Configuración de OpenID Connect

Introducción

La configuración de una autenticación segura y fiable es esencial para cualquier implementación de GO-Global. Esta guía técnica guía a los administradores a lo largo de todo el proceso de configuración de OpenID Connect (OIDC) en los principales proveedores de identidad, entre los que se incluyen Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak y Google Workspace. Con instrucciones claras y paso a paso, garantiza que su GO-Global Host se integre correctamente con las plataformas de identidad modernas para ofrecer un acceso fluido a los usuarios y una seguridad mejorada.

Azure

Para crear un registro de aplicación de Azure que se utilice con Microsoft EntraID (antes Azure AD) para autenticar a los usuarios que se conectan a los servidores GO-Global, es necesario seguir los siguientes pasos. Para ello se utilizará OAuth2 para Microsoft Identity, versión 2.0.

Paso 1: Registrar una nueva solicitud

1. Accede a: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
2. Registra la nueva solicitud:

• En «Tipos de cuentas compatibles», selecciona «Cuentas solo en este directorio de la organización» (Solo directorio predeterminado - Un único inquilino)
• En «URL de redireccionamiento», selecciona «Web» como tipo. En «Valor», introduce una URL de redireccionamiento para tu dominio. Por ejemplo, https://example.com/callback.html

Paso 2: Configurar la imagen de marca y las propiedades

En la sección «Marca y propiedades», comprueba que el dominio del editor sea el correcto. Por ejemplo, example.com

Paso 3: Crear un secreto de cliente

1. Ve a «Certificados y secretos».
2. Haz clic en «Nuevo secreto de cliente» y configura las opciones.
3. Copia el valor secreto y guárdalo en un lugar seguro.
   

Paso 4: Configurar los ajustes del token

1. Ve a «Configuración de tokens».
2. Haz clic en «Añadir reclamación opcional».
3. Configurar:
   • Tipo de token: ID
   • Solicitud: Seleccionar upn
4. Haz clic en «Añadir».
5. Activa la opción «Habilitar el permiso del perfil de Microsoft Graph».
6. Haz clic en «Añadir» para guardar.
   

Nota:

Al configurar el registro de una aplicación con Azure Active Directory B2C, no aparece el panel «Configuración de tokens» en la interfaz de usuario del Portal de Azure. En su lugar, añade optionalClaims a través del manifiesto JSON.

Por ejemplo:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Paso 5: Ajustar los permisos de la API

GO-Global utiliza permisos de perfil en lugar de User.Read. Elimina los permisos innecesarios:

1. Ve a «Permisos de la API».
   
2. Busca «User.Read » y haz clic en «Eliminar permiso».
   
3. Confirma haciendo clic en «Sí, eliminar».

Comprueba que aparezca el permiso delegado del perfil de Microsoft Graph. (Debería añadirse automáticamente.)

Paso 6: Configurar la autenticación

1. En la Consola de administración, ve a Opciones del host | Autenticación.
   
2. Configure lo siguiente:

• Desmarca todas las demás opciones de autenticación.
• Selecciona la autenticación OpenID Connect.
• Selecciona una opción:
  • Iniciar sesión automáticamente en una cuenta local de Windows, o
  • Iniciar sesión automáticamente en las cuentas de dominio de los usuarios.
• ID de cliente: Copie el ID de la aplicación (cliente) de la página de resumen del registro de aplicaciones de Azure.
• Secreto del cliente: Pega el valor secreto que has copiado anteriormente.
• URL de autorización: Obtén el ID del directorio (TENANTID) en la página de resumen del registro de aplicaciones de Azure. Sustituye TENANTID en: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
• URL del token: Obtén el ID del directorio (TENANTID) en la página de resumen del registro de aplicaciones de Azure. Sustituye TENANTID en: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
• URL de redireccionamiento: utiliza la misma URL que introdujiste al registrar la aplicación (por ejemplo, https://example.com/callback.html)

      3. Haz clic en Aceptar para guardar.

Nota:

En el Registro de aplicaciones de Azure, en el menú «Autenticación», asegúrate de que las opciones de concesión implícita y flujos híbridos no estén activadas.

ADFS

Los siguientes pasos y configuraciones son necesarios para crear una aplicación Enterprise en ADFS que se vaya a utilizar con un host GO-Global.

