Version: 2.

0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 1 of 10
<ADFS – Integration Guidelines for Service Providers >

ADFS Integration

< Guidelines for Service Providers>

 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 2 of 10
<ADFS – Integration Guidelines for Service Providers >

Author Review Date Reviewed Aproved

Pablo Gil – IT Functional 07/09/2017
Architecture

Document Control

Review History
Version Author Review Review Reason Date
1.1 Pablo Gil Glosario de Términos 07/09/2017
1.0 Pablo Gil First Version of the Document – Sharing 05/09/2017

Document Distribution
Name Area
Luis Miguel Salas IT Sales & Lead Management (ES)
Francisca Martín-Casero Gonza IT Sales & Lead Management (ES)
Domingo Pérez IT Sales & Lead Management (ES)
Javier Garcés IT Architecture – HW/SW/VM (ES)
Celso Gil IT Functional Architecture (ES)
José Antonio Aparicio IT Functional Architecture (ES)
Óscar González IT Security (ES)
Pablo Gil IT Functional Architecture (ES)

Referenced Documents
Name Description
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 3 of 10
<ADFS – Integration Guidelines for Service Providers >

Index
Document Control .............................................................................................................................................. 2
Review History ............................................................................................................................................... 2
Document Distribution .................................................................................................................................... 2
Referenced Documents ................................................................................................................................. 2
1 Descripción ................................................................................................................................................. 4
2 Propósito y Alcance .................................................................................................................................... 4
3 Requerimientos técnicos ............................................................................................................................ 5
4 Modelo tipo ................................................................................................................................................. 5
4.1 SP-initiated SSO—Redirect-Artifact .................................................................................................. 5
5 Preparativos, Desarrollos, Validación y Auditoría ...................................................................................... 8
6 Glosario de Términos ................................................................................................................................. 9
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 4 of 10
<ADFS – Integration Guidelines for Service Providers >

1 Descripción

ADFS (Active Directory Federation Services) es el Sistema de autenticación -confirma la identidad- y

autorización -otorga permisos de acceso y uso sobre recursos específicos- corporativo de Verisure Securitas
Direct (en adelante VSD). Internamente se usa como sistema de SSO para todos sus empleados y está
basado en el esquema proporcionado por Microsoft ADFS 2.0 ( más info aquí:
https://technet.microsoft.com/es-es/library/adfs2(v=ws.10).aspx ).

Adicionalmente, ADFS se apoya sobre SAML 2.0, que es un estándar del organismo OASIS, para la
autenticación y autorización de datos entre dominios de seguridad, basado en XML y que usa tokens de
seguridad para comunicar un IdP (Autoridad SAML) con un SP (Consumidor SAML).

SAML 2.0 habilita el SSO entre dominios sobre comunicaciones Web que simplifica la carga de distribuir
múltiples tokens de autenticación al usuario.

La documentación que servirá de base para que el Proveedor, que actuará con la figura de SP, lleve a cabo
la integración con VSD en el modo identificado como SP-Initiated SSO se encuentra aquí:
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.pdf

2 Propósito y Alcance

El propósito de la integración ADFS con proveedores (SP) será que un conjunto de empleados pueda usar
sus credenciales únicas corporativas para acceder a los servicios y recursos proporcionados por dichos
proveedores bajo el marco legal de un contrato establecido con VSD para el uso, explotación,
aprovechamiento y operación de dichos servicios y recursos.

De este modo, será VSD actuando como IdP el que autenticará y autorizará a un conjunto de empleados a
usar dichos servicios y recursos proporcionados por el SP, y este último habrá de gestionar tokens, no
credenciales.

Un token de acceso identicará al usuario, los grupos de seguridad a los que pertenece y los privilegios
otorgados al usuario y a los grupos de seguridad del usuario.

Se prohíbe el uso de métodos alternativos de autenticación/autorización expresa por parte del proveedor
(como gestionar credenciales propias) salvo en el caso en el que se haya validado este escenario como
excepcional por parte del equipo de Seguridad de VSD. En ese caso se establecerá un período de validez de
este escenario con el fin de transitar finalmente al escenario corporativo de VSD.

