Configurar el SSO confidencial y el aprovisionamiento con PingID

Paso 1: Registrar una nueva solicitud en PingID

1. Inicie sesión en su consola de administración de Ping Identity.
2. Vaya a Aplicaciones. Seleccione + Añadir solicitud.

   

Paso 2: configurar PingID para el SSO de SAML

1. Elija SAML como tipo de aplicación y configure el nombre de la aplicación como Arrow SSO.

2. Seleccione Configurar.

   

3. Para la configuración de SAML, seleccione Introducir manualmente.
   • Para la URL de ACS, introduzca https://sso.nitro.dashlane.com/saml/callback
   • Para el identificador de entidad, introduzca dashlane-nitro-sso
   • Guardar los cambios

     

4. En Asignaciones de atributos, seleccione la dirección de correo electrónico para las asignaciones de PingOne y guarde.

   

   

Paso 3: Descargar los metadatos de PingID

1. En la pestaña Descripción general, seleccione Descargar metadatos.
2. Active el botón de la esquina superior derecha para activar la aplicación.

   

3. Abra el archivo de metadatos XML descargado en su ordenador con el Bloc de notas en Windows o TextEdit en el Mac, por ejemplo.

   

4. Seleccione todo y copie el contenido del archivo XML.

   

Paso 4: configurar Arrow con los metadatos de PingID

1. Inicie sesión en la consola de administración de Arrow
2. En la sección Integraciones del menú de la izquierda, seleccione Inicio de sesión único. Si ya ha iniciado la configuración, seleccione Editar. De lo contrario, seleccione Configurar un SSO confidencial.

   

3. Vaya al paso 2: guarde los metadatos de su IdP y pegue los metadatos XML copiados anteriormente.
4. Seleccione Guardar.

   

Paso 5: Compruebe su dominio en el proveedor de DNS

1. En el paso 3: compruebe sus dominios en la consola de administración, introduzca el dominio de correo electrónico de su empresa y seleccione Verificar dominio. Tenga en cuenta los botones de copia que utilizará para copiar los valores del nombre de host y TXT a su proveedor de DNS público.

   

2. En una nueva pestaña del navegador, vaya a su proveedor de DNS público y añada un registro TXT. Los pasos exactos varían según el proveedor.

   

3. Pegue el nombre de host y el valor de TXT de la consola de administración de Arrow en el nuevo registro TXT y seleccione Guardar.

   

4. Cuando haya introducido el registro, espere unos minutos y, en la consola de administración de Arrow, seleccione Verificar dominio.
   

   Los cambios en el DNS público pueden tardar hasta 24 horas, pero la mayoría de los registros nuevos tardan 5 minutos o menos. Si no funciona la primera vez, espere unos minutos y vuelva a seleccionar Verificar dominio.

   

(Opcional) Aprovisionamiento justo a tiempo

Puede activar el aprovisionamiento justo a tiempo para añadir automáticamente a cualquier empleado con sus dominios verificados en su primer intento de inicio de sesión.

Antes de activar el aprovisionamiento justo a tiempo:

• Asegúrese de que los miembros de su plan ya se han añadido a la aplicación Arrow SAML de su IdP.
• Cuando la encienda, pueden instalar la Arrow Smart Extension y crear su cuenta.
• Si su plan está agotado, los miembros no podrán iniciar sesión hasta que compre más asientos.
• Si utiliza el aprovisionamiento justo a tiempo junto con otro método de aprovisionamiento automático, como SCIM o la sincronización de AD, asegúrese de añadir todos los miembros de su plan a los grupos sincronizados. De lo contrario, los miembros del plan que no se añadan a los grupos sincronizados se eliminarán la próxima vez que se sincronice el directorio.

  

Más información sobre el aprovisionamiento justo a tiempo

Paso 6: Asignar usuarios en PingID

1. En Ping Identity, abra la aplicación Arrow y seleccione el icono de edición en Acceso.
2. Seleccione el grupo de usuarios al que quiere tener acceso a Arrow y guarde los cambios.

   

Paso 7: Probar su configuración de SSO

1. Vuelva a la consola de administración de Arrow y realice una conexión de prueba.
2. Aparece un mensaje de éxito si el SSO se ha configurado como estaba previsto.

   

Paso 8: Activar el SSO para todos los usuarios

1. Cuando la prueba se complete correctamente, active el SSO en Arrow Paso 4: Activar el SSO para los dominios verificados.
2. Notifique a los miembros sobre el nuevo método de inicio de sesión del SSO. Los miembros con una cuenta creada con una contraseña maestra deben iniciar sesión por última vez con la contraseña maestra antes de activar el SSO.
3. Asegúrese de que los miembros pueden iniciar sesión con sus credenciales de PingID.

