Configurar el SSO confidencial y el aprovisionamiento con Azure (Entra ID)

Paso 1: Registrar una nueva aplicación en Azure

1. Abra Azure Portal e inicie sesión con sus credenciales de administrador.
2. En la sección de servicios de Azure, busque y seleccione Aplicaciones empresariales. Si las aplicaciones empresariales no aparecen en la lista, puede utilizar la búsqueda.

   

3. Seleccione + Nueva solicitud en la parte superior de la página.

   

4. Seleccione Cree su propia aplicación y asígnele un nombre relevante, como «Arrow SSO». A continuación, seleccione la opción: integrar cualquier otra aplicación que no encuentre en la galería.
5. Seleccione Crear.

   

Paso 2: configurar Azure para el SSO de SAML

1. En la nueva aplicación creada en el paso 1, seleccione Inicio de sesión único en el menú de la izquierda y, a continuación, seleccione SAML.

   

2. Seleccione Editar la configuración básica de SAML.

   

3. Introduzca estos dos artículos y, a continuación, guarde:
   • Identificador (ID de entidad): dashlane-nitro-sso
   • URL de respuesta (URL de servicio al consumidor de aserción): https://sso.nitro.dashlane.com/saml/callback

   

Paso 3: Descargar los metadatos de Azure

1. Descargue el XML de metadatos de la federación de la sección de certificados SAML.

   

2. Abra el XML de metadatos de la Federación en el Bloc de notas o en un editor de texto sin formato y copie todo el archivo XML en el portapapeles. No abra el XML con Safari, ya que puede romper el formato del XML al copiarlo.

   

Paso 4: configurar Arrow con Azure Metadata

1. Inicie sesión en la consola de administración
2. En la sección Integraciones del menú de la izquierda, seleccione Inicio de sesión único. Si ya ha iniciado la configuración, seleccione Editar. De lo contrario, seleccione Configurar un SSO confidencial.

   

3. Vaya al paso 2: guarde los metadatos de su IdP y pegue los metadatos copiados anteriormente.
4. Seleccione Guardar.

   

Paso 5: Compruebe su dominio en el proveedor de DNS

1. En el paso 3: compruebe sus dominios en la consola de administración, introduzca el dominio de correo electrónico de su empresa y seleccione Verificar dominio. Tenga en cuenta los botones de copia que utilizará para copiar los valores del nombre de host y TXT a su proveedor de DNS público.

   

2. En una nueva pestaña del navegador, vaya a su proveedor de DNS público y añada un registro TXT. Los pasos exactos varían según el proveedor.

   

3. Pegue el nombre de host y el valor de TXT de la consola de administración de Arrow en el nuevo registro TXT y seleccione Guardar.

   

4. Cuando haya introducido el registro, espere unos minutos y, en la consola de administración de Arrow, seleccione Verificar dominio.

   

(Opcional) Aprovisionamiento justo a tiempo

Puede activar el aprovisionamiento justo a tiempo para añadir automáticamente a cualquier empleado con sus dominios verificados en su primer intento de inicio de sesión.

Antes de activar el aprovisionamiento justo a tiempo, asegúrese de que los miembros de su plan ya están añadidos a la aplicación Arrow SAML de su IdP.

Cuando la encienda, pueden instalar la Arrow Smart Extension y crear su cuenta.

Si su plan está agotado, los miembros no podrán iniciar sesión hasta que compre más asientos.

Si utiliza el aprovisionamiento justo a tiempo junto con otro método de aprovisionamiento automático, como SCIM o la sincronización de AD, asegúrese de añadir todos los miembros de su plan a los grupos sincronizados. De lo contrario, los miembros del plan que no se añadan a los grupos sincronizados se eliminarán la próxima vez que se sincronice el directorio.

Más información sobre el aprovisionamiento justo a tiempo

Paso 6: Asignar usuarios y grupos en Azure

1. Abra Azure Portal e inicie sesión con sus credenciales de administrador.
2. Vaya a su aplicación Arrow Enterprise y seleccione Usuarios y grupos.