El alcance de la integración ADFS será el de:

- Autenticar a los usuarios mediante log on en la plataforma de VSD
(https://vsdintegration.securitasdirect.es/ ).
- Gestionar el token entre IdP y SP para autorizar el uso de los recursos del proveedor a los
usuarios/grupos adecuados.
- Guardar en sesión el último usuario utilizado para hacer log on asociado a un origen/cliente específico
(la password no será nunca conocida por parte del proveedor ni viajará por/hacia su plataforma).

Page 4 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 5 of 10
<ADFS – Integration Guidelines for Service Providers >

3 Requerimientos técnicos

 El proveedor habrá de conocerse el argot, estructura y operaciones de SAML v2.0 antes de llevar a
cabo la integración. La base de datos de conocimiento a este respecto es la proporcionada por OASIS
en su portal Web y Wiki dedicada a SAML: https://wiki.oasis-open.org/security/FrontPage
 El mecanismo usado para la integración será el de SP-Initiated SSO.
 El log on se llevará a cabo en la plataforma de VSD (https://vsdintegration.securitasdirect.es).
 Se usará SAML v2.0 para la gestión del token de seguridad entre el IdP (VSD) y el SP (Proveedor).
 Los back-ends (Federation Servers) de IdP y de SP han de comunicarse directamente entre sí (por
ejemplo usando SOAP), y no delegando las comunicaciones exclusivamente al Navegador.
 En el caso de que el proveedor provea una aplicación móvil, la integración ADFS se llevará a cabo
usando comunicación WEB responsive (Web agent, no programación nativa del dispositivo) desde
la propia aplicación móvil para la parte de autenticación y autorización.
 La información de Metadatos de ADFS es la siguiente:
https://vsdintegration.securitasdirect.es/FederationMetadata/2007-06/FederationMetadata.xml
 Documentación a revisar por el proveedor (SP) antes de acometer la integración (en especial punto
5.1.3 referido a método SP-initiated SSO con comunicación entre Backends):
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.pdf
 El proveedor tendrá que identificar qué método concreto de SP-initiated SSO usando Artifacts es el
que va a utilizar para llevar a cabo la integración.
 Para más detalle sobre métodos de integración disponibles, el proveedor puede consultar la
siguiente página:
https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf83/page/task/spInitiatedSsoA
rtifactArtifact.html?#
 No serán válidas integraciones que no usen Artifacts para comunicación directa entre Back-ends
(Federation Servers).

4 Modelo tipo

El método de preferencia para VSD, actualmente implementado con Meta4, es el siguiente:

4.1 SP-initiated SSO—Redirect-Artifact

In this scenario, the SP sends an HTTP redirect message to the IdP containing a request for authentication.
The IdP returns an artifact via HTTP redirect. The SP uses the artifact to obtain the SAML response.

Page 5 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 6 of 10
<ADFS – Integration Guidelines for Service Providers >

/*
Description: ADFS Validation, SP-initiated SSO - Redirect Artifact
Date: 2017-09-05
Reference:
https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf83/page/task/spInitiatedSsoArtifactArtifact.html
?#
Example: in the text, there is the META4 authentication SSO process as example of corporative validation using
ADFS.

*/

Processing steps
-----------------------
1. A user requests access to a protected SP resource. The user is not logged on to the site.
The request is redirected to the federation server to handle authentication.

Navigator URL: https://sdg.meta4globalhr.com/index.jsp?langid=3 (Service provider, SP)

Page 6 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 7 of 10
<ADFS – Integration Guidelines for Service Providers >

2. The SP returns an HTTP redirect (code 302 or 303) containing a SAML request for authentication through the
user's browser to the IdP's SSO service.

