Configuración de la autenticación de inicio de sesión

Integración de aprovisionamiento SCIM con Okta como IdP

Agregar integración SCIM (System for Cross-domain Identity Management):

1. En Okta Admin Console seleccione la pestaña General y configure SCIM como el método de aprovisionamiento.

   

2. Seleccione la pestaña Provisioning y haga clic en el botón Edit.

   

3. En el modo de edición de configuración, seleccione todas las acciones de aprovisionamiento (opciones Import.. y Push..) y HTTP Header como modo Authentication.

   

4. Copie () la entrada Base URL de la sección Provisioning de la página Authentication de Company Dashboard y péguela en el campo SCIM Connector base URL de Okta.

   Copie () la entrada API Token de la sección Provisioning de la página Authentication de Company Dashboard y péguela en el campo Authorization de Okta (debajo de HTTP HEADER).

   

5. Especifique userName como el Unique identifier field for users de Okta.

   

6. Haga clic en el botón Test Connector Configuration (consulte arriba) y asegúrese de que la conexión funcione. Si la prueba de configuración es correcta, cierre la ventana de prueba y luego guarde la configuración ().

   

7. Seleccione To App en el árbol de navegación de la izquierda y luego la opción Edit.

   Habilite las opciones Create Users, Update User Attributes y Deactivate Users, y luego haga clic en Save.

   

Usuarios, aprovisionamiento y desaprovisionamiento de grupos:

1. Seleccione la pestaña Push Groups y luego haga clic en el botón Refresh App Groups.

   

2. Seleccione la opción de página Directory » Groups en el menú principal.

   

   En Grupos, debería ver tanto la aplicación Groups como Workspaces como entradas de grupo.

   

3. Cree grupos “nativos” de Okta con el mismo nombre que los grupos de aplicación/espacios de trabajo; en este ejemplo, los grupos importados Administrators y Workspace.

   

4. Seleccione un grupo de Okta creado y luego haga clic en el botón Manage Apps. En la ventana Assign Applications to <group name>, asigne la aplicación SCIM al grupo y haga clic en cuando termine.

   

5. Vuelva a la página Groups y seleccione la pestaña Push Groups. Seleccione Find groups by name option en el menú del botón Push Groups.

   

6. Introduzca el nombre del grupo (aquí, Group Administrators) y luego elija la opción Link Group para vincularlo con el grupo de la aplicación. Guarde esa configuración del vínculo ().

   

Administración de usuarios y grupos

Ahora debería poder agregar miembros a los grupos de aplicación existentes o eliminarlos de ellos.

1. Cree un nuevo usuario de Okta (Directory » People, luego seleccione Add Person). Asegúrese de que el usuario tenga una dirección de correo electrónico única que no exista en AltiumLive.

2. Agregue el nuevo usuario a un grupo de Okta asignado a la aplicación SCIM (Directory » Groups, seleccione un grupo y luego use Assign People).

3. Compruebe que el usuario aparezca en el Company Dashboard.

Para crear un nuevo grupo de usuarios a través de la aplicación SCIM, cree un nuevo grupo de Okta en la página Groups () y, a continuación, en la pestaña Push Groups, busque el nombre del nuevo grupo y elija la opción Create Group (en lugar de 'Link Group').

La aplicación SCIM configurada debería permitirle:

• Cambiar el nombre y apellido de un usuario, así como su correo electrónico.

• Cambiar la membresía de un grupo.

• Cambiar el nombre de un grupo.

• Crear un grupo.

• Eliminar un grupo: desvincule el grupo en Push Groups con la opción de eliminar de la aplicación.

• Activar o desactivar un usuario: un usuario activado recibirá un correo electrónico de activación.

Los Workspaces se parecen a los grupos de usuarios en Okta, pero solo admiten la gestión de membresía. No puede crear un nuevo Workspace ni cambiar el nombre de uno existente.

Después de agregar o quitar un usuario de un grupo de Workspace, puede comprobar el resultado a través de la interfaz de Workspace de Altium 365.

• El nuevo usuario SCIM debería poder iniciar sesión mediante SSO

• El nuevo usuario SCIM debería ser invitado automáticamente al Workspace.

• No se enviará una invitación por correo electrónico al usuario.

Integración con Microsoft Entra ID

Aplicación SAML:

1. Inicie sesión en el Centro de administración de Microsoft Entra.

2. Seleccione Identity y luego la opción Enterprise applications.

   

3. Cree su propia aplicación.

   

4. Seleccione Users and groups y luego Add user/group.

   

   

   

    

5. Seleccione Single sign-on, Step 1 y luego Edit.

   

   

    

6. Copie () las entradas Entity ID y Single Sign On URL de la sección Altium Sign-On Settings de la página Authentication del Company Dashboard. Pegue las cadenas copiadas en los campos Entity ID y Assertion Consumer Service URL del área de configuración SAML de la aplicación de Microsoft Entra. Asegúrese de que las casillas Default estén marcadas para estos campos y luego guarde la configuración.

