Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SignalFx
En este tutorial, aprenderá a integrar SignalFx con Microsoft Entra ID. Al integrar SignalFx con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar desde Microsoft Entra identificador quién tiene acceso a SignalFx.
- Permitir que los usuarios puedan iniciar sesión automáticamente en SignalFx con sus cuentas de Microsoft Entra.
- Administrar las cuentas desde una ubicación (Azure Portal).
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Una suscripción habilitada para el inicio de sesión único en SignalFx.
Descripción del escenario
En este tutorial, configurará y probará el inicio de sesión único (SSO) de Microsoft Entra en un entorno de prueba.
- SignalFx admite el SSO iniciado por IDP.
- SignalFx admite el aprovisionamiento de usuarios Just-In-Time.
Paso 1: Incorporación de la aplicación SignalFx en Azure
Utilice estas instrucciones para agregar la aplicación SignalFx a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba SignalFx en el cuadro de búsqueda.
- Seleccione SignalFx en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
- Deje abierto el Centro de administración de Microsoft Entra y, a continuación, abra una nueva pestaña del explorador.
Paso 2: Inicio de la configuración del inicio de sesión único de SignalFx
Siga estas instrucciones para comenzar el proceso de configuración del inicio de sesión único de SignalFx.
- En la pestaña recién abierta, acceda a la interfaz de usuario de SignalFx e inicie sesión.
- En el menú superior, haga clic en Integrations (Integraciones).
- En el campo de búsqueda, escriba y seleccione Microsoft Entra ID.
- Haga clic en Create New Integration (Crear nueva integración).
- En Name (Nombre), escriba un nombre fácilmente reconocible que los usuarios puedan entender.
- Marque Show on Login Page (Mostrar en la página de inicio de sesión).
- Esta característica mostrará un botón personalizado en la página de inicio de sesión en el que los usuarios podrán hacer clic.
- La información que escribió en Name (Nombre) aparecerá en el botón. Por ello, escriba un valor para Name (Nombre) que los usuarios puedan reconocer.
- Esta opción solo funcionará si usa un subdominio personalizado para la aplicación SignalFx; por ejemplo, nombredelaempresa.signalfx.com. Para obtener un subdominio personalizado, póngase en contacto con el equipo de soporte técnico de SignalFx.
- Copie el identificador de integración. Necesitará esta información en un paso posterior.
- Deje abierta la interfaz de usuario de SignalFx.
Paso 3: configurar el inicio de sesión único de Microsoft Entra
Siga estas instrucciones para habilitar el inicio de sesión único de Microsoft Entra.
Vuelva al Centro de administración de Microsoft Entra y, en la página de integración de la aplicación SignalFx, busque la sección Administrar y seleccione Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la página Configurar inicio de sesión único con SAML realice los siguientes pasos:
a. En Identificador, escribe la siguiente dirección URL
https://api.<realm>.signalfx.com/v1/saml/metadata
y sustituye<realm>
por tu dominio de SignalFx, así como<integration ID>
por el id. de integración que copiaste anteriormente de la interfaz de usuario de SignalFx. (excepto el dominio kerberos US0, la dirección URL debe serhttps://api.signalfx.com/v1/saml/metadata
).b. En URL de respuesta, escriba la dirección URL
https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID>
y reemplace<realm>
por el dominio Kerberos de SignalFx y<integration ID>
por el valor de Integration ID (Identificador de integración) que copió antes de la interfaz de usuario de SignalFx. (excepto US0, la dirección URL debe serhttps://api.signalfx.com/v1/saml/acs/<integration ID>
)La aplicación SignalFx espera las aserciones de SAML en un formato específico. Para ello, es necesario agregar asignaciones de atributos personalizados a la configuración de los atributos del token SAML.
Revise y compruebe que las siguientes notificaciones se asignan a los atributos de origen que se rellenan en Active Directory.
Nombre Atributo de origen User.FirstName user.givenname User.email user.mail PersonImmutableID user.userprincipalname User.LastName user.surname Nota:
Este proceso requiere que Active Directory esté configurado con al menos un dominio personalizado comprobado, además de tener acceso a las cuentas de correo electrónico de este dominio. Si no está seguro o necesita ayuda con esta configuración, póngase en contacto con el equipo de soporte técnico de SignalFx.
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base 64) y, a continuación, seleccione Descargar. Descargue el certificado y guárdelo en el equipo. A continuación, copie el valor de Dirección URL de metadatos de federación de aplicación; necesitará esta información en un paso posterior en la interfaz de usuario de SignalFx.
En la sección Configurar SignalFx, copie el valor de Identificador de Microsoft Entra. necesitará esta información en un paso posterior en la interfaz de usuario de SignalFx.
Paso 4: crear un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Seleccione Crear.
Paso 5: asignar usuario de prueba de Microsoft Entra
En esta sección, va a conceder a B.Simon acceso a SignalFx mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>SignalFx.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Paso 6: Finalización de la configuración del inicio de sesión único de SignalFx
- Abra la pestaña anterior y vuelva a la interfaz de usuario de SignalFx para ver la página de integración de Microsoft Entra actual.
- Junto a Certificado (Base64), haga clic en Cargar archivo y, a continuación, busque el archivo de certificado codificado en Base 64 que descargó anteriormente.
- Junto a Identificador de Microsoft Entra, pegue el valor del Identificador de Microsoft Entra que copió anteriormente.
- Junto a Dirección URL de metadatos de federación, pegue el valor de Dirección URL de metadatos de federación de aplicación que copió antes.
- Haga clic en Save(Guardar).
Paso 7: Prueba de SSO
Revise la siguiente información sobre cómo probar el inicio de sesión único, así como las expectativas para iniciar sesión en SignalFx por primera vez.
Prueba de los inicios de sesión
Para probar el inicio de sesión, debe usar una ventana privada o de incógnito, o puede cerrar sesión. Si no, las cookies del usuario que configuró la aplicación interferirán y evitarán un inicio de sesión correcto con el usuario de prueba.
Cuando un nuevo usuario de prueba inicia sesión por primera vez, Azure forzará un cambio de contraseña. Cuando esto ocurra, el proceso de inicio de sesión de SSO no se completará; se dirigirá al usuario de prueba a Azure Portal. Para solucionar el problema, el usuario de prueba debe cambiar su contraseña e ir a la página de inicio de sesión de SignalFx o a Aplicaciones y volver a intentarlo.
- Al hacer clic en el icono de SignalFx en Aplicaciones, debería iniciar sesión automáticamente en la instancia de SignalFx.
- Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
- Al hacer clic en el icono de SignalFx en Aplicaciones, debería iniciar sesión automáticamente en la instancia de SignalFx.
Se puede acceder a la aplicación SignalFx desde Aplicaciones o a mediante una página de inicio de sesión personalizada asignada a la organización. El usuario de prueba debe probar la integración a partir de cualquiera de estas ubicaciones.
- El usuario de prueba puede usar las credenciales creadas anteriormente en este proceso para b.simon@contoso.com.
Inicios de sesión por primera vez
Cuando un usuario inicia sesión en SignalFx desde el inicio de sesión único de SAML por primera vez, el usuario recibirá un correo electrónico de SignalFx con un vínculo. El usuario debe hacer clic en el vínculo para fines de autenticación. Esta validación de correo electrónico solo tendrá lugar para los usuarios por primera vez.
SignalFx admite la creación de usuarios Just-in-Time, lo que significa que si un usuario no existe en SignalFx, se creará la cuenta del usuario tras el primer intento de inicio de sesión.
Pasos siguientes
Una vez configurado SignalFx, puede aplicar el control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.