe en el artículo Personalizar tu dominio.
Es importante que los ajustes de configuración estén sincronizados entre el dominio personalizado y el proveedor de identidades SAML. Si los ajustes de configuración no están sincronizados, es posible que tengas problemas durante la autorización. Por ejemplo, la solicitud de autorización enviada al proveedor de identidades de SAML puede tener un AssertionConsumerServiceURL que no se haya definido con el dominio personalizado.
Para que los ajustes de configuración estén sincronizados entre el dominio personalizado y el proveedor de identidades SAML, haz lo siguiente:
Si configuras o actualizas el dominio personalizado después de habilitar y configurar el proveedor de identidades SAML, guarda la configuración del dominio personalizado y asegúrate de que esté habilitado. Espera unos 30 minutos a que se invalide la caché y, a continuación, vuelve a configurar tu proveedor de identidades SAML con la información actualizada del archivo de metadatos del proveedor de servicios, tal como se describe en el artículo Configurar los ajustes de SAML. Debería ver su dominio personalizado en los metadatos de SP.
Si configuras un dominio personalizado antes de configurar y habilitar el proveedor de identidades SAML, debes restablecer el dominio personalizado (se describe más abajo) para asegurarte de que el proveedor de identidades SAML se ha configurado correctamente.
Si necesitas restablecer (inhabilitar y volver a habilitar) el proveedor de identidades SAML, tal como se describe en Habilitar el proveedor de identidades SAML, también debes restablecer el dominio personalizado (se explica más abajo).
Restablecer el dominio personalizado
Para restablecer (inhabilitar y habilitar) el dominio personalizado, sigue estos pasos:
Abre la página Portales.
Interfaz de usuario de Cloud Console
En la consola de Apigee en Cloud, ve a la página Distribución > Portales.
Ir a PortalesInterfaz clásica
En la barra de navegación lateral, selecciona Publicar > Portales para ver la lista de portales.
Haz clic en tu portal.
Haz clic en Settings (Configuración).
Haz clic en la pestaña Domains (Dominios).
Haz clic en Inhabilitar para inhabilitar el dominio personalizado.
Haz clic en Habilitar para habilitar el dominio personalizado.
Para obtener más información, consulta Personalizar tu dominio.
Subir un nuevo certificado
Para subir un nuevo certificado, sigue estos pasos:
Descarga el certificado de tu proveedor de identidades SAML.
Abre el editor.
Interfaz de usuario de Cloud Console
Haz clic en Editar.
Interfaz clásica
En la sección Certificado, haz clic en
.Haz clic en Buscar y ve al certificado en tu directorio local.
Haz clic en Abrir para subir el nuevo certificado. Los campos de información del certificado se actualizan para reflejar el certificado seleccionado.
Verifica que el certificado sea válido y no haya caducado.
Haz clic en Guardar.
Convertir un certificado x509 al formato PEM
Si descargas un certificado x509, debes convertirlo al formato PEM.
Para convertir un certificado x509 al formato PEM, sigue estos pasos:
- Copia el contenido de
ds:X509Certificate elementdel archivo de metadatos del proveedor de identidades SAML y pégalo en tu editor de texto favorito. - Añade la siguiente línea en la parte superior del archivo:
-----BEGIN CERTIFICATE----- - Añade la siguiente línea en la parte inferior del archivo:
-----END CERTIFICATE----- - Guarda el archivo con la extensión
.pem.
A continuación, se muestra un ejemplo del contenido del archivo PEM:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----