1. En el servidor Windows de ADFS, abra la herramienta de administración de ADFS.
2. En el árbol de navegación de la izquierda, haga clic con el botón derecho del ratón en «Grupos de aplicaciones » y seleccione «Añadir grupo de aplicaciones » para abrir el asistente.
3. Seleccione «Aplicación de servidor» en el área «Aplicaciones independientes» del asistente y haga clic en «Siguiente».
4.    Introduzca un nombre para la aplicación, copie y guarde el identificador de cliente (ID de cliente).
5. Introduzca la URL de devolución de llamada de GO-Global en el campo URI de redireccionamiento y haga clic en Siguiente.
6. Seleccione Generar un secreto compartido y cópielo para utilizarlo en Secreto compartido.
7. Haga clic en Siguiente.
8.    Haga clic en Siguiente y guarde este nuevo grupo de aplicaciones.

Para configurar los enlaces de los puntos finales de autorización y token, sustituya «server1.domain.com» en https://server1.domain.com/adfs/oauth2/authorize y https://server1.domain.com/adfs/oauth2/token por el FQDN del servidor ADFS.

Ejemplo de URL de autorización:
https://[FQDN DEL SERVIDOR ADFS]/adfs/oauth2/authorize

Ejemplo de URL de token:
https://[FQDN DEL SERVIDOR ADFS]/adfs/oauth2/token 

Nota:
En la pestaña «Autenticación» del cuadro de diálogo «Opciones del host» de la Consola de administración, debe seleccionar «Iniciar sesión automáticamente en una cuenta local de Windows » o «Iniciar sesión automáticamente en sus cuentas de dominio». Si no se selecciona una de estas opciones de autenticación de OpenID Connect, el inicio de sesión no se completará.  

Oracle

Los siguientes pasos y configuraciones son necesarios para crear una aplicación en Oracle Identity Cloud destinada a utilizarse con un host de GO-Global.

1. Inicie sesión en Oracle Identity Cloud Service.
2. Vaya a «Aplicaciones», haga clic en «Añadir» y seleccione «Aplicación confidencial».
3. Introduzca un nombre para la aplicación.
4. En el campo «URL de devolución de llamada de vinculación», utilice la URL del archivo callback.html de GO-Global. (Por ejemplo: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Haga clic en Siguiente para configurar el cliente.
6. En Tipos de concesión permitidos, seleccione Código de autorización.
7. Si necesita utilizar URL que no sean HTTPS, seleccione la opción Permitir URL que no sean HTTPS.
8.    Para la URL de redireccionamiento, utilice el archivo callback.html del host de GO-Global.
(Por ejemplo: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Establezca «Omitir consentimiento » en «Habilitado».

El resto de opciones pueden utilizar los valores predeterminados establecidos por Oracle.

Después de crear la aplicación, haga clic en ella para ver los detalles. El ID de cliente y el secreto de cliente se encuentran en la pestaña Configuración | Información general. Estos datos deberán copiarse en la configuración de OpenID Connect del host de GO-Global.

Ejemplo de URL de autorización:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Ejemplo de URL de token:
https://tenant-base-url/oauth2/v1/token?

Nota:
En la pestaña «Autenticación» del cuadro de diálogo «Opciones del host» de la Consola de administración, debe seleccionar «Iniciar sesión automáticamente en una cuenta local de Windows» o «Iniciar sesión automáticamente en sus cuentas de dominio». Si no se selecciona una de estas opciones de autenticación de OpenID Connect, el inicio de sesión no se completará.  

Okta Identity Cloud

Para crear una aplicación en Okta Identity Cloud que se vaya a utilizar con un host de GO-Global, es necesario seguir los siguientes pasos y configurar los siguientes ajustes. Cualquier ajuste que no se mencione puede dejarse con su valor predeterminado.

