Configurar SSO de SAML

El plugin SAML 2.0 (SSO) permite a los usuarios iniciar sesión en Totara utilizando una cuenta de un proveedor de identidad (IdP). En este caso, Totara es tu proveedor de servicios (SP).

Habilitar SSO de SAML

Puedes habilitar el método de autenticación SAML siguiendo estos pasos:

1. Ir al menú de acceso rápido > Plugins > Authentication > Administrar autenticación.
2. Haz clic en el ícono del ojo () junto al plugin SAML 2.0 (SSO) para habilitarlo (el ojo estará abierto una vez que el método de autenticación esté habilitado).

Configurar un proveedor de identidad (IdP)

Una vez que haya habilitado el plugin de autenticación SAML 2.0, deberá configurar un IdP, que estará disponible como opción de inicio de sesión para los usuarios. En el protocolo SAML, la comunicación ocurre entre un IdP y un SP sobre puntos finales específicos. El IdP proporciona los siguientes puntos finales para la comunicación:

• Servicio de inicio de sesión único
• Servicio de cierre de sesión único

El SP proporciona los siguientes puntos finales para la comunicación:

• Servicio al Consumidor de Assertion
• Servicio de cierre de sesión único

Para configurar un IdP con Totara, debe informar a Totara de los puntos finales de IdP. Esto se hace proporcionando a Totara los metadatos del IdP (un archivo XML que contiene todos los puntos finales requeridos y una clave pública). Puedes proporcionar los metadatos ingresando una URL para obtener los metadatos de o ingresando el contenido del archivo XML directamente en Totara.

También necesitas informar al IdP de los puntos finales de Totara. La forma en que se hace esto varía para los IdP individuales. Hemos documentado cómo configurar los siguientes IdP con Totara:

• Azure y AD
• Okta
• Auth0

Una vez que tanto el IdP como el SP se hayan proporcionado con los puntos finales de cada uno, pueden comunicarse correctamente. Para una solicitud de inicio de sesión exitosa, el IdP proporciona una lista de atributos que se utilizarán para identificar al usuario. Estos atributos deben asignarse a los campos de usuario de Totara para autenticar al usuario en su instancia de Totara.

Crear una conexión IdP

Siga estos pasos para crear una conexión IdP:

1. Ir al menú de acceso rápido > Plugins > Autenticación > SSO SAML > Configuración .
2. Haga clic en Añadir proveedor de identidad .
3. Dale un nombre a tu IdP. Este será el nombre que se mostrará a los usuarios en la pantalla de inicio de sesión.
4. Proporciona un enlace a los metadatos o pega los metadatos XML de IdP en el campo de metadatos de IdP.
5. Especifica un identificador de usuario y el campo Totara al que deseas asignarlo. Los campos personalizados únicos del usuario también están disponibles como opción.
6. Para configurar los ajustes adicionales y las asignaciones de campo, haga clic en Mostrar ajustes avanzados:
   • En la pestaña Asignaciones de campo, asigne los atributos de usuario proporcionados por el IdP a su usuario de instancia de Totara. Ten en cuenta que los atributos del usuario pueden ser URL completas.
   • La pestaña Advanced settings (Configuración avanzada) contiene las siguientes opciones para modificar el comportamiento específico de Totara al interactuar con el IdP:
     • Nuevos usuarios: Selecciona cómo se deben manejar los nuevos usuarios.
     • Usuarios existentes: Selecciona cómo se deben manejar los usuarios existentes. 
     • Formato de ID de nombre: Selecciona el formato que deseas utilizar.
     • ID de la entidad: Anular la ID de la entidad utilizada en los metadatos de SP.
     • Comportamiento de cierre de sesión: Aplicar cierre de sesión en IdP cuando el usuario cierra sesión en Totara.
     • Redirigir después de cerrar sesión: Especificar una URL de redireccionamiento después de cerrar sesión.
     • Delimitador de atributo : Delimitador de atributos utilizado para asignaciones de campos IdP con valores múltiples.
     • Firmas: Estos ajustes no son necesarios para una operación segura, pero pueden ser útiles en algunos casos. Seleccione entre las siguientes opciones:
       • Firmar metadatos
       • Firmar solicitudes de autenticación
       • Requerir que IdP firme afirmaciones individuales
     • Ocultar en la página de inicio de sesión : Si se habilita, el IdP no se mostrará en la página de inicio de sesión.
     • Depurar : Capturar comunicaciones y el IdP para fines de depuración.
7. Haga clic en Guardar.
8. Asegúrese de que la opción Estado esté habilitada para garantizar que el IdP sea visible en la pantalla de inicio de sesión.
9. Desde la página Administrar proveedores de identidad, haz clic en el ícono de tres puntos () junto a la IdP y selecciona Probar para probar tu nueva conexión de IdP.

