Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SD ADFS Integration Guidelines For Service Providers 20191104-1
SD ADFS Integration Guidelines For Service Providers 20191104-1
0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 1 of 10
<ADFS – Integration Guidelines for Service Providers >
ADFS Integration
Document Control
Review History
Version Author Review Review Reason Date
1.1 Pablo Gil Glosario de Términos 07/09/2017
1.0 Pablo Gil First Version of the Document – Sharing 05/09/2017
Document Distribution
Name Area
Luis Miguel Salas IT Sales & Lead Management (ES)
Francisca Martín-Casero Gonza IT Sales & Lead Management (ES)
Domingo Pérez IT Sales & Lead Management (ES)
Javier Garcés IT Architecture – HW/SW/VM (ES)
Celso Gil IT Functional Architecture (ES)
José Antonio Aparicio IT Functional Architecture (ES)
Óscar González IT Security (ES)
Pablo Gil IT Functional Architecture (ES)
Referenced Documents
Name Description
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 3 of 10
<ADFS – Integration Guidelines for Service Providers >
Index
Document Control .............................................................................................................................................. 2
Review History ............................................................................................................................................... 2
Document Distribution .................................................................................................................................... 2
Referenced Documents ................................................................................................................................. 2
1 Descripción ................................................................................................................................................. 4
2 Propósito y Alcance .................................................................................................................................... 4
3 Requerimientos técnicos ............................................................................................................................ 5
4 Modelo tipo ................................................................................................................................................. 5
4.1 SP-initiated SSO—Redirect-Artifact .................................................................................................. 5
5 Preparativos, Desarrollos, Validación y Auditoría ...................................................................................... 8
6 Glosario de Términos ................................................................................................................................. 9
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 4 of 10
<ADFS – Integration Guidelines for Service Providers >
1 Descripción
Adicionalmente, ADFS se apoya sobre SAML 2.0, que es un estándar del organismo OASIS, para la
autenticación y autorización de datos entre dominios de seguridad, basado en XML y que usa tokens de
seguridad para comunicar un IdP (Autoridad SAML) con un SP (Consumidor SAML).
SAML 2.0 habilita el SSO entre dominios sobre comunicaciones Web que simplifica la carga de distribuir
múltiples tokens de autenticación al usuario.
La documentación que servirá de base para que el Proveedor, que actuará con la figura de SP, lleve a cabo
la integración con VSD en el modo identificado como SP-Initiated SSO se encuentra aquí:
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.pdf
2 Propósito y Alcance
El propósito de la integración ADFS con proveedores (SP) será que un conjunto de empleados pueda usar
sus credenciales únicas corporativas para acceder a los servicios y recursos proporcionados por dichos
proveedores bajo el marco legal de un contrato establecido con VSD para el uso, explotación,
aprovechamiento y operación de dichos servicios y recursos.
De este modo, será VSD actuando como IdP el que autenticará y autorizará a un conjunto de empleados a
usar dichos servicios y recursos proporcionados por el SP, y este último habrá de gestionar tokens, no
credenciales.
Un token de acceso identicará al usuario, los grupos de seguridad a los que pertenece y los privilegios
otorgados al usuario y a los grupos de seguridad del usuario.
Se prohíbe el uso de métodos alternativos de autenticación/autorización expresa por parte del proveedor
(como gestionar credenciales propias) salvo en el caso en el que se haya validado este escenario como
excepcional por parte del equipo de Seguridad de VSD. En ese caso se establecerá un período de validez de
este escenario con el fin de transitar finalmente al escenario corporativo de VSD.
Page 4 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 5 of 10
<ADFS – Integration Guidelines for Service Providers >
3 Requerimientos técnicos
El proveedor habrá de conocerse el argot, estructura y operaciones de SAML v2.0 antes de llevar a
cabo la integración. La base de datos de conocimiento a este respecto es la proporcionada por OASIS
en su portal Web y Wiki dedicada a SAML: https://wiki.oasis-open.org/security/FrontPage
El mecanismo usado para la integración será el de SP-Initiated SSO.
El log on se llevará a cabo en la plataforma de VSD (https://vsdintegration.securitasdirect.es).
Se usará SAML v2.0 para la gestión del token de seguridad entre el IdP (VSD) y el SP (Proveedor).
Los back-ends (Federation Servers) de IdP y de SP han de comunicarse directamente entre sí (por
ejemplo usando SOAP), y no delegando las comunicaciones exclusivamente al Navegador.
En el caso de que el proveedor provea una aplicación móvil, la integración ADFS se llevará a cabo
usando comunicación WEB responsive (Web agent, no programación nativa del dispositivo) desde
la propia aplicación móvil para la parte de autenticación y autorización.
La información de Metadatos de ADFS es la siguiente:
https://vsdintegration.securitasdirect.es/FederationMetadata/2007-06/FederationMetadata.xml
Documentación a revisar por el proveedor (SP) antes de acometer la integración (en especial punto
5.1.3 referido a método SP-initiated SSO con comunicación entre Backends):
http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.pdf
El proveedor tendrá que identificar qué método concreto de SP-initiated SSO usando Artifacts es el
que va a utilizar para llevar a cabo la integración.
Para más detalle sobre métodos de integración disponibles, el proveedor puede consultar la
siguiente página:
https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf83/page/task/spInitiatedSsoA
rtifactArtifact.html?#
No serán válidas integraciones que no usen Artifacts para comunicación directa entre Back-ends
(Federation Servers).
