El inicio de sesión único o SSO permite al usuario acceder a la plataforma THEIA utilizando la identificación desde otra aplicación. Los protocolos que se pueden configurar son: Azure AD, JWT, SAML et CAS.
Le paramétrage de la plupart de ces services (Azure AD, JWT et SAML), según los derechos de usuario, está disponible en la interfaz de Administración, en el menú Ajustes > Configuración de SSO.
El sistema de autenticación CAS no puede configurarse a través del menú anterior. Póngase en contacto con nuestro departamento de asistencia para obtener más información.
1. Azure AD
1.1 Configuración general
Mediante el parámetro Tenant ID, la plataforma podrá identificar el directorio Azure AD en el que se almacenan los datos de los usuarios.
Las siguientes casillas autorizan a los usuarios a acceder a la plataforma a través del directorio Azure y a crear automáticamente sus cuentas si aún no existen. Si la cuenta ya existe en la plataforma, su información se actualizará cada vez que se conecte, utilizando los datos del directorio Azure.
1.2. Vinculación de usuarios
Cuando el directorio Azure tiene usuarios en diferentes plataformas, es necesario indicar el nombre y el valor esperado del atributo. Por ejemplo, si mi directorio contiene un atributo platform_theia para cada uno de mis usuarios con dos valores posibles: Francia o España, entonces es importante indicarlo en este espacio para que la plataforma THEIA pueda ser identificada correctamente en cada conexión.
El campo número_estudiante también puede rellenarse automáticamente cuando el usuario se conecta. La plataforma recupera el valor del atributo asociado al elemento configurado (por ejemplo, numero_estudiante).
THEIA añade atributos adicionales, previa solicitud, para enriquecer las cuentas de los usuarios con información adicional. Estos elementos también pueden tenerse en cuenta durante la configuración, rellenando en primer lugar el «campo de perfil de usuario de Azure» e indicando a continuación la correspondencia a nivel de la plataforma («columna ELFFE adicional»).
1.3. Administración de los grupos
Los grupos del directorio Azure pueden crearse automáticamente en la plataforma gracias a una tarea de sincronización diaria.
Utilizando el primer campo, se puede filtrar la consulta para recuperar sólo el subconjunto de la colección vinculada al grupo. Si es necesario, se pueden eliminar las cadenas de caracteres no deseadas utilizando el segundo campo de entrada, para que el nombre del grupo Azure coincida con el de la plataforma.
La siguiente casilla de verificación autoriza a modificar el nombre del grupo en la plataforma por el valor tomado del directorio Azure durante la sincronización diaria.
Una vez creado, el grupo se asociará a la categoría configurada.
2. JWT
JWT permite identificar a los usuarios mediante un intercambio de tokens. Se trata de un archivo en formato .Json firmado por una larga cadena de caracteres que utiliza el algoritmo y la clave secreta disponibles en la pestaña de configuración. La firma asegura la integridad de los datos del token y garantiza que los datos no han sido alterados desde su creación.
La información esperada es la siguiente:
{
«sub»: «string» _Identificador del usuario por el cliente
«preferred_username»: «string» _Identificador del usuario por la plataforma THEIA
«given_name»: «string» _Primer nombre
«family_name»: «string» _Apellido
«email»: «string» _Dirección de correo electrónico
«groups»: [«string», «string»,…] _Lista de grupos en los que está registrado el usuario
«extraTime»:Boolean _Si se ha concedido o no tiempo extra al usuario
}
La casilla Crear usuarios/as sobre la marcha permite crear automáticamente cuentas de usuario en la plataforma al conectarse por primera vez. Si la cuenta ya existe, se actualizará con la información contenida en el token.
Esto significa que los usuarios pueden darse de alta o de baja de los grupos en los que están registrados. El usuario sólo se registrará en los grupos indicados en el token. Si no se introduce ningún grupo o no se conoce en la plataforma, el usuario no se registrará en ningún grupo.
Además, este protocolo no tiene en cuenta la creación automática de grupos.
3. SAML
3.1. Proovedor de Identidad (IdP)
Para permitir la comunicación entre los dos proveedores SAML (proveedor de identidad y proveedor de servicios), es esencial introducir la URL que apunta al archivo de metadatos .xml o el contenido directamente en el campo Metadata XML.
Tenga en cuenta que Entity Id debe corresponder al identificador presente en el archivo de metadatos.
Al configurar este servicio, recomendamos activar el modo de depuración para obtener la lista de registros. Esto facilitará la corrección de posibles anomalías.
Esta configuración permite la transmisión de información sobre los usuarios y la creación automática de cuentas de usuario en la primera conexión. Además, utilizando la función de importación masiva en el menú Usuarios > Cuentas de los usuarios, se pueden crear cuentas directamente en la plataforma. Deberá asegurarse de que el atributo nombre de usuario suministrado en el momento de la conexión coincide con el identificador THEIA de la cuenta.
3.2. Administración de los grupos
El valor asociado al atributo grupo se utiliza para inscribir al usuario en la entidad correspondiente cada vez que se conecta. Si el grupo no está presente en la plataforma o si el valor del atributo está vacío, la inscripción se realizará en el grupo por defecto. Nótese que no es posible dar de baja a un usuario de un grupo utilizando este método.
Por otro lado, es posible crear este grupo si no existe a través de la casilla Crear grupos. Dependerá entonces de la categoría introducida en el campo Seleccione una categoría.
3.3. SAML Service Provider Configuration
La visualización de esta información está condicionada a la casilla Autorizar a los usuarios a iniciar sesión mediante SAML, indicándole:
- El parámetro Entity Id del proveedor de servicios
- La URL del fichero de metadatos .xml, para obtener los elementos vinculados a la comunicación entre los proveedores, así como el contenido esperado
- La URL ACS, que permite al cliente establecer el enlace de acceso a la plataforma THEIA
- La URL de desconexión, que permite al cliente configurar una posible desconexión de su portal.
Como se muestra en el archivo de metadatos, la plataforma espera una declaración firmada. Es importante especificar que también espera que toda la respuesta esté firmada.