   

7. Descargue el XML de metadatos de federación creado.

   

8. Cargue el XML de metadatos de federación en la página Authentication del Company Dashboard (la región 2. SAML Identity Provider configuration de la sección Altium Sign-On Settings) y luego pruebe la conexión de integración SAML.

Aprovisionamiento:

1. En la pantalla de administración de la aplicación de Microsoft Entra, seleccione Provisioning en el panel izquierdo y luego el botón Get started.

2. Establezca Provision MODE en Automatic.

3. Copie () las entradas Base URL y API Token de la sección Provisioning de la página Authentication del Company Dashboard y péguelas en los campos Tenant URL y Secret Token, respectivamente.

   

4. Haga clic en el botón de Test Connection de aprovisionamiento de Microsoft Entra y, si las credenciales se autorizan correctamente, Save la configuración.

   

5. En la sección Mappings, hay dos conjuntos seleccionables de asignaciones de atributos: uno para objetos de grupo y otro para objetos de usuario.

   

6. Seleccione cada asignación para revisar los atributos que se sincronizan desde Microsoft Entra ID con su aplicación. Los atributos seleccionados como propiedades coincidentes se utilizan para hacer coincidir los usuarios y grupos en su aplicación durante las operaciones de actualización. Seleccione Save para confirmar cualquier cambio.

   

   Opcionalmente, puede deshabilitar la sincronización de objetos de grupo deshabilitando la asignación de Groups.

7. En Settings, el campo Scope define qué usuarios y grupos se sincronizan. Seleccione Sync only assigned users and groups (recomendado) para sincronizar solo los usuarios y grupos asignados en la página Users and groups.

   

8. Una vez completada la configuración, establezca Provisioning Status en On.

   

9. Seleccione Save para iniciar el servicio de aprovisionamiento de Microsoft Entra.

Integración con JumpCloud como proveedor de identidad

1. En la interfaz de JumpCloud, seleccione SSO en el árbol de navegación y luego el botón Add New Application en la página SSO.

   

2. Introduzca 'saml' en la búsqueda de la ventana de configuración para localizar y luego instalar Custom SAML App.

   

3. Asigne un nombre a su instancia de Custom SAML App; en este ejemplo, la etiqueta es 'Altium'.

   

4. Cambie a la pestaña SSO en la interfaz de configuración de JumpCloud. Copie () las entradas Entity ID y Single Sign On URL de la sección Altium Sign-On Settings de la página Authentication del Company Dashboard y péguelas en los campos SP Entity ID y Default URL , respectivamente.

   

5. Introduzca el endpoint de JumpCloud IDP URL y habilite la opción Declare Redirect Endpoint.

   

6. Cambie a la pestaña Identity Management en la interfaz de JumpCloud. Copie () las entradas Base URL y API Token de la sección Provisioning de la página Authentication del Company Dashboard y péguelas en los campos Base URL y Token Key , respectivamente. Introduzca también una dirección de correo electrónico de prueba adecuada.

   

7. Realice una Test Connection, que mostrará un mensaje de confirmación en la parte superior derecha de la página (como se muestra a continuación).

   

8. Desactive (desmarque) la opción Group Management y luego Activate la configuración.

   

   Nota: Si recibe un error de conexión como 'There was a problem activating Identity Management' en la parte superior de la página o 'Test filter user: unable to get or create user from service' en la parte inferior de la página, intente introducir una dirección de correo electrónico de prueba diferente y luego seleccione Activate nuevamente.

9. De vuelta en la pestaña SSO de la interfaz de JumpCloud, use la opción Export Metadata para descargar el archivo XML de metadatos SAML resultante.

   

10. En la página Authentication del Company Dashboard, importe el archivo XML de metadatos descargado y luego ejecute una prueba de integración con el botón Test Sign On. A continuación debería mostrarse un resultado correcto de la prueba de integración. Después de confirmar la conexión, puede habilitar la opción Altium Sign-On Settings y luego la opción SSO en la sección Authentication methods.

Autenticación SAML SSO con Microsoft Administrative Domain Federated Services (AD FS)

Siga los pasos que se describen a continuación para configurar el inicio de sesión de su organización de Altium 365 para que use su instancia de AD FS para la autenticación SSO.

Requisitos previos

• Acceso administrativo a la cuenta de empresa de la organización en Altium 365.

• Acceso administrativo a la instancia de AD FS.

Configuración de AD FS

1. Abra la aplicación AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).

2. Vaya a Relying Party Trusts y haga clic en la opción Add Relying Party Trust... (1).

3. En la ventana emergente, asegúrese de seleccionar Claims aware (2) y haga clic en Start (3).

   

4. En el paso Select Data Source seleccione Enter data about the relying party manually (1) y haga clic en Next (2).

   

5. Proporcione un nombre para mostrar para la confianza. En este ejemplo se usa AltiumLive como nombre para mostrar.

   

6. Según su configuración de seguridad, puede especificar un certificado opcional de cifrado de token. Para los fines de esta guía no usaremos ninguno.