Migrando usuarios a SAML 2.0 (SSO)

Los usuarios deben tener su método de autenticación establecido en SAML 2.0 (SSO) para poder iniciar sesión a través de SAML. Al importar usuarios a través de la importación de RR. HH., puedes configurar la opción Auth en 'ssosaml'.

Alternativamente, puede establecer la configuración de enlace automático para un IdP a usuarios existentes y, opcionalmente, marcar la opción Requerir verificación de correo electrónico. Con esta configuración habilitada, los usuarios existentes que no sean de SAML podrán iniciar sesión a través de SAML si coinciden con las condiciones (mientras aún pueden usar sus métodos de inicio de sesión existentes).

Configurar SSO de SAML con Okta

Para configurar el SSO de SAML con Okta, siga estos pasos:

1. Inicia sesión en Okta con tus credenciales.
2. Haga clic en Admin .
3. Vaya a Aplicaciones > Aplicaciones .
4. Haga clic en Crear integración de aplicaciones , luego seleccione SAML 2.0.
5. Introduzca un nombre y haga clic en Siguiente .
6. En Totara, ve al menú de acceso rápido > Plugins > Authentication > SAML 2.0 (SSO) > Settings .
7. Crear un IdP.
8. Copia la siguiente información e introdúcela en Okta:
   • URL de ACS -> URL de inicio de sesión único
   • ID de entidad -> URI de audiencia
9. Expanda la Configuración avanzada y luego cargue el certificado desde Totara.
10. Habilitar cierre de sesión único .
11. Copiar la URL de cierre de sesión único de Totara a Okta.
12. Copiar el ID de la entidad de Totara al campo Emisor SP en Okta.
13. Completa las siguientes declaraciones de atributos:
    • first_name -> usuario.firstName
    • last_name -> user.lastName
    • correo electrónico -> user.email
14. Haga clic en Siguiente , seleccione cualquiera de las opciones y luego haga clic en Finalizar .
15. Copia la URL de metadatos de Okta y pégala en Totara.
16. Vuelve a Okta, ve a la pestaña Tareas y selecciona el grupo Todos.
17. En Totara, bajo Identificador de usuario , ingresa "correo electrónico" como el campo IdP y elige Dirección de correo electrónico como el campo Totara.
18. En Asignaciones de campo , agregue las siguientes asignaciones:
    • Nombre -> first_name, en cada inicio de sesión
    • Apellido -> last_name, en cada inicio de sesión
19. Haga clic en Guardar.
20. Haz clic en el ícono de tres puntos () y haz clic en Probar para verificar que la integración funcione.

Configurar SSO SAML con Microsoft Azure AD

Para configurar SAML con Microsoft Azure Active Directory, necesitará una cuenta de usuario con privilegios de Administrador de la Aplicación. Inicia sesión en tu portal de Azure y sigue estos pasos:

