Compartir a través de


Tutorial: Integración del inicio de sesión único de Microsoft Entra con Rackspace SSO

En este tutorial, aprenderá a integrar Rackspace SSO con Microsoft Entra ID. Al integrar Rackspace SSO con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a Rackspace SSO.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Rackspace SSO con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para configurar la integración de Microsoft Entra con Rackspace SSO, necesita los siguientes elementos:

  • Una suscripción a Microsoft Entra. Si no tiene un entorno de Microsoft Entra, puede obtener una cuenta gratuita.
  • Una suscripción habilitada para SSO en Rackspace SSO.

Descripción del escenario

En este tutorial se configura y prueba el inicio de sesión único de Microsoft Entra en un entorno de prueba.

  • Rackspace SSO admite el SSO iniciado por IDP.

Nota:

El identificador de esta aplicación es un valor de cadena fijo, por lo que solo se puede configurar una instancia en un inquilino.

Para configurar la integración de Rackspace SSO en Microsoft Entra ID, tiene que agregar Rackspace SSO desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Rackspace SSO en el cuadro de búsqueda.
  4. Seleccione Rackspace SSO en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Rackspace SSO

En esta sección, podrá configurar y probar el inicio de sesión único de Microsoft Entra con Rackspace SSO con un usuario de prueba llamado Britta Simon. Si se usa el inicio de sesión único con Rackspace, los usuarios de este se crearán automáticamente la primera vez que inicien sesión en el portal de Rackspace.

Para configurar y probar el SSO de Microsoft Entra con Rackspace SSO, siga estos pasos:

  1. Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan utilizar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con Britta Simon.
    2. Asigne el usuario de prueba de Microsoft Entra para que Britta Simon pueda usar el inicio de sesión único de Microsoft Entra.
  2. Configuración de Rackspace SSO: para configurar los valores de inicio de sesión único en la aplicación.
    1. Configuración de la asignación de atributos en el panel de control de Rackspace: para asignar roles de Rackspace a usuarios de Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Rackspace SSO>Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, elija SAML.

  4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Captura de pantalla que muestra cómo editar la configuración básica de S A M L.

  5. En la sección Configuración básica de SAML, cargue el archivo de metadatos del proveedor de servicios, que se puede descargar de la dirección URL, y siga estos pasos:

    a. Haga clic en Cargar el archivo de metadatos.

    Captura de pantalla que muestra la configuración básica de SAML con el vínculo Cargar archivo de metadatos.

    b. Haga clic en el logotipo de la carpeta para seleccionar el archivo de metadatos y luego en Cargar.

    Captura de pantalla que muestra un cuadro de diálogo donde puede seleccionar y cargar un archivo.

    c. Una vez que se ha cargado correctamente el archivo de metadatos, las direcciones URL necesarias se rellenan automáticamente.

  6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en Descargar para descargar el XML de metadatos de federación de las opciones proporcionadas según sus requisitos y guárdelo en el equipo.

    Captura de pantalla del vínculo de descarga del Certificado.

Este archivo se cargará en Rackspace para llenar los valores de configuración de Identity Federation requeridos.

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

  1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Ve a Identidad>Usuarios>Todos los usuarios.
  3. Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, sigue estos pasos:
    1. En el campo Nombre para mostrar, escribe B.Simon.
    2. En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
    4. Selecciona Revisar + crear.
  5. Selecciona Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección va a permitir que B.Simon acceda a Rackspace SSO mediante el SSO.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Rackspace SSO.
  3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
  4. Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
    1. En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
    2. Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
    3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración de Rackspace SSO

Para configurar el inicio de sesión único en Rackspace SSO:

  1. Consulte la documentación de Add an Identity Provider to the Control Panel (Agregar un proveedor de identidades al panel de control)
  2. En ella se proporcionan los pasos necesarios para:
    1. Crear un proveedor de identidades.
    2. Especificar un dominio de correo electrónico que los usuarios utilizarán para identificar la compañía al iniciar sesión.
    3. Cargar el XML de metadatos de federación que ha descargado previamente desde el panel de control de Azure.