   

7. En el paso Configure URL asegúrese de seleccionar la opción Enable support for the SAML 2.0 WebSSO protocol (1) e introducir https://identity.live.altium.com/AssertionConsumerService en el campo Relying party SAML 2.0 SSO service URL: (2). Haga clic en Next (3).

   

8. En el paso Configure Identifiers proporcione un identificador para esta confianza en el campo de entrada (1). El identificador debe tomarse de la entrada Entity ID ubicada en la región SAML Single Sign-On de la página Dashboard Authentication. Asegúrese de hacer clic en el botón Add (2).

   

   El resultado debería verse como el siguiente. Haga clic en Next.

   

9. Según su configuración de seguridad, puede elegir políticas opcionales de control de acceso en el siguiente paso. Para este ejemplo no seleccionaremos ninguna política adicional y continuaremos con la opción Permit everyone.

   

10. Revise la configuración y seleccione Next.

    

11. No todas las configuraciones están disponibles durante la configuración de la confianza. Para permitir que SHA-1 se utilice como algoritmo hash seguro, haga clic con el botón derecho en el nombre de Relying Party Trust que acaba de agregar y seleccione Properties.

    

12. En la ventana de propiedades, seleccione la pestaña Advanced (1) y establezca SHA-1 como algoritmo hash seguro (2). Haga clic en OK para guardar los cambios.

    

13. De vuelta en la ventana de administración de AD FS, seleccione la confianza de parte confiable que ha agregado y seleccione la opción Edic Claim Issuance Policy...

    

14. En la ventana Edit Claim Issuance Policy seleccione Add Rule...

    

15. En el paso Choose Rule Type del asistente, asegúrese de que Send LDAP Attributes as Claims esté seleccionado y luego haga clic en Next.

    

16. Proporcione un Claim rule name (1), seleccione Active Directory como el Attribute store (2), y seleccione un LDAP Attribute (3) del ID que contiene el nombre de usuario para la Altium Account. Este atributo debe asignarse a Name ID en el Outgoing Claim Type (3). Haga clic en Finish (4).

    

    Important Note: Para este ejemplo, hemos asignado Surname o Last name para que contenga el valor requerido. Su configuración puede ser diferente.

    

17. Asegúrese de que la directiva de emisión de notificaciones esté guardada haciendo clic en OK.

    

Con esto concluye la configuración de AD FS.

Configuración de Altium 365

1. Acceda a la página Authentication del Company Dashboard y cargue el archivo FederationMetadata.xml que descargó previamente (consulte la sección Dashboard SSO Configuration más abajo para obtener más información). La configuración debería importarse y los valores de X509 Certificate, Identity Provider Issuer y IdP Single Sign-On URL deberían estar visibles. Haga clic en el botón Test Sign On para probar la configuración.

2. En la pantalla de inicio de sesión, introduzca las credenciales del usuario según los requisitos de su organización y haga clic en Sign in.

   

3. La aserción se enviará de vuelta a Altium 365. Si la pantalla muestra un mensaje Test SAML connection was successful!, entonces la configuración se ha completado correctamente. Puede ver la respuesta SAML haciendo clic en el botón See Response . Haga clic en Back to Settings para volver a la página Authentication.

4. En la página Authentication, habilite las opciones Altium Sign-On Settings y SSO .

Con esto concluye la configuración. A partir de este momento, los usuarios de su organización deberían poder iniciar sesión en Altium 365 usando el AD FS de su organización como IdP de SSO.

Configuración SSO SAML con Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Vaya a IAM Identity Center y agregue una aplicación SAML 2.0 personalizada (Add Application).

   

   

2.  Copie () las entradas Entity ID y Single Sign On URL  de la sección Altium Sign-On Settings de la página Authentication del Company Dashboard y péguelas en la configuración de URL de metadatos de AWS. Confirme la configuración con Submit.

   

3. Descargue el archivo de metadatos del área IAM Identity Center metadata.

   

4. Vaya a Edit attribute mappings.

   

5. Agregue ${user:email} y Format como unspecified.

   

6. Cree nuevos usuarios en AWS; los nombres de los usuarios deben tener el formato user@domain.com.

   Asigne la aplicación a los usuarios creados o a un grupo.

   

7. La opción Provisioning en la página Authentication del Company Dashboard debe estar desactivada.

   Actualmente, AWS no admite el aprovisionamiento saliente automático mediante SCIM.

8. Asegúrese de que existan los mismos usuarios tanto en el lado de Altium como en el de IAM. Los usuarios deben nombrarse siguiendo el formato user@domain.com.

   

9. En la página Authentication del Company Dashboard, cargue el archivo XML que descargó previamente (consulte la sección Dashboard SSO Configuration más abajo para obtener más información). Haga clic en el botón Test Sign On para probar la configuración.

10. Luego se le redirigirá a la página de inicio de sesión de AWS. Introduzca sus credenciales de usuario de AWS. Debería ser redirigido de vuelta al Dashboard y ver el mensaje Test SAML connection was successful! .

11. Después de una prueba correcta, habilite las opciones Altium Sign-On Settings y SSO .