Tipo de proveedor de la autenticación SAML
Acerca del lenguaje de marcado de aserción de seguridad (SAML)
El lenguaje de marcado para confirmaciones de seguridad (SAML) es un formato de datos basado en XML que puede utilizarse para autenticar y autorizar a usuarios de distintos sistemas. SAML se utiliza con frecuencia como solución de SSO o inicio de sesión único (SSO), incluso para Blackboard. Cuando se instala y configura correctamente, SAML permite a los usuarios de Blackboard iniciar sesión con su nombre de usuario y contraseña de otra institución o aplicación. Gracias al SSO, los administradores y los usuarios ahorran tiempo, ya que se les proporciona una integración sin inconvenientes para el inicio de sesión.
La información del usuario se transmite de un sistema a otro en una aserción SAML. El proveedor de identidad es el host externo de la cuenta del usuario y su instancia de Blackboard actúa como proveedor de servicio. El proveedor de identidades envía atributos que Blackboard utiliza para crear o actualizar una cuenta para el usuario. Estos atributos incluyen información, como el nombre de usuario, el nombre de pila, el apellido y la dirección de correo electrónico, y se incluyen en un paquete dentro de un token de seguridad, como una aserción SAML. El proveedor de identidad envía esta aserción SAML a Blackboard cuando el usuario ingresa su información de inicio de sesión mediante el inicio de sesión único. Si su nombre de usuario no coincide con nada en el sistema, Blackboard crea una nueva cuenta con los atributos de usuario contenidos en la aserción SAML.
El Building Block SAML simplifica la configuración del SSO. Una vez activado el Building Block, aparecerá un nuevo tipo de autenticación en la lista Crear proveedor de Panel de administración > Autenticación, donde podrá configurar el servicio correctamente.
El Bloque SAML establece una única conexión entre Blackboard y un proveedor de identidad. Puedes crear varias entradas del proveedor de la autenticación SAML para conectarse a diversos proveedores de identidades. Además, SAML no reemplaza completamente el flujo de trabajo de inicio de sesión de Blackboard. Los usuarios pueden iniciar sesión en Blackboard con sus credenciales de forma normal, si lo prefieren.
Activar el Building Block SAML
Vaya al Panel del administrador.
En la sección Integraciones, seleccione Building Blocks.
Seleccione Herramientas instaladas
LocaliceProveedor de autenticación: SAML en la lista y establezca su estado como disponible.
En el Panel de administración, en Integraciones, seleccione Autenticación.
SAML aparecerá en la lista Crear un proveedor en la página Proveedor de la autenticación.
Configurar ajustes
Puede realizar ajustes para solucionar problemas o garantizar la seguridad de su conexión SAML.
Vaya al Panel del administrador.
En la sección Integraciones, seleccione Building Blocks.
Seleccione Herramientas instaladas.
Busque la opción Proveedor de la autenticación: SAML en la lista. Abra el menú y seleccione Ajustes. Tiene estas opciones:
Regenerar certificado: seleccione Regenerar para volver a generar el certificado SAML. Es posible que deba volver a generar un certificado para mantener la seguridad de la conexión o en caso de que el certificado haya vencido.
Nota
Después de volver a generar el certificado, deberá cargar nuevamente los metadatos del proveedor de servicios en el proveedor de identidades. Cuando seleccione Volver a generar, el sistema le pedirá que confirme este paso.
Nota
Si genera un certificado nuevo con la configuración de B2, debe alternar SAML B2 entre Inactivo y Activo para forzar el cambio. Luego, puede volver a la configuración del proveedor y generar los metadatos nuevos para importarlos al IdP. Si no alterna la configuración, es posible que aún se incluya el certificado anterior al generar metadatos nuevos. El IDP no se actualizará y la próxima vez que Blackboard se reinicie, presentará el nuevo certificado. La autenticación de SAML se interrumpirá debido a esta discrepancia.
