Skip to main content

Guía de configuración de SAML para ADFS

En este tema se proporcionan instrucciones para configurar la autenticación SAML en una instancia de Blackboard con Servicios de federación de Active Directory (ADFS) como proveedor de identidades (IdP). Su entorno de Blackboard actúa como proveedor del servicio (SP). Si bien estos pasos corresponden a la versión 3.0 de ADFS con Windows Server 2012 R2, también puede utilizarlos para ADFS 2.0.

Proveedor de servicios de Blackboard

  1. Inicie sesión en Blackboard como administrador y vaya a Administrador del sistema > Autenticación.

  2. Elija la opción Crear proveedor > SAML.

  3. Introduzca los siguientes ajustes:

    • Nombre > escriba SAML de ADFS o el que desee.

    • Proveedor de autenticación > establézcalo como Inactivo.

    • Método de búsqueda de usuario > Nombre de usuario.

    • Restringir por nombre de host > Utilizar este proveedor para cualquier nombre de host

    • Texto del enlace > escriba Inicio de sesión de ADFS o el que desee.

  4. Seleccione Guardar y configurar.

  5. Asegúrese de que el valor en el campo ID de entidad sea el mismo que el de la URL de ACS.

  6. Seleccione habilitar el tipo de servicio de cierre de sesión único de inicio de sesión único automático Post y permitir ADFS LogoutResponse. Deje Redireccionar sin seleccionar o sin marcar.

  7. En Metadatos de proveedor de servicios, elija la opción Generar y guarde el archivo XML en el escritorio.

  8. Si usa JIT, se recomienda que cree un nuevo Origen de datos para este proveedor con el nombre SAML; de lo contrario, use SISTEMA o el nombre que desee.

  9. Marque la casilla de verificación Habilitar aprovisionamiento JIT para permitir que el sistema cree automáticamente una cuenta cuando un usuario desconocido intenta iniciar sesión a través del proveedor de la autenticación SAML. Si no está seleccionada, la cuenta de usuario primero deberá crearse manualmente en Blackboard.

  10. En la lista Orígenes de datos compatibles, asegúrese de seleccionar los orígenes de datos con los que este proveedor de la autenticación debe ser compatible.

  11. Seleccione Proveedor de identidad puntual para el Tipo de proveedor de identidad.

  12. Para los metadatos del proveedor de identidades, seleccione la dirección URL de metadatos y establezca la dirección URL para que sea una de las direcciones URL de metadatos de ADFS. https://[nombre de host del servidor adfs]/FederationMetadata/2001-03/FederationMetadata.xml y seleccione Validar.

    Nota

    Es necesario que el servidor ADFS tenga un certificado comercial. Si usa un certificado autofirmado, se producirá un error en la validación. Deberá realizar la descarga del archivo FederationMetadata.xml y usar la opción Archivo de metadatos en su lugar.

  13. Seleccione Enviar.

Proveedor de identidad de ADFS

  1. En el servidor de ADFS, acceda a la Consola de administración de ADFS.

  2. Vaya a Relaciones de confianza > Relaciones de confianza para usuarios autenticados > Agregar una relación de confianza para usuario autenticado.

  3. En la página Asistente para agregar relaciones de confianza para usuarios autenticados, seleccione Iniciar.

  4. Haga clic en Importar los datos sobre la relación de confianza desde un archivo.

  5. Seleccione Examinar y cargue el archivo que se creó en el paso 6 de la sección Blackboard SP. Seleccione Siguiente.

  6. Escriba un nombre para mostrar, como yourlearnserver.blackboard.com, y haga clic en Siguiente.

  7. Elija la opción No deseo configurar la autenticación de varios factores… y seleccione Siguiente.

  8. Seleccione Permitir que todos los usuarios tengan acceso a esta relación de confianza y haga clic en Siguiente.

  9. Haga clic en Siguiente en el paso Listo para agregar una relación de confianza y luego seleccione Cerrar en el paso Finalizar.

  10. Una vez creada la Relación de confianza para usuario autenticado, se debería abrir la opción Editar las reglas de notificación si no se quitó la selección en la última casilla de verificación. De lo contrario, haga clic con el botón derecho en Relación de confianza para usuario autenticado y seleccione Editar las notificaciones.

Agregar reglas de notificaciones para una relación de confianza

Enviar los atributos como notificaciones

Al agregar reglas de notificación para la confianza del usuario de confianza, los atributos LDAP se envían como notificaciones desde el servidor ADFS a Blackboard. En la consola de administración de ADFS, haga clic con el botón derecho en la relación de confianza para usuario autenticado.

Enviar un nombre de usuario

  1. En la ficha Reglas de transformación de emisión, seleccione Agregar una regla.

  2. En la página Seleccionar una plantilla para la regla, elija la opción Enviar los atributos LDAP como notificaciones para la plantilla de la regla de notificaciones y seleccione Siguiente.

  3. En la página Configurar la regla, en el cuadro Nombre de la regla de notificación, escriba Transformar el nombre de usuario en la ID del nombre.

