Configuración SSO (Azure AD, OIDC, SAML2)
Habilite la autenticación empresarial con su proveedor de identidad
KaliaOps soporta inicio de sesión único (SSO) a través de los protocolos OAuth2/OIDC y SAML2, permitiendo a sus usuarios autenticarse con sus credenciales corporativas desde Azure AD, Okta, Auth0, Keycloak, Google Workspace o cualquier proveedor de identidad compatible con SAML2. La configuración toma menos de 15 minutos.
Descripción general
El inicio de sesión único (SSO) permite a sus usuarios acceder a KaliaOps utilizando sus credenciales corporativas, eliminando la necesidad de contraseñas separadas. KaliaOps soporta dos protocolos de autenticación:
- OAuth2/OIDC: Usado por Azure AD, Okta, Auth0, Keycloak, Google Workspace
- SAML2: Usado por ADFS, Ping Identity, OneLogin y proveedores de identidad empresariales heredados
¿Por qué SSO en lugar de LDAP?
Como plataforma SaaS en la nube, KaliaOps no puede conectarse directamente a sus servidores LDAP/AD locales (que normalmente están detrás de firewalls). Los protocolos SSO están diseñados específicamente para la autenticación basada en Internet y son el estándar para aplicaciones empresariales en la nube.
Configuración de Azure AD
Crear un registro de aplicación
En el portal de Azure, vaya a Registros de aplicaciones y haga clic en Nuevo registro:
- Nombre: KaliaOps SSO
- Tipos de cuenta admitidos: Solo cuentas en este directorio de la organización
- URI de redirección: Copie la URI mostrada en KaliaOps Configuración > SSO
Obtener ID de cliente e ID de inquilino
Después de crear el registro de la aplicación, copie los siguientes valores:
- ID de aplicación (cliente): Este es su ID de cliente
- ID de directorio (inquilino): Este es su ID de inquilino de Azure
Crear un secreto de cliente
Vaya a Certificados y secretos, haga clic en Nuevo secreto de cliente y copie el valor inmediatamente (no se mostrará de nuevo).
Configurar permisos de API
Vaya a Permisos de API y agregue permisos delegados de Microsoft Graph:
- openid
- profile
- User.Read
Haga clic en Conceder consentimiento de administrador para aprobar estos permisos.
Configurar KaliaOps
En KaliaOps, vaya a Configuración > Inicio de sesión único e ingrese:
- Proveedor: Azure AD
- ID de cliente: Su ID de aplicación
- Secreto de cliente: Su valor de secreto
- ID de inquilino de Azure: Su ID de directorio
Haga clic en Guardar y use el botón Probar conexión para verificar.
Configuración OIDC genérica
Para otros proveedores de identidad (Okta, Auth0, Keycloak, Google Workspace), use la configuración OIDC genérica.
Información requerida
- ID de cliente: Identificador de aplicación de su IdP
- Secreto de cliente: Clave secreta de su IdP
- URL del emisor: URL del emisor OIDC de su IdP
Ejemplos de URLs de emisor
- Okta: https://su-org.okta.com
- Auth0: https://su-tenant.auth0.com
- Keycloak: https://keycloak.example.com/realms/su-realm
- Google Workspace: https://accounts.google.com
Asegúrese de configurar la URI de redirección en su IdP: cópiela desde Configuración de KaliaOps > SSO.
Configuración SAML2
Para proveedores de identidad basados en SAML2 (ADFS, Ping Identity, OneLogin), necesita intercambiar metadatos entre KaliaOps y su IdP.
Información de su IdP
- Entity ID del IdP: Identificador único de su proveedor de identidad
- URL SSO del IdP: URL donde los usuarios son redirigidos para autenticarse
- Certificado del IdP: Certificado X.509 para validación de firmas (formato PEM)
Información para proporcionar a su IdP
- Entity ID del SP: https://kaliaops.com/{tenant}/auth/saml2/metadata
- URL ACS: https://kaliaops.com/{tenant}/auth/saml2/acs
- Formato NameID: Dirección de correo electrónico
Mapeo de atributos
Configure su IdP para enviar los siguientes atributos SAML:
- Email (requerido)
- Nombre y apellido (opcional, para aprovisionamiento automático)
- Grupos (opcional, para control de acceso)
Aprovisionamiento de usuarios
KaliaOps puede crear automáticamente cuentas de usuario cuando los empleados inician sesión por primera vez a través de SSO.
Crear usuarios automáticamente
Cuando está habilitado, los nuevos usuarios se crean automáticamente con su información del proveedor de identidad. Puede especificar un rol predeterminado para estos usuarios.
Vincular a empleados
Cuando está habilitado, KaliaOps intentará hacer coincidir nuevos usuarios SSO con empleados existentes en su CMDB por correo electrónico o nombre. Esto vincula automáticamente la cuenta de usuario con el registro del empleado.
Control de acceso por grupo de seguridad
Puede restringir el acceso SSO a miembros de un grupo de seguridad específico. Solo los usuarios que pertenezcan a este grupo podrán iniciar sesión. Los demás verán un mensaje de acceso denegado.
Pruebas y solución de problemas
Después de configurar SSO, use el botón Probar conexión para verificar que KaliaOps puede comunicarse con su proveedor de identidad.
Problemas comunes
- Parámetro state inválido
- Esto indica un problema de protección CSRF. Asegúrese de que las cookies estén habilitadas y que la URI de redirección esté correctamente configurada.
- Acceso de grupo denegado
- El usuario no es miembro del grupo de seguridad permitido. Verifique la membresía del grupo en su IdP.
- Respuesta de descubrimiento OIDC inválida
- La URL del emisor es incorrecta. Verifique que puede acceder a {issuer}/.well-known/openid-configuration
- Validación de firma fallida (SAML2)
- El certificado del IdP es incorrecto o está vencido. Descargue el certificado actual de su IdP.
- Soporte para Azure AD, Okta, Auth0, Keycloak, Google Workspace
- Protocolos OAuth2/OIDC y SAML2
- Aprovisionamiento automático de usuarios en el primer inicio de sesión
- Control de acceso basado en grupos de seguridad
- 2FA opcional además de la autenticación SSO