Para obtener más información sobre Okta, visite:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Desde el panel de control de Okta Identity Cloud, vaya a «Aplicaciones».
2. Haga clic en el botón Crear integración de aplicación.
3. En Método de inicio de sesión, seleccione OIDC - OpenID Connect.
4. Seleccione Aplicación web, que aparecerá tras seleccionar OIDC en el paso 3.
5. En Tipo de aplicación, seleccione Aplicación web.
6. Haga clic en Siguiente
7. Introduzca un nombre en el campo Nombre.
8.    Seleccione «Cliente que actúa en su propio nombre» y marque la casilla «Credenciales de cliente».
9. Seleccione «Cliente que actúa en nombre de un usuario» y marque la casilla «Código de autorización». No seleccione «Implícito (híbrido)».
10. En «URI de redireccionamiento de inicio de sesión», utilice aquí el FQDN de su host: http://MyHost.MyDomain.com:491/callback.html
11.    Asignaciones: utilice esta opción para configurar qué usuarios tendrán acceso. También puede omitir este paso y configurarlo más tarde, una vez creada la aplicación.
12. En Asignaciones, elija Limitar el acceso a los grupos seleccionados u Omitir la asignación de grupos por ahora y cree la aplicación sin asignar ningún grupo.
13.    Haga clic en Guardar para crear esta nueva integración de la aplicación.
14. Seleccione la nueva aplicación web para abrir las páginas de edición.
15. En la pestaña General , copie y guarde el ID de cliente y el secreto de cliente. Estos datos deberán copiarse en la configuración de OpenID Connect del host GO-Global.

Configuración del host de GO-Global
En la consola de administración de GO-Global, en la sección de configuración de OIDC, utiliza las siguientes URL de autorización y de token de Okta, y sustituye «YOUR-OKTA-Domain» por tu dominio personalizado de Okta.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

Ejemplo de URL de autorización:
https://dev-111222.okta.com/oauth2/default/v1/authorize

Ejemplo de URL de token:
https://dev-111222.okta.com/oauth2/default/v1/token

Nota:

En la pestaña «Autenticación» del cuadro de diálogo «Opciones del host » de la Consola de administración, debe seleccionar «Iniciar sesión automáticamente en una cuenta local de Windows » o «Iniciar sesión automáticamente en sus cuentas de dominio». Si no se selecciona una de estas opciones de autenticación de OpenID Connect, el inicio de sesión no se completará.  

Para obtener más información sobre Okta, visite: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine - Identity Manager Plus

Para crear una aplicación en Identity Manager Plus que se vaya a utilizar con un servidor GO-Global, es necesario seguir los siguientes pasos.

1. Desde la página de administración de Identity Manager, vaya a la pestaña «Aplicaciones ».
2. Haga clic en «Añadir aplicación».
3. Introduzca un «Nombre de la aplicación » y un «Nombre de dominio».
4.    Seleccione la pestaña OAuth/OpenID Connect.
5. Active la opción Habilitar OAuth/OpenID Connect.
6. Configure Flujo SSO admitido en Iniciado por el proveedor de servicios (SP ).
7. Utilice la URL callback.html del host de GO-Global para las URL de redireccionamiento de inicio de sesión.
8. En Tipo de respuesta, asegúrese de que solo esté seleccionado Código de autorización .

9. Active la opción «Permitir token de actualización».
10. Establezca la validez del token de acceso en 3600 segundos.
11. Establezca el algoritmo de clave en HS256.
12. Establezca el modo de autenticación del cliente en «Seleccionar secreto de cliente básico» y «Secreto de cliente POST».
13. Haga clic en «Añadir aplicación».

El ID de cliente, el secreto de cliente y las URL de token y autorización se pueden encontrar en Identity Manager Plus | Aplicaciones. Haga clic en el enlace Detalles de la columna Detalles del IdP.

Ejemplo de URL de autorización:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Ejemplo de URL de token:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

GO-Global es compatible con KeyCloak mediante la URL de autorización estándar.

Los administradores pueden especificar el campo del token de identificación que contiene el nombre de usuario. De forma predeterminada, GO-Global intenta obtener el nombre de usuario del campo de correo electrónico proporcionado por KeyCloak, pero se puede configurar para obtenerlo de otros campos mediante la propiedad OpenIDConnectUserNameField en el archivo HostProperties.xml.

Para configurar la propiedad OpenIDConnectUserNameField

1. Detenga el servicio de publicación de aplicaciones.
2. Abra el archivo %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml en un editor de texto.
3. Busque la propiedad OpenIDConnectUserNameField y cambie el valor por el nombre de la reclamación del token de identificación OIDC del usuario que contenga el UPN que GO-Global debe utilizar para autenticar al usuario en Windows.
4.    Guarde el archivo HostProperties.xml.
5. Reinicie el Servicio de publicación de aplicaciones.