4 Modelo tipo
Page 5 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 6 of 10
<ADFS – Integration Guidelines for Service Providers >
/*
Description: ADFS Validation, SP-initiated SSO - Redirect Artifact
Date: 2017-09-05
Reference:
https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf83/page/task/spInitiatedSsoArtifactArtifact.html
?#
Example: in the text, there is the META4 authentication SSO process as example of corporative validation using
ADFS.
*/
Processing steps
-----------------------
1. A user requests access to a protected SP resource. The user is not logged on to the site.
The request is redirected to the federation server to handle authentication.
Page 6 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 7 of 10
<ADFS – Integration Guidelines for Service Providers >
2. The SP returns an HTTP redirect (code 302 or 303) containing a SAML request for authentication through the
user's browser to the IdP's SSO service.
3. If the user is not already logged on to the IdP site or if re-authentication is required, the IdP asks for credentials
(e.g., ID and password) and the user logs on.
4. Additional information about the user may be retrieved from the user data store for inclusion in the SAML
response. (These attributes are predetermined as part of the federation agreement between the IdP and the
SP—see About attributes.).
IdP access to internal repository (LDAP of VSD) to get data about the user.
5. The IdP federation server generates an assertion, creates an artifact, and sends an HTTP redirect containing
the artifact through the browser to the SP's Assertion Consumer Service (ACS).
6. The ACS extracts the Source ID from the SAML artifact and sends an artifact-resolve message to the identity
federation server's Artifact Resolution Service (ARS).
The SP (https://sdg.meta4globalhr.com/) receive the request of customer and contact to Identity Provider with
Artifact
7. The ARS sends a SAML artifact response message containing the previously generated assertion.
8. (Not shown) If a valid assertion is received, the SP establishes a session and redirects the browser to the target
resource.
Navigator page:
https://sdg.meta4globalhr.com/servlet/CheckSecurity/JSP/ssco_menu/index_renhash_45c7c47cf93bb2cdd0
9b7dfe1dd25e74_l3_dl_oSDSP_v1.html#reload
Page 7 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 8 of 10
<ADFS – Integration Guidelines for Service Providers >
El proveedor recibirá un usuario de pruebas para el servicio, cuya cuenta será creada por VSD en su
ADFS. VSD sólo dispone de entorno de Producción, de modo que la validez del usuario de pruebas
será temporal.
VSD adecuará los grupos y permisos para dicho usuario (y a futuro para los usuarios que haya que
acreditar y autorizar mediante ADFS) con el fin de explotar los recursos del proveedor (SP) y los
internos de VSD requeridos para proporcionar el servicio completo.
Se indicarán usuarios de pruebas, grupos y permisos (así como validez temporal) a utilizar por el
proveedor en el momento de llevar a cabo la integración.
El contacto de VSD para llevar a cabo la integración estará en el equipo de Arquitectura. El proveedor
habrá de identificar un contacto único (de perfil técnico) para la integración.
El proveedor habrá de entregar un documento previo de análisis y diseño de la solución a desarrollar
e integrar, que incluirá un esquema técnico detallado. El proveedor identificará claramente el
modelo de integración que seguirá de entre los disponibles del tipo SP-Initiated SSO con Artifacts. Si
llevará a cabo algún punto especial que se salga de los estándares, habrá de reseñarlo, de modo que
pueda ser validado previamente por los equipos de VSD.
Los desarrollos requeridos serán completamente desempeñados por los equipos del Proveedor. En
caso de necesitar subcontratar los desarrollos, total o parcialmente, el proveedor habrá de indicarlo
previamente.
Para validar la integración participarán los equipos de Arquitectura, Seguridad y Plataforma de
Negocio. Hasta que la integración no haya sido validada por los equipos de VSD identificados, no se
dará por concluido y válido el desarrollo de integración.
Adicionalmente, se podrá llevar a cabo una auditoría del servicio por VSD (o encargada por VSD a un
tercero) previa al paso a producción o posteriormente al mismo para garantizar que se han
observado correctamente los estándares y directrices adecuados. El Proveedor se compromete a
facilitar los medios para ejecutar dicha auditoría en agenda acordada con VSD.
Page 8 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 9 of 10
<ADFS – Integration Guidelines for Service Providers >
6 Glosario de Términos
SSO Single Sign On. Acceso único (credenciales únicas) para múltiples
aplicaciones/sistemas.
ADFS / AD FS Active Directory Federation Services. Proporciona acceso SSO a los usuarios hacia
sistemas y aplicaciones a través de las fronteras corporativas.
SP Service Provider
IdP-Initiated SSO Escenario en el cual el flujo de autenticación comienza desde el propio IdP, que
redireccionará al Servicio y Proveedor adecuados en cada caso.
Page 9 of 10
Version: 2.0
ADFS – SP-Initiated IT Date: 04/11/2019
Template Version: 1.1
Page 10 of 10
<ADFS – Integration Guidelines for Service Providers >
Federation Server Servidor que ejecuta servicios Web especializados para lanzar, gestionar y validar
peticiones de tokens de seguridad y de gestión de identidad. Puede proteger el
contenido de los tokens de seguridad con un certificado X.509, lo que hace posible
validar proveedores de confianza.
ARS Artifact Resolution Service. Pieza de software en el lado de IdP que entrega el
mensaje SAML que corresponde al Artefacto. Para ello retorna la respuesta al SP
usando SOAP.
Page 10 of 10