Configuración de caducidad de aserción: en esta sección, puede ajustar el Tiempo de caducidad (ResponseSkew) y el Límite de antigüedad de la sesión SAML. Es posible que deba editar el valor de ResponseSkew si su servidor Blackboard se encuentra en una zona horaria diferente a la del servidor del proveedor de identidad. La diferencia horaria puede causar que las aserciones SAML se venzan antes de que los usuarios se autentiquen de forma correcta. Las sesiones SAML caducan en el tiempo que se indica en límite de antigüedad de la sesión SAML. Seleccione No limitar la antigüedad de la sesión si desea permitir que las sesiones no caduquen nunca.
Configuración del algoritmo de firma: elija un tipo de algoritmo de firma que satisfaga sus necesidades de seguridad o según lo requieran los proveedores de identidad. Después de seleccionar la opción Tipo de algoritmo de firma, reinicie el Building Block SAML para que se apliquen los nuevos ajustes.
Seleccione Enviar para guardar los cambios.
Crear y configurar un proveedor de la autenticación SAML
Haga clic en el botón Crear un proveedor y seleccione el tipo de proveedor de la autenticación SAML.
Escriba un nombre y una descripción opcional para el proveedor.
Establezca el estado de la Disponibilidad del proveedor de la autenticación en Activo.
Establezca el Método de búsqueda de usuarios en Nombre de usuario o UID de lote.
Establezca la opción Restringir por nombre de host en Usar este proveedor para cualquier nombre de host.
Si lo desea, puede seleccionar Restringir este proveedor solo para el nombre de host especificado. Escriba el nombre de host en el campo Nombres de host restringidos siguiente.
En el campo Texto del vínculo escriba el título del vínculo tal como desea que aparezca en la página de inicio de sesión de Blackboard.
También puede agregar un ícono a esta página. Seleccione Examinar para cargar un ícono en la página de inicio de sesión.
Haga clic en Guardar y configurar.
En la página de ajustes de la autenticación SAML, puede configurar el proveedor de servicios y el proveedor de identidades para que estos establezcan una conexión de confianza. El proveedor de identidad es el host externo de la cuenta del usuario y su instancia de Blackboard actúa como proveedor de servicio.
Ajustes del proveedor de servicios
En el campo URL de ACS, se muestra la URL del servicio de consumidor de aserciones. Puede que un proveedor de identidades solicite esta URL para completar las configuraciones por su parte.
Escriba un nombre para la ID de la entidad. Esta ID se rellenará en los metadatos del proveedor de servicios.
Seleccione la casilla de verificación Habilitar inicio de sesión único automático para permitir que los usuarios omitan la pantalla de inicio de sesión de Blackboard si ya han iniciado sesión en un proveedor de identidad de confianza.
En la sección Tipo de servicio de cierre de sesión único, hay tres casillas de verificación. Seleccione Publicar y Permitir respuesta de inicio de sesión de ADFS si ADFS es el proveedor de identidades. Si selecciona la opción Permitir respuesta de cierre de sesión de ADFS, se cerrará la sesión del proveedor de identidades del usuario cuando salga de Blackboard.
Para configurar una conexión de confianza, debe compartir sus metadatos con el proveedor de identidades. Haga clic en el botón Generar junto a los metadatos del proveedor de servicios.
Comparta los metadatos con el proveedor de identidades. Después de que el proveedor guarde los metadatos, se establece la conexión de confianza.
Seleccione un origen de datos para el proveedor de la autenticación. El origen de datos es el origen de las cuentas que este proveedor de la autenticación proporciona. El valor predeterminado es Interno. Le recomendamos que cree un origen de datos específico que se utilice con un proveedor de la autenticación SAML.
En la lista Orígenes de datos compatibles, seleccione los orígenes de datos con los que este proveedor de la autenticación debe ser compatible. Esto es importante cuando el proveedor de la autenticación incluye cuentas compartidas con fuentes de datos existentes. Si el usuario existe y está asociado a una fuente de datos que no está seleccionada, no se lo autenticará correctamente.
Marque la casilla de verificación para que el sistema cree automáticamente una cuenta nueva para el usuario si no se encuentra su información.
En el cuadro de texto Mensaje del error, puede escribir un mensaje personalizado que recibirán los usuarios si la autenticación SAML no funciona según lo previsto.