Navigator receive URL redirection to https://vsdintegration.securitasdirect.es

3. If the user is not already logged on to the IdP site or if re-authentication is required, the IdP asks for credentials
(e.g., ID and password) and the user logs on.

Navigator page: https://vsdintegration.securitasdirect.es

4. Additional information about the user may be retrieved from the user data store for inclusion in the SAML
response. (These attributes are predetermined as part of the federation agreement between the IdP and the
SP—see About attributes.).

IdP access to internal repository (LDAP of VSD) to get data about the user.

5. The IdP federation server generates an assertion, creates an artifact, and sends an HTTP redirect containing
the artifact through the browser to the SP's Assertion Consumer Service (ACS).

Navigator page: https://sdg.meta4globalhr.com/index.jsp?langid=3 + SAML (artifact created by Identity

Provider)

6. The ACS extracts the Source ID from the SAML artifact and sends an artifact-resolve message to the identity
federation server's Artifact Resolution Service (ARS).

The SP (https://sdg.meta4globalhr.com/) receive the request of customer and contact to Identity Provider with
Artifact

7. The ARS sends a SAML artifact response message containing the previously generated assertion.

Identity Provider (vsdintegration.securitasdirect.es) returns artifact (https://sdg.meta4globalhr.com/)

8. (Not shown) If a valid assertion is received, the SP establishes a session and redirects the browser to the target
resource.

Navigator page:
https://sdg.meta4globalhr.com/servlet/CheckSecurity/JSP/ssco_menu/index_renhash_45c7c47cf93bb2cdd0
9b7dfe1dd25e74_l3_dl_oSDSP_v1.html#reload

Page 7 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 8 of 10
<ADFS – Integration Guidelines for Service Providers >

5 Preparativos, Desarrollos, Validación y Auditoría

 El proveedor recibirá un usuario de pruebas para el servicio, cuya cuenta será creada por VSD en su
ADFS. VSD sólo dispone de entorno de Producción, de modo que la validez del usuario de pruebas
será temporal.
 VSD adecuará los grupos y permisos para dicho usuario (y a futuro para los usuarios que haya que
acreditar y autorizar mediante ADFS) con el fin de explotar los recursos del proveedor (SP) y los
internos de VSD requeridos para proporcionar el servicio completo.
 Se indicarán usuarios de pruebas, grupos y permisos (así como validez temporal) a utilizar por el
proveedor en el momento de llevar a cabo la integración.
 El contacto de VSD para llevar a cabo la integración estará en el equipo de Arquitectura. El proveedor
habrá de identificar un contacto único (de perfil técnico) para la integración.
 El proveedor habrá de entregar un documento previo de análisis y diseño de la solución a desarrollar
e integrar, que incluirá un esquema técnico detallado. El proveedor identificará claramente el
modelo de integración que seguirá de entre los disponibles del tipo SP-Initiated SSO con Artifacts. Si
llevará a cabo algún punto especial que se salga de los estándares, habrá de reseñarlo, de modo que
pueda ser validado previamente por los equipos de VSD.
 Los desarrollos requeridos serán completamente desempeñados por los equipos del Proveedor. En
caso de necesitar subcontratar los desarrollos, total o parcialmente, el proveedor habrá de indicarlo
previamente.
 Para validar la integración participarán los equipos de Arquitectura, Seguridad y Plataforma de
Negocio. Hasta que la integración no haya sido validada por los equipos de VSD identificados, no se
dará por concluido y válido el desarrollo de integración.
 Adicionalmente, se podrá llevar a cabo una auditoría del servicio por VSD (o encargada por VSD a un
tercero) previa al paso a producción o posteriormente al mismo para garantizar que se han
observado correctamente los estándares y directrices adecuados. El Proveedor se compromete a
facilitar los medios para ejecutar dicha auditoría en agenda acordada con VSD.

Page 8 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 9 of 10
<ADFS – Integration Guidelines for Service Providers >

6 Glosario de Términos

VSD Verisure Securitas Direct

SSO Single Sign On. Acceso único (credenciales únicas) para múltiples
aplicaciones/sistemas.