1. En tu instancia de Totara, ve al menú de acceso rápido > Plugins > Authentication > SAML 2.0 (SSO) > Settings y crea un IdP.
2. En Azure, haga clic en Azure Active Directory en Servicios de Azure .
3. En la barra de navegación lateral, haga clic en Aplicaciones empresariales .
4. Haga clic en + Nueva aplicación .
5. Haga clic en + Crear su propia aplicación .
6. Asigne un nombre a la aplicación.
7. Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no galería).
8. Haga clic en Crear. Luego serás dirigido a la aplicación empresarial recién creada.
9. En la aplicación empresarial recién creada, haga clic en Inicio de sesión único en la barra lateral de navegación.
10. Haga clic en SAML .
11. Haga clic en Editar en la tarjeta de Configuración básica de SAML y proporcione lo siguiente de su IdP de Totara recién creado:
    • Identificador (ID de la entidad)
    • URL de respuesta (URL de servicio al consumidor de Assertion)
    • URL de cierre de sesión 
    • Como alternativa, puedes descargar tus metadatos de Totara y cargarlos haciendo clic en Cargar archivo de metadatos
12. Haga clic en Guardar.
13. En la tarjeta de certificados SAML, haga clic en el enlace de descarga junto a Federation Metadata XML .
14. Copia el contenido del archivo XML a tu instancia de metadatos de Totara IdP.
15. Haga clic en Usuarios y grupos en la barra de navegación lateral.
16. Haga clic en + Añadir usuario/grupo y asigne un usuario al que tenga acceso.
17. En tu sitio de Totara, ve a tu instancia de Totara y prueba la configuración.
18. Asigne los atributos proporcionados por el IdP a su instancia de Totara según sea necesario (utilice la página Configuración de prueba para ver lo que proporciona el IdP).
19. Para probar el inicio de sesión iniciado por IdP, vaya a https://myapplications.microsoft.com/.
20. Busca la empresa que creaste y haz clic en ella para iniciar sesión.

Configurar SSO SAML con Microsoft AD FS

Para configurar el SSO SAML con Microsoft AD FS, siga estos pasos:

1. Instalar y configurar AD DS y AD FS en una instancia de Windows Server.
2. En Totara (asegúrate de estar usando https y de haber purgado tu caché), ve a Menú de acceso rápido > Plugins > Autenticación > SAML 2.0 (SSO) > Configuración y crea un IdP. Obtener el XML de metadatos de federación de AD FS. 
3. Añadir los metadatos en Totara como XML.
4. Asignar 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' al identificador de usuario .
5. Configurar las siguientes asignaciones:
   • Dirección de correo electrónico → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • Nombre → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
   • Apellido → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
6. Haga clic en Guardar.
7. Descarga los metadatos de Totara.
8. Conectar al servidor AD FS.
9. Abra la herramienta de gestión de AD FS (Administrador de servidores > Herramientas > AD FS ).
10. Selecciona Confiabilidad de la parte en la barra lateral izquierda y elige Añadir confianza de la parte en confianza .
11. Seleccione Reclamaciones conscientes .
12. Carga los metadatos de Totara.
13. Dale un nombre para que pueda ser fácilmente identificado.
14. Seleccione Permitir a todos .
15. Haga clic en Finalizar .
16. Es posible que no importe las URL de ACS/SLO, por lo que debe hacer clic con el botón secundario en la entrada que agregó y luego ir a Propiedades > Terminales . Si está vacío, sigue estos pasos:
    1. Haz clic en Añadir SAML y selecciona Consumidor de Aserción .
    2. Copia la URL de ACS de Totara a la URL de confianza , establece la vinculación a POST y marca la opción Predeterminado , luego haz clic en Guardar .
    3. Haz lo mismo para SLO.
    4. Cerrar propiedades .
17. Haga clic con el botón derecho en la entrada y haga clic en Editar política de emisión de reclamaciones .
18. Añadir una regla y seleccionar Enviar atributos LDAP como reclamaciones .
19. Introduzca un nombre.
20. Elija Active Directory como el almacén de atributos.
21. Asignar los siguientes campos (LDAP → Saliente):
    • Nombre de usuario → ID de nombre (esto es importante, ya que si el ID de nombre no está asignado, AD FS no enviará SessionIndex )
    • Dirección de correo electrónico → Dirección de correo electrónico
    • Nombre → Nombre
    • Apellido → Apellido