  4. En el menú desplegable Almacén de atributos, seleccione Active Directory.

  5. En el cuadro Asignación a la izquierda, seleccione SAM-Account-Name o Empresa.

  6. En el cuadro Asignación a la derecha, escriba SamAccountName y seleccione Finalizar.

Nota

El atributo ID del nombre debe tener una longitud mínima de 6 caracteres.

Enviar nombre y apellido (opcional)

Si se ha seleccionado la opción Aprovisionamiento JIT en la página Ajustes de la autenticación SAML de Blackboard, con lo cual se crearán las cuentas de usuario cuando no existan, los atributos LDAP de nombre y apellido también se pueden enviar de ADFS a Blackboard mediante la asignación de los atributos respectivamente.

  1. En la ficha Reglas de transformación de emisión, seleccione Agregar una regla.

  2. En la página Seleccionar una plantilla para la regla, elija la opción Enviar los atributos LDAP como notificaciones para la plantilla de la regla de notificaciones y seleccione Siguiente.

  3. En la página Configurar la regla, en el cuadro Nombre de la regla de notificación, escriba Enviar el nombre.

  4. En el menú desplegable Almacén de atributos, seleccione Active Directory.

  5. En el cuadro Asignación, a la izquierda, seleccione Given-Name.

  6. En el cuadro Asignación del lado derecho, escriba urn:oid:2.5.4.42 y seleccione Finalizar.

  7. En la ficha Reglas de transformación de emisión, seleccione Agregar una regla.

  8. En la página Seleccionar una plantilla para la regla, elija la opción Enviar los atributos LDAP como notificaciones para la plantilla de la regla de notificaciones y seleccione Siguiente.

  9. En la página Configurar la regla, en el cuadro Nombre de la regla de notificación, escriba Enviar el apellido.

  10. En el menú desplegable Almacén de atributos, seleccione Active Directory.

  11. En el cuadro Asignación, a la izquierda, seleccione Apellido.

  12. En el cuadro Asignación del lado derecho, escriba urn:oid:2.5.4.4 y seleccione Finalizar.

Transformar un notificación entrante

  1. Elija Agregar regla.

  2. En la página Seleccionar una plantilla para la regla, elija la opción Transformar una notificación entrante para la plantilla de la regla de notificaciones y seleccione Siguiente.

  3. En la página Configurar la regla, en el cuadro Nombre de la regla de notificación, escriba Transformar el correo electrónico en la ID del nombre.

  4. El tipo de notificación entrante debe ser SamAccountName. Debe coincidir con el Tipo de notificación saliente que se creó en la regla anterior.

  5. El Tipo de notificación saliente es la ID del nombre.

  6. El formato de la ID del nombre saliente está Sin especificar.

  7. Confirme que se haya seleccionado Aplicar a todos los valores de notificaciones y seleccione Finalizar.

  8. Seleccione Aceptar para guardar la regla y, nuevamente, Aceptar para completar las asignaciones de los atributos.

Ejemplo de declaración de atributos

Después de agregar todas las reglas de notificaciones antes mencionadas para la Relación de confianza para usuario autenticado, se muestran las reglas en la ficha Reglas de transformación de emisión.

La pestaña Reglas de transformación de emisión.

Los elementos Subject y AttributeStatement similares a los siguientes se enviarán en el POST de SAML desde ADFS a Blackboard después de que el usuario se haya autenticado:

<Subject>

    <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ">luke.skywalker</NameID>

    [SNIP]

</Subject>

 

<AttributeStatement>

    <Attribute Name="SamAccountName">

        <AttributeValue>luke.skywalker</AttributeValue>

    </Attribute>

    <Attribute Name="urn:oid:2.5.4.42">

        <AttributeValue>Luke</AttributeValue>

    </Attribute>

    <Attribute Name="urn:oid:2.5.4.4">

        <AttributeValue>Skywalker</AttributeValue>

    </Attribute>

</AttributeStatement>

Nota

Si los atributos del IdP no están cifrados en la respuesta SAML, se puede usar el Complemento de seguimiento SAML del navegador Firefox o Descodificador de mensajes SAML de Chrome para ver los atributos que se liberan del IdP y se envían a Blackboard durante el proceso de autenticación.

Establecer el proveedor de la autenticación SAML como activo

  1. En Blackboard, vaya a Administrador del sistema > Autenticación.

  2. Abra el menú junto al nombre del proveedor de la autenticación SAML y establezca el estado del proveedor en Activo.

A continuación, el IdP de ADFS se configura correctamente como proveedor de autenticación SAML y se puede utilizar para iniciar sesión en Blackboard.

La página de inicio de sesión de Blackboard donde el IdP de ADFS se configura correctamente como proveedor de autenticación SAML.

  1. En la página de inicio de sesión de Blackboard, seleccione Iniciar sesión con una cuenta de terceros.

  2. Seleccione el proveedor de la autenticación SAML.

  3. Introduzca las credenciales en la página de inicio de sesión de ADFS.