   

3. Para asignar los usuarios a su aplicación SAML Arrow, seleccione +Añadir usuario/grupo.

Paso 7: Probar su configuración de SSO

1. Vuelva a la consola de administración de Arrow y realice una conexión de prueba.
2. Aparece un mensaje de éxito si el SSO se ha configurado como estaba previsto.

   

Paso 8: Activar el SSO para todos los usuarios

1. Cuando la prueba se complete correctamente, active el SSO en Arrow Paso 4: Activar el SSO para los dominios verificados.
2. Notificar a los usuarios sobre el nuevo método de inicio de sesión del SSO. Los usuarios con una cuenta creada con una contraseña maestra deben iniciar sesión por última vez con la contraseña maestra antes de activar el SSO. Para ver cómo funciona el proceso para los usuarios, consulte este artículo:

   Migre los miembros de su plan actual al SSO

3. Asegúrese de que los usuarios pueden iniciar sesión con sus credenciales de Microsoft.

   

Paso 1: Generar el token de la API de SCIM en Arrow

1. Inicie sesión en la consola de administración
2. En la sección Integraciones, seleccione Aprovisionamiento y, a continuación, Aprovisionamiento confidencial.
3. Seleccione Configurar o editar si ya ha iniciado la configuración.

   

   Si esta opción está atenuada y no está disponible, primero tiene que configurar el SSO confidencial o ya ha configurado el SSO autohospedado, SCIM o Active Directory.

4. En el paso 1: Generar el token de la API de SCIM, seleccione Generar token.
5. Copie el token de la API de SCIM en el paso 2: Copiar el token.
6. Active el interruptor del paso 3: Activar el aprovisionamiento automático de usuarios.

   

Paso 2: configurar el token de la API de SCIM en Azure

1. En la sección de servicios de Azure, busque y seleccione Aplicaciones empresariales. Si las aplicaciones empresariales no aparecen en la lista, puede utilizar la búsqueda.
2. Busque y abra la aplicación Arrow.

   

3. En el menú de la izquierda, seleccione Aprovisionamiento y, a continuación, Empezar.

   

4. Defina el modo de aprovisionamiento en Automático.
5. Pegue el token de la API de SCIM en el token secreto.
6. Copie el valor del punto final de la consola de administración y péguelo en la URL de Tenent.
7. Pruebe la conexión para asegurarse de que funciona y seleccione Guardar.

   

8. En Asignaciones de atributos, revise la configuración por defecto.
9. Para aprovisionar grupos de Azure Active Directory, defina No para Habilitado y Guardar.

Paso 3: Empezar a aprovisionar

1. Seleccione Aprovisionamiento en el menú de la izquierda.
2. Comience a aprovisionar.

Paso 1: configurar el aprovisionamiento de grupos con SAML en Azure

1. Abra la aplicación Arrow Enterprise en Azure y seleccione Inicio de sesión único.
2. Seleccione Editar para ver Atributos y afirmaciones.

   

3. Seleccione + Añadir una reclamación grupal.

   

4. Seleccione los grupos asignados a la solicitud.
5. En la lista desplegable de atributos de origen, seleccione SamaAccountName.
6. Marque la casilla de verificación: Emitir el nombre del grupo para los grupos que solo están en la nube.

   

7. Amplíe las opciones avanzadas y seleccione Personalizar el nombre de la solicitud grupal.
8. En el campo Nombre, añada «DashlaneSharingGroups» y seleccione Guardar.

   

Paso 2: configurar el aprovisionamiento de grupos con SAML en Arrow

1. Inicie sesión en la consola de administración de Arrow
2. Vaya a Integración, seleccione Configuración de aprovisionamiento en la sección Integraciones y seleccione Aprovisionamiento confidencial.
3. Seleccione Configurar o editar si ya ha iniciado la configuración.