ADFS / AD FS Active Directory Federation Services. Proporciona acceso SSO a los usuarios hacia
sistemas y aplicaciones a través de las fronteras corporativas.

SAML Security Assertion Markup Language

IdP Identity Provider

SP Service Provider

OASIS Organismo que establece estándares y directrices relativos a SAML. En concreto,

para SAML será este comité: OASIS Web Services Security (WSS) TC

SP-Initiated SSO Escenario en el cual el flujo de autenticación lo comienza el SP.

IdP-Initiated SSO Escenario en el cual el flujo de autenticación comienza desde el propio IdP, que
redireccionará al Servicio y Proveedor adecuados en cada caso.

Security Token También denominado “Token de seguridad” en el contexto de SAML. Unidad de

datos firmada mediante cifrado que expresa una o más notificaciones. En AD FS,
un token de seguridad firmado indica que el servidor de federación que emite el
token de seguridad ha comprobado correctamente la autenticidad del usuario
federado.
Especificación que define un modelo y un conjunto de mensajes para establecer
WS-Federation
la confianza y la federación de información de autenticación e identidad en
diferentes territorios de confianza.
La especificación de WS-Federation identifica dos orígenes de solicitudes de
autenticación e identidad en territorios de confianza:

 solicitantes activos, como aplicaciones habilitadas para SOAP

 solicitantes pasivos, que se definen como exploradores HTTP capaces de

admitir versiones de HTTP ampliamente admitidas, por ejemplo, HTTP 1.1

El artefacto HTTP es un enlace en el que una solicitud o respuesta SAML (o ambas)

Artifact
se transmite por referencia utilizando un identificador exclusivo denominado
artefacto.

Page 9 of 10
 Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 10 of 10
<ADFS – Integration Guidelines for Service Providers >

Un enlace separado, como el enlace SOAP, se utiliza para intercambiar el artefacto

para el mensaje de protocolo actual. Permite a los solicitantes e interlocutores de
SAML comunicarse utilizando un agente de usuario HTTP como intermediario.
Este valor se utiliza cuando es preferible no exponer el contenido del mensaje al
intermediario.
El artefacto HTTP utiliza un canal de retorno SOAP. El canal de retorno SOAP se
utiliza para intercambiar un artefacto durante el establecimiento y el uso de una
sesión de confianza entre un proveedor de identidades, un proveedor de servicios
y un cliente (navegador).
SOAP Simple Object Access Protocol. Protocolo estándar que define cómo dos objetos
en diferentes procesos pueden comunicarse por medio de intercambio de
datos XML.

LDAP Lightweight Directory Access Protocol. Protocolo de aplicación estándar y abierto

para acceder y mantener servicios de información de directorio distribuido.
Provee un punto centralizado para almacenar usuarios y passwords.

Back-end Que se encuentra en la capa de Aplicación (Servidor, Lógica de Negocio y Acceso

a Datos), no en la capa de Presentación.

Federation Server Servidor que ejecuta servicios Web especializados para lanzar, gestionar y validar
peticiones de tokens de seguridad y de gestión de identidad. Puede proteger el
contenido de los tokens de seguridad con un certificado X.509, lo que hace posible
validar proveedores de confianza.

ACS Assertion Consumer Service. Pieza de Software en el lado de SP que procesa la

aserción. Se comunica con el ARS usando un intercambio de mensajes SOAP en
modo síncrono. Crea un contexto de seguridad local para el usuario en el SP.

ARS Artifact Resolution Service. Pieza de software en el lado de IdP que entrega el
mensaje SAML que corresponde al Artefacto. Para ello retorna la respuesta al SP
usando SOAP.

HTTP Hypertext Transfer Protocol. Protocolo de comunicación para la transferencia de

información a través de redes de datos, como Internet.

XML eXtensible Markup Language. Metalenguaje de marcado que permite el

intercambio de información estructurada entre diferentes plataformas.

Page 10 of 10