**IMPORTANTE** La activación de la autenticación SAML evitará que los usuarios puedan iniciar sesión con una cuenta de Eduphoria. Si activa SAML con errores en la configuración, deberá comunicarse con el equipo de soporte de Eduphoria para deshabilitar SAML debido a que no podrá iniciar sesión. El equipo de soporte de Eduphoria debe estar al tanto cuando su distrito esté haciendo el cambio de configuración para que puedan estar en espera.
Nota: Para admitir firmas electrónicas con SAML, debemos solicitar a los usuarios que se autentiquen con el IdP cada vez que acceden al software. Esto garantiza que el usuario correcto inicie sesión si un usuario diferente firmó un documento en la máquina anteriormente.
La autenticación SAML es opcional y está oculta de forma predeterminada. Envíe un correo electrónico a support@eduphoria.net para habilitar la pestaña de configuración de SAML.
Las siguientes instrucciones se aplican a AD FS en Windows Server 2016 y 2019. Cierta información y pantallas pueden verse diferentes en versiones anteriores.
Configuración de Eduforia
En la pantalla de inicio de Eduphoria, haga clic en el icono de Gestión .
Haga clic en Servicios de directorio en el panel izquierdo
Haga clic en la pestaña SAML
A continuación se muestran ejemplos del aspecto que deberían tener el URI de inicio de sesión único de SAML2 y el URL de cierre de sesión único de SAML2. Deberá cambiar el comienzo de estas URL para que coincidan con sus URL de ADFS o WAP de ADFS.
URI de inicio de sesión único de SAML2: https:// yourservicename.yourdomainname.com /adfs/ls
URI de cierre de sesión único de SAML2: https:// yourservicename.yourdomainname.com /adfs/ls
Para adquirir el Certificado de firma pública SAML2, primero descargue el archivo de metadatos de su servidor ADFS. Modifique el enlace a continuación y reemplace «yourservicename.yourdomainname.com» con la URL de su servidor ADFS o ADFS WAP y colóquelo en un navegador.
https:// sunombredeservicio.sunombrededominio.com /FederationMetadata/2007-06/FederationMetadata.xml
Se debe descargar un archivo FedarationMetadata.xml. Abra el archivo y copie el valor completo dentro de las primeras etiquetas <X509Certificate>. Pegue el valor en el cuadro Certificado de firma pública SAML2.
NO marque la casilla Habilitar SAML2 todavía .
Haz clic en Guardar en la parte superior de la página.
Configuración de ADFS
En Administración de AD FS, abra «Fideicomisos de usuario de confianza». Elija la acción «Agregar confianza de usuario de confianza…».
En la primera pantalla del asistente, seleccione «Consciente de reclamaciones» y haga clic en Iniciar .
En la siguiente pantalla, elija «Importar datos sobre la parte de confianza en línea o en una red local». Debe ingresar «https://{districtUrl}.schoolobjects.com/AuthHosted/Saml2/Metadata» y hacer clic en Siguiente >.
Para el nombre para mostrar, ingrese «Eduphoria» y haga clic en Siguiente >.
En la siguiente pantalla, limite los permisos solo a aquellos que deberían tener acceso a las aplicaciones de Eduphoria. Esto debe incluir a la mayoría oa todo el personal.
Haga clic en siguiente a través de las pantallas restantes y salga de la configuración.
Configuración de reclamaciones
Una vez completado, haga clic con el botón derecho en la nueva parte dependiente de Eduphoria y seleccione «Editar política de emisión de reclamos…». En la pantalla que aparece, elija Agregar regla. Se iniciará un nuevo asistente.
En la primera pantalla, seleccione Enviar reclamaciones mediante una regla personalizada de la lista desplegable y haga clic en Siguiente >.
Asigne un nombre a la regla de reclamación, por ejemplo: «Reclamaciones de AD». Ingrese el texto a continuación para la regla personalizada:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory",
tipos = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier",
"http ://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"),
query = ";givenName,sn,mail,objectGUID,sAMAccountName;{0}", param = c.Value);
Su pantalla debe verse como el ejemplo a continuación.
Finalice el asistente y haga clic en Aceptar en la ventana Política de emisión de reclamaciones.
De vuelta en la pantalla Política de emisión de reclamos, haga clic en Agregar regla nuevamente. Se iniciará un nuevo asistente.
En la primera pantalla, seleccione Enviar reclamaciones mediante una regla personalizada de la lista desplegable y haga clic en Siguiente >.
Asigne un nombre a la regla de notificación, por ejemplo: «ID de nombre». Ingrese el texto a continuación para la regla personalizada:
c:[Tipo == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> problema(Tipo = "http://schemas.xmlsoap.org/ws/2005 /05/identity/claims/nameidentifier",
Emisor = c.Emisor, OriginalIssuer = c.OriginalIssuer,
Valor = c.Valor, ValueType = c.ValueType,
Properties["http://schemas.xmlsoap.org/ws/2005 /05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
Finalice el asistente y haga clic en Aceptar en la ventana Política de emisión de reclamaciones.
Compatibilidad con SSO para estudiantes con SAML
ADFS y SAML se pueden configurar para autenticar tanto a los estudiantes como a los miembros del personal. Para autenticar a los estudiantes debe cumplir con los siguientes requisitos y seguir estos pasos adicionales.
Requisitos:
- Los estudiantes deben iniciar sesión con un nombre de usuario que coincida con su identificación de estudiante del SIS, o esa identificación debe estar presente en algún campo de AD.
- Los estudiantes deben estar en un solo grupo o en un grupo que contenga todos los grupos de estudiantes.
Si se cumplen los requisitos anteriores, se puede agregar una regla de reclamo adicional para especificar que una cuenta autenticada es un estudiante.
De vuelta en la pantalla Política de emisión de reclamos, haga clic en Agregar regla nuevamente. Se iniciará un nuevo asistente.
En la primera pantalla, seleccione Enviar membresía de grupo como reclamo de la lista desplegable y haga clic en Siguiente >.
Asigne a la regla un nombre como «Grupo de estudiantes como rol». Seleccione un grupo que se aplicaría a todos los estudiantes.
Elija Rol para el tipo de Reclamo saliente. Para el valor saliente ingrese «estudiante».
Finalice el asistente y haga clic en Aceptar en la ventana Política de emisión de reclamaciones.
Habilitar SAML
En Eduphoria, abra la aplicación de administración, haga clic en Servicios de directorio, seleccione la pestaña SAML, marque la casilla Habilitar SAML2 y luego haga clic en Guardar en la parte superior.
Su configuración de AD FS para Eduphoria debería estar completa.