   

4. Desplácese hacia abajo hasta la sección Aprovisionamiento de grupos.
5. Active el aprovisionamiento de grupos en el paso 2: active la sincronización de grupos.

   

(SSO) Renovar un certificado de firma de SAML para la aplicación empresarial Arrow

1. En una nueva pestaña del navegador, abra Azure Portal y busque o seleccione Aplicaciones empresariales.
2. Seleccione su aplicación Arrow de la lista de aplicaciones.
3. Seleccione Inicio de sesión único en el menú.
4. Seleccione Editar los certificados SAML y, a continuación, seleccione Nuevo certificado.
5. Aparece un nuevo certificado en la lista con el estado.
6. Seleccione Guardar. Aparece una notificación de que su certificado se ha actualizado y el estado del nuevo certificado se actualizará a «Inactivo».
7. Seleccione el menú de 3 puntos del nuevo certificado «Inactivo», seleccione Activar el certificado y, a continuación, seleccione Sí para confirmar.
8. Seleccione el menú de 3 puntos del certificado «Inactivo», seleccione Eliminar certificado y, a continuación, seleccione Sí para confirmar. Aparece una notificación de que su certificado ha sido eliminado.
9. Vuelva a la página de inicio de sesión único y cierre las ventanas emergentes. Vaya a Certificados SAML y seleccione Descargar para ver el XML de metadatos de la federación.
10. Abra el archivo descargado en un editor de texto, seleccione todo el texto y cópielo en el portapapeles.
11. Seleccione el icono de la flecha D en la barra de herramientas de su navegador e introduzca su contraseña maestra de administrador si se le pide. En la ventana emergente de la extensión, seleccione Más y, a continuación, abra la consola de administración.
12. En la sección Integraciones del menú lateral, seleccione Inicio de sesión único y, a continuación, Editar SSO confidencial.
13. Seleccione Editar para la configuración del SSO.
14. Opcional: copie y guarde el texto del cuadro de texto Añadir metadatos del proveedor de identidad para su registro.
15. A continuación, borre todo ese texto y pegue el texto que copió antes.
16. Seleccione Guardar cambios.

    Si los metadatos contienen más de un certificado, la consola de administración de Arrow muestra un mensaje de error. Si aparece un error al guardar los nuevos metadatos, compruebe que ha eliminado el certificado inactivo en el paso 8.

17. Seleccione Probar la conexión SSO para confirmar que la actualización se ha realizado correctamente.
18. Pida a un miembro del equipo que pruebe el inicio de sesión.

Tras renovar su certificado, pruebe la conexión pidiéndole al miembro del plan que inicie sesión.

(SSO) Mensaje de error: AADSTS700016

La aplicación con el identificador https://domain-sso.azurewebsites.net/saml no se encontró en el dominio del directorio. Esto puede ocurrir si el administrador del inquilino o, en consecuencia, cualquier usuario del inquilino aún tiene que instalar la aplicación. Puede que haya enviado su solicitud de autenticación al inquilino equivocado.

1. Abra Azure Portal con su cuenta de administrador.
2. Compruebe la aplicación Arrow Enterprise para asegurarse de que el identificador de entidad y la URL del ACS son los mismos que los de la consola de administración de Arrow.

(SSO) Mensaje de error: AADSTS50105

Su administrador configuró la aplicación Arrow (código de la aplicación) para bloquear a los usuarios a menos que se les conceda («asigne») específicamente el acceso a la aplicación. El usuario que ha iniciado sesión está bloqueado porque no es miembro directo de un grupo con acceso ni un administrador le ha asignado el acceso directamente. Póngase en contacto con su administrador para asignar el acceso a esta aplicación.

Cómo arreglarlo

1. Inicie sesión en Azure Portal con su cuenta de administrador.
2. Compruebe los usuarios y grupos de la aplicación Arrow Enterprise: añada los usuarios a los que quiere acceder a Arrow con SSO.
3. Vuelva a probar el inicio de sesión.
4. Si sigue sin funcionar, pruebe el inicio de sesión único desde otro perfil de navegador para que no se sincronice con su cuenta de administrador y excluir cualquier problema con el perfil del navegador.