Para ver cómo funciona el proceso para los miembros del plan, consulte este artículo: Migre los miembros actuales del plan a SSO

Paso 1: Generar el token de la API de SCIM en Arrow

1. Inicie sesión en la consola de administración de Arrow
2. En la sección Integraciones, seleccione Aprovisionamiento y, a continuación, Aprovisionamiento confidencial.
3. Seleccione Configurar o editar si ya ha iniciado la configuración.

   

   Si esta opción está atenuada y no está disponible, primero tiene que configurar el SSO confidencial o ya ha configurado el SSO autohospedado, SCIM o Active Directory.

4. En el paso 1: Generar el token de la API de SCIM, seleccione Generar token.
5. Copie el token de la API de SCIM en el paso 2: Copiar el token.
6. Active el interruptor del paso 3: Activar el aprovisionamiento automático de usuarios.

   

Paso 2: Generar el token de la API de SCIM en PingID

1. Abra la consola de administración de PingIdentity y abra la pestaña Aprovisionamiento en Integraciones

   

2. Seleccione el icono con el signo más que aparece junto a Aprovisionamiento y seleccione Nueva conexión. Seleccione Identity Store.

   

3. Seleccione SCIM Outbound y Next.
4. Añada un nombre a la conexión (sugerencia: Arrow User SCIM) y seleccione Siguiente.

   

5. Copie la URL del punto final de SCIM de la consola de administración de Arrow e introduzca el valor en la URL base de SCIM.
6. Seleccione el token portador de OAuth 2 como método de autenticación.
7. Para el token de acceso de OAuth, introduzca el token de la API de SCIM copiado de la consola de administración de Arrow.
8. Seleccione Probar conexión

   

   Nota: La prueba de conexión no pasará si no ha completado primero el paso 1: generar el token de la API de SCIM en Arrow en su totalidad.

Paso 1: configurar el aprovisionamiento de grupos con SAML en PingID

1. Seleccione Identity Provider, SP Connections, Arrow y, a continuación, Identity Mapping. A continuación, seleccione Siguiente.
• Para extender el contrato, introduzca DashlaneSharingGroups.
• Para el formato de nombre de atributo, introduzca básico.
2. Seleccione Siguiente.

   

3. Seleccione el nombre de la instancia del adaptador, la descripción, LDAP y DashLaneSharingGroups:
   • Para Origen, seleccione Expresión en la lista desplegable.

   • Para Value, introduzca este código:

     #groupName = new java.util.ArrayList (), #groups = #this .get («ds.MemberOf»)! =nulo? #this .get («ds.MemberOf») .getValues () : {}, #i = 0, #groups. {#group = nuevo javax.naming.ldap.ldapName (#groups [#i]), #cn = #group .getRDN (#group .size () - 1) .getValue () .toString (), #group .toString () .matches (». *INSERTAR COINCIDENCIA.*»)? (#groupName .add («INSERTE LOS NOMBRES DE GRUPO QUE QUIERA SINCRONIZAR AQUÍ»)): null, #i = #i + 1}, new org.sourceID.saml20.adapter.attribute.attribute.AttributeValue (#groupName)
4. Seleccione Actualizar la expresión y, a continuación, seleccione Siguiente.

   

   Nota: Si recibe un mensaje de error durante este paso, vuelva al almacén de datos. Seleccione Siguiente. A continuación, seleccione Mostrar todos los atributos y MemberOf en las listas desplegables. A continuación, seleccione Añadir atributo, Siguiente tres veces y, a continuación, Guardar.

   

   

5. Seleccione Gestión de clústeres. A continuación, seleccione Configuración replicada y listo.

   

Paso 2: configurar el aprovisionamiento de grupos con SAML en Arrow

1. Inicie sesión en la consola de administración de Arrow
2. Vaya a Integración, seleccione Aprovisionamiento y seleccione Aprovisionamiento confidencial.
3. Seleccione Configurar o editar si ya ha iniciado la configuración.

   

4. Desplácese hacia abajo hasta la sección Aprovisionamiento de grupos.
5. Active el aprovisionamiento de grupos en el paso 2: active la sincronización de grupos.

   

(SSO) Mensaje de error: no hemos podido comprobar su conexión SSO

Error al probar la conexión con Arrow en la consola de administración. Puede que también vea este error al intentar guardar los metadatos.

Cómo arreglarlo

• Confirme que abre la consola de administración e inicia sesión en ella desde la Arrow Smart Extension.

  Instale la extensión Arrow Smart

• Si el portal de administración de su IdP está abierto, cierre sesión en su cuenta de administrador en PingID y cierre la pestaña del navegador antes de volver a probar la conexión con Arrow.
• Si el error persiste, póngase en contacto con nuestro equipo de soporte.

  Póngase en contacto con un agente a través de la consola de administración