Ir al contenido principal

Cómo realizar la integración con SSO

Escrito por Vitória Chaves

El objetivo del Single Sign-On (SSO) es permitir que los usuarios de su portal tengan mayor seguridad, utilizando la plataforma de identidad de su cuenta Microsoft, vinculando así el correo electrónico con la cuenta Atlas, a través del protocolo de autorización OAuth 2.0.

Un Administrador del portal Atlas Governance que sea Global Admin, Owner del Directorio o que posea el rol “Application Admin” puede ejecutar el procedimiento simplificado que realiza todas las configuraciones necesarias accediendo a la URL:

https://br.app.atlasgov.com/admin/sso > Pestaña “Single Sign-On” > Habilitar AD SSO.

Al hacer clic en “HABILITAR AD SSO”, la aplicación iniciará el proceso de solicitud de Consentimiento del Administrador y Configuración de los dominios (según los requisitos 2 y 3 mencionados anteriormente).

Importante: Para este paso, es necesario que el Global Admin sea también un Administrador dentro del Portal.

Al finalizar el procedimiento, la aplicación Atlas Governance obligará a todos los usuarios a volver a iniciar sesión utilizando Single Sign-On, y mostrará los datos del directorio y dominios configurados en el panel administrativo.

Puntos de atención

1. ¿Cómo funciona la implementación?

Para permitir el inicio de sesión de usuarios de distintos directorios de manera simplificada, se creó la aplicación multi-tenant (multilocatario) “Atlas Governance OAuth”, que permite a los usuarios conectarse al sistema Atlas Governance utilizando permisos previamente autorizados en su directorio de AD de origen, mediante el consentimiento del administrador (https://docs.microsoft.com/pt-br/azure/active-directory/develop/howto-convert-app-to-be-multi-tenant#understand-user-and-admin-consent).

Esta implementación actual no realiza aprovisionamiento automático de usuarios, SCIM ni ningún otro tipo de sincronización de usuarios. Está enfocada únicamente en el uso de Azure Active Directory y Cuenta Microsoft como medio de autenticación SSO, con el objetivo de eliminar el uso de contraseñas específicas en la aplicación Atlas Governance, permitir que los usuarios pierdan acceso inmediatamente cuando sean bloqueados en el Active Directory, entre otros escenarios.

2. ¿Cuáles son los requisitos?

1) Habilitación en Atlas Governance

En el área administrativa de Atlas Governance deberá estar habilitado el recurso AD SSO y configurado el tenant.

2) Consentimiento

Para que el recurso SSO sea activado en Atlas Governance, es necesario que el administrador de Azure AD otorgue el consentimiento a los permisos solicitados por la aplicación.

Ver también: Autorización de acceso al portal Atlas a través de grupos de Azure AD.

La aplicación “Atlas Governance OAuth” requiere los siguientes permisos.

3) Configuración de dominios

Los permisos mencionados son delegados, es decir, conceden a la aplicación la capacidad de actuar como un usuario autenticado únicamente dentro de estos alcances, y pueden ser revocados en cualquier momento.

Una vez otorgado el consentimiento, se creará un service principal en el directorio, permitiendo el proceso de conexión.

Atlas Governance exige que todos los dominios utilizados por el SSO en el directorio sean previamente especificados en el área administrativa.

Los dominios se obtienen automáticamente durante el proceso de configuración utilizando el endpoint de Microsoft Graph “Organization Get”, disponible con el permiso User.Read, que permite obtener los detalles del directorio (https://docs.microsoft.com/en-us/graph/api/organization-get?view=graph-rest-1.0&tabs=http).

Si necesita más información, quedamos a su disposición para resolver todas sus dudas. Cuente siempre con Atlas.

Esperamos que esté disfrutando de nuestro servicio y que encuentre la información que necesita en nuestro centro de ayuda. Si puede evaluar nuestro artículo, nos ayudará a entender cómo podemos mejorar y brindar un servicio aún mejor.

¿Ha quedado contestada tu pregunta?