Así se configurarán los valores básicos de SSO necesarios para la conexión entre Azure y Rackspace.

Configuración de la asignación de atributos en el panel de control de Rackspace

Rackspace usa una directiva de asignación de atributos para asignar roles y grupos de Rackspace a los usuarios de inicio de sesión único. La directiva de asignación de atributos convierte las notificaciones SAML de Microsoft Entra en los campos de la configuración de usuario que Rackspace requiere. Se puede encontrar más información en la documentación de los conceptos básicos de la asignación de atributos de Rackspace. Algunas consideraciones que hay que tener en cuenta:

  • Si desea asignar distintos niveles de acceso a Rackspace mediante grupos de Microsoft Entra, deberá habilitar la notificación de grupos en la configuración del inicio de sesión único de Rackspace SSO en Azure. La directiva de asignación de atributos se usará para que coincidan esos grupos con los roles y grupos de Rackspace deseados:

    Captura de pantalla que muestra la configuración de las notificaciones de grupos.

  • De forma predeterminada, Microsoft Entra ID envía el UID de grupos de Microsoft Entra en la notificación SAML, frente al nombre del grupo. Sin embargo, si se va a sincronizar la instancia local de Active Directory con Microsoft Entra ID, tiene la opción de enviar los nombres reales de los grupos:

    Captura de pantalla que muestra la configuración del nombre de las notificaciones de grupos.

En el siguiente ejemplo de directiva de asignación de atributo se muestra:

  1. El establecimiento del nombre de usuario de Rackspace en la notificación SAML user.name. Se puede usar cualquier notificación, pero es más común seleccionar un campo que contenga la dirección de correo electrónico del usuario.
  2. El establecimiento de los roles admin y billing:admin de Rackspace en un usuario, para lo que se hace coincidir un grupo de Microsoft Entra con un nombre de grupo o un identificador de usuario de grupo. Se usa una sustitución de "{0}" en el campo roles y se reemplazará por los resultados de la expresiones de reglas remote.
  3. El uso de la sustitución predeterminada"{D}" para que Rackspace pueda recuperar campos de SAML adicionales mediante la búsqueda de notificaciones de SAML estándar y conocidas en el intercambio de SAML.
---
mapping:
    rules:
    - local:
        user:
          domain: "{D}"
          name: "{At(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name)}"
          email: "{D}"
          roles:
              - "{0}"
          expire: "{D}"
      remote:
          - path: |
              (
                if (mapping:get-attributes('http://schemas.microsoft.com/ws/2008/06/identity/claims/groups')='7269f9a2-aabb-9393-8e6d-282e0f945985') then ('admin', 'billing:admin') else (),
                if (mapping:get-attributes('http://schemas.microsoft.com/ws/2008/06/identity/claims/groups')='MyAzureGroup') then ('admin', 'billing:admin') else ()
              )
            multiValue: true
  version: RAX-1

Sugerencia

Asegúrese de que utiliza un editor de texto que valide la sintaxis de YAML al editar el archivo de directiva.

Para ver más ejemplos, consulte la documentación de los documentación de los conceptos básicos de la asignación de atributos de Rackspace.

Prueba de SSO

En esta sección, probará la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

  • Haga clic en Probar esta aplicación, y debería iniciar sesión automáticamente en Rackspace SSO para el que ha configurado el SSO.

  • Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Rackspace SSO en Aplicaciones, debería iniciar sesión automáticamente en la versión de Rackspace SSO en la que configuró el inicio de sesión único. Para más información, vea Aplicaciones en Microsoft Entra.

También puede usar el botón Validate (Validar) de la configuración del inicio de sesión único de Rackspace SSO:

Captura de pantalla que muestra el botón Validar del inicio de sesión único.

Pasos siguientes

Una vez configurado Rackspace SSO, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.