(SCIM) Mensaje de error: se devolvió una respuesta HTTP/404 Not Found en lugar de la respuesta HTTP/200 OK esperada

Parece que ha introducido credenciales no válidas. Confirme que utiliza la información correcta para una cuenta administrativa.

Cómo arreglarlo

1. Confirme que ha activado el botón Activar el aprovisionamiento automático de usuarios activado en la consola de administración de Arrow.
2. Vuelva a la aplicación Azure Arrow Enterprise y vuelva a probar la conexión.

Si selecciona «volver a generar el token», tendrá que actualizarlo en Azure.

(SSO) Mensaje de error: no hemos podido comprobar su conexión SSO

Error al probar la conexión con Arrow en la consola de administración. Puede que también vea este error al intentar guardar los metadatos.

Cómo arreglarlo

• Confirme que abre la consola de administración e inicia sesión en ella desde la Arrow Smart Extension.

  Instale la extensión Arrow Smart

• Si el portal de administración de su IdP está abierto, cierre sesión en su cuenta de administrador en Azure y cierre la pestaña del navegador antes de volver a probar la conexión con Arrow.

(SSO) Cambio de nombre de usuario (UPN) en Arrow

Para que los miembros de su equipo puedan iniciar sesión en sus cuentas, el UPN (nombre principal de usuario) de su proveedor de identidad debe coincidir con su Arrow ID (las direcciones de correo electrónico que ve en la consola de administración). Solo debe actualizar su UPN a la nueva dirección de correo electrónico después de que hayan exportado sus datos de la cuenta Arrow original.

Cómo arreglarlo

1. Si la UPN ya se ha cambiado por la nueva dirección de correo electrónico, tendrá que volver a cambiarla por la antigua para que los miembros afectados puedan volver a iniciar sesión en sus cuentas antiguas.
2. Desactive las opciones de Smart Spaces en la consola de administración para que los miembros de su equipo puedan exportar los datos del espacio empresarial. Si su equipo no usa Spaces, active la política de permitir la exportación
3. Pida a los miembros de su equipo que exporten sus datos de las cuentas existentes y, a continuación, cierren sesión en Arrow: seleccione Mi cuenta y, a continuación, cerrar sesión.
4. Actualice los perfiles de usuario del IdP con las nuevas direcciones de correo electrónico.
5. Elimine las cuentas antiguas de su equipo de Arrow.
6. Invite a las nuevas cuentas al equipo de Arrow con las nuevas direcciones de correo electrónico. Para obtener más información sobre cómo gestionar los miembros del equipo de su plan, puede consultar este artículo:

   Gestione los miembros de planes profesionales

7. Pida a los miembros de su equipo que creen sus nuevas cuentas seleccionando el enlace del correo electrónico con la invitación del equipo.
8. Pida a los miembros de su equipo que importen el archivo de respaldo para recuperar sus datos.
9. Vuelva a activar Smart Spaces o desactive la política de permitir la exportación, según la configuración de su equipo.
10. Si ha activado el aprovisionamiento de SCIM, póngase en contacto con Arrow Support para obtener el último paso.

    Opciones adicionales de contacto administrativo

(SSO) Mensaje de error: no se pudo validar el recurso. Esta región tiene una cuota de 0 instancias para su suscripción. Intente seleccionar una región o SKU diferente.

Este error, relacionado con las suscripciones de Microsoft, puede producirse al implementar el servicio de cifrado con un SSO autohospedado. Esto ocurre cuando los nuevos inquilinos carecen de capacidad de aplicaciones. Compruebe que hay suficiente cuota de aplicaciones disponible.

Cómo arreglarlo

• Haga una solicitud de cuota de aplicaciones con Microsoft.
• Si aún no se resuelve, póngase en contacto con el soporte de Microsoft para obtener más información.