Configuración del proveedor de identidades
Si selecciona Señalar un proveedor de identidades, cargue el archivo de metadatos del proveedor de identidades que se compartió con usted. Puede escribir la URL de los metadatos del proveedor de identidades, pero se recomienda que cargue el archivo de metadatos. Solo una de estas versiones de metadatos se conserva en el sistema.
Si selecciona Federación de identidades, aparecerá un campo en el que podrá escribir la URL del servicio de detección.
Nota
Después de la configuración, deberá además registrar los metadatos del proveedor de servicios en la comunidad de federaciones, como InCommon, UK Federation, etc.
Asignar los atributos de SAML
Configure los atributos de SAML de modo que se ajusten adecuadamente a las definiciones de atributos del proveedor de identidades. Si un atributo se deja en blanco, el Building Block SAML lo omitirá cuando analice la respuesta SAML.
Seleccione Enviar para guardar la información.
El rol de institución de un usuario en su sistema Blackboard se determina de acuerdo con la información recibida del proveedor de identidad. Los roles se asignan de acuerdo con lo siguiente:
Rol de la institución principal (SAML) | Rol de Blackboard Institución |
|---|---|
Estudiante | Estudiante |
Personal | Personal |
Personal docente | Personal docente |
El rol de un usuario en un curso se determina conforme a la información recibida del proveedor de identidades. Los roles se asignan de acuerdo con lo siguiente:
Afiliaciones a los cursos (SAML) | Rol del curso de Blackboard |
|---|---|
Alumno | Estudiante |
Profesor | Profesor |
Desarrollador de contenido | Creador de cursos |
Miembro | Estudiante |
Gerente | Estudiante |
Administrador | Estudiante |
Profesor asistente | Profesor asistente |
Consejero | Profesor |
Si espera que la respuesta del proveedor de identidad incluya varios valores para un atributo, formatee su respuesta de SAML de la siguiente manera.
<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> <saml2:AttributeValue>Learner@batchUid:TEST_COURSE_003 </saml2:AttributeValue> <saml2:AttributeValue>Learner@batchUid:TEST_COURSE_004 </saml2:AttributeValue> </saml2:Attribute>
Probar la conexión
Pruebe la conexión para asegurarse de que funcione correctamente. Cierre sesión en Blackboard y vuelva a iniciarla con el enlace SAML. Introduzca las credenciales de la cuenta para iniciar sesión en el sitio externo. Volverá a Blackboard cuando inicie sesión correctamente.
Cierre sesión en Blackboard y aparecerá un mensaje que le preguntará si desea finalizar todas las sesiones relacionadas o continuar. Si no hace nada, el sistema cierra todas las sesiones al cabo de dos minutos. Si desea continuar en la sesión, deberá iniciar sesión nuevamente por motivos de seguridad.
Solución de problemas
Si usted o sus usuarios experimentan errores, consulte estos consejos para solucionar problemas.
Si se produce un error antes que usted sea redirigido a la página de inicio de sesión del proveedor de identidades, es posible que los metadatos del proveedor no sean válidos.
Si en cambio el error se produce después de que usted inicia sesión en la página del proveedor de identidades, estos podrían ser los motivos:
La asignación de los atributos entre el proveedor de servicios y el proveedor de identidades no es correcta o el proveedor de identidades no devolvió una ID del usuario remoto válida.
El proveedor de servicios no validó la respuesta de SAML del proveedor de identidades. Esto podría deberse a lo siguiente:
El proveedor de identidades firma la respuesta de SAML con un certificado que no fue emitido por una autoridad válida, y este certificado no está incluido en el almacén de claves del proveedor de servicios.
El reloj del sistema del proveedor de servicios no es correcto.
Para obtener más información sobre los errores, abra el archivo Bb-servicios-log.txt o el panel de registro visual y busque palabras clave como
unsuccessfulAuthenticationoBbSAMLExceptionHandleFilterPara encontrar una respuesta de SAML, puede usar la consola de desarrollador de Chrome, el complemento SAML Tracer para Firefox o SAML Message Decoder para Firefox.