Google Workspace/Cloud Identity

Antes de empezar, asegúrate de que dispones de Google Workspace Premium con un dominio personalizado o de Cloud Identity Premium con un dominio personalizado. Comprueba que tu organización figure en la Consola de administración de Google. En el caso de las cuentas nuevas, la creación automática de tu dominio personalizado puede tardar un tiempo. Crea nuevos usuarios si es necesario. GraphOn recomienda habilitar la verificación en dos pasos para todos los usuarios.

Guía de la Consola de Google Cloud
A. Crea un nuevo proyecto (por ejemplo, GG-OIDC-Project) y accede al proyecto recién creado.

B. Configurar una pantalla de consentimiento de OAuth
1. Ve a «API y servicios». Selecciona «Pantalla de consentimiento de OAuth» en la barra de navegación de la izquierda. También puedes, desde la nueva página de Google Auth Platform, seleccionar «Personalización de marca» a la izquierda.
2. Selecciona «Tipo de usuario»: «Interno».
3. Establece el nombre de la aplicación (por ejemplo, GG-Auth-Consent).
4.    En el cuadro Página de inicio de la aplicación, escribe la URL del host de GO-Global o del equilibrador de carga. (Por ejemplo, https://myapp.example.com)
5. En el cuadro Dominio autorizado, escribe el dominio de nivel superior (TLD) del host de GO-Global. (Por ejemplo, example.com)
6. Haz clic en Guardar y continuar.
7.    Omita añadir ámbitos a menos que lo exija la política de su organización.
8. Haga clic en Guardar y continuar.

C. Crear un ID de cliente OAuth
1. Vaya a API y servicios | Credenciales | Crear credenciales | ID de cliente OAuth. También puede, desde la nueva página de Google Auth Platform, seleccionar Clientes a la izquierda.
2. En Tipo de aplicación, seleccione Aplicación web.
3.    Asigne un nombre al cliente OAuth. (Por ejemplo, GG-Auth-Client)
4. Añada un URI de redireccionamiento autorizado utilizando la URL de su servidor web GO-Global o la URL del equilibrador de carga con el sufijo /callback.html (por ejemplo, https://myapp.example.com:491/callback.html). Omita :491 si el front-end del equilibrador de carga está a la escucha en el puerto 443.
5. Cree el cliente.
6. Guarde de forma segura el ID de cliente y el secreto de cliente generados.

Configuración del host GO-Global

Configurelos siguientes ajustes en su(s) servidor(es) GO-Global:
1. Vaya a Herramientas | Opciones del servidor | Autenticación.
2. Desmarque todas las casillas de verificación.
3. Habilite la autenticación OpenID Connect.
4. Seleccione «Iniciar sesión automáticamente en cuentas locales de Windows » o «Iniciar sesión automáticamente en cuentas de dominio».
5.    Escriba la cadena de ID de cliente de la configuración de su servidor OpenID Connect en el cuadro ID de cliente.
6. Escriba la cadena de secreto de cliente de la configuración de su servidor OpenID Connect en el cuadro Secreto de cliente.
7. Escriba la URL de autorización utilizada para autenticar a los usuarios con su servidor OpenID Connect en el cuadro URL de autorización. Por ejemplo,
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Escriba la URL de token utilizada para autenticar a los usuarios con su servidor OpenID Connect en el cuadro URL de token. Por ejemplo, https://oauth2.googleapis.com/token
9.    En el cuadro URL de redireccionamiento, escriba la URL de su servidor web GO-Global, servidor web de terceros o equilibrador de carga, con el sufijo /callback.html.
(Por ejemplo, https://myapp.example.com:491/callback.html). Omita :491 si la interfaz de su equilibrador de carga está a la escucha en el puerto 443.
10. Haga clic en Aceptar.

Conclusión

La configuración de una autenticación segura y fiable es esencial para cualquier implementación de GO-Global. Esta guía técnica guía a los administradores a lo largo de todo el proceso de configuración de OpenID Connect (OIDC) en los principales proveedores de identidad, entre los que se incluyen Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak y Google Workspace. Con instrucciones claras y paso a paso, garantiza que su GO-Global Host se integre correctamente con las plataformas de identidad modernas para ofrecer un acceso fluido a los usuarios y una seguridad mejorada.

¿Es usted un ISV que explora la entrega de aplicaciones basada en la nube? Póngase en contacto con nosotros para saber cómo GO-Global puede ayudarle a agilizar el acceso al software para sus usuarios finales. O descargue una versión de prueba gratuita para probarlo usted mismo.