SAML en Eduphoria

Eduphoria es compatible con el lenguaje de marcado de aserción seguro (SAML), que le permite proporcionar acceso de inicio de sesión único (SSO) a las cuentas del personal y de los estudiantes de Eduphoria. Con SSO, los usuarios pueden iniciar sesión una vez utilizando el formulario de inicio de sesión de su empresa para obtener acceso a múltiples sistemas y proveedores de servicios, incluidos los productos de Eduphoria.

Puede habilitar el inicio de sesión único de SAML solo para los miembros del personal, así como para el personal y los estudiantes, pero no solo para los estudiantes. Los miembros del personal incluyen maestros, directores y administradores.

Como administrador del sistema de Eduphoria, su función consiste en habilitar las opciones de SAML SSO. Consulte los siguientes temas:

• Cómo funciona SAML SSO para Eduphoria
• Requisitos para habilitar SAML SSO
• Habilitación de SAML SSO
• Administrar usuarios en Eduphoria después de habilitar SAML SSO
• Cambio de métodos de autenticación

El equipo de TI del distrito suele ser responsable de configurar y administrar el sistema de autenticación SAML de la empresa. Su función es implementar SSO para Eduphoria en el sistema. Remita al equipo a la siguiente hoja de trabajo y a la información de solución de problemas:

• Hoja de trabajo de implementación técnica
• Decodificación de mensajes SAML para depuración

El inicio de sesión único de SAML está disponible para todas las organizaciones. También puede configurar el inicio de sesión único mediante la autenticación remota de ClassLink.

Cómo funciona SAML SSO para Eduphoria

SAML para Eduphoria funciona de la misma manera que lo hace SAML con todos los demás proveedores de servicios. Un caso de uso común incluye una organización que administra todas las autenticaciones de usuarios mediante un único sistema de autenticación como Active Directory o LDAP (genéricamente denominado proveedor de identidad o IdP). Eduphoria establece una relación de confianza con el IdP y le permite autenticar e iniciar sesión en las cuentas de Eduphoria.

Otro caso de uso común sería un usuario que inicia sesión en el sistema de su distrito al comienzo del día escolar. Una vez que se registran, tienen acceso a otras aplicaciones y servicios del distrito (como aplicaciones de correo electrónico o Eduphoria) sin tener que iniciar sesión por separado en esos servicios.

Si un usuario intenta iniciar sesión directamente en una cuenta de Eduphoria, se le redirige a su servidor o servicio SAML para la autenticación. Una vez autenticado, el usuario es redirigido a su cuenta de Eduphoria e inicia sesión automáticamente.

Dar a los estudiantes acceso a Eduphoria para pruebas en línea y acceso a datos individuales es otro flujo de trabajo compatible. Cuando un estudiante intenta iniciar sesión, Eduphoria redirigirá la solicitud al proveedor de identidad para validar al estudiante. Luego, el IdP envía el resultado exitoso a Eduphoria, que otorga una sesión al estudiante.

Requisitos para habilitar SAML SSO

Reúnase con su equipo organizacional responsable del sistema de autenticación SAML (generalmente el equipo de TI) para asegurarse de que su organización cumpla con los siguientes requisitos:

• La organización tiene un servidor SAML con usuarios aprovisionados o está conectada a un repositorio de identidad como Microsoft Active Directory o LDAP. Las opciones incluyen el uso de un servidor SAML interno como RapidIdentity o ADFS, o un servicio SAML como Azure Active Directory Domain Services, Okta, OneLogin o Ping Identity.
• Si usa un servidor de Servicios de federación de Active Directory (ADFS) , la autenticación basada en formularios debe estar habilitada. Eduphoria no es compatible con la autenticación integrada de Windows (WIA).
• El tráfico con destino a Eduphoria se realiza a través de HTTPS, no de HTTP.

Solicite la siguiente información al equipo:

• La URL de inicio de sesión remoto para su servidor SAML (a veces denominada URL de inicio de sesión único de SAML).
• La URL de cierre de sesión remoto donde Eduphoria puede redirigir a los usuarios después de que cierren sesión en Eduphoria ( recomendado ).
• La huella digital SHA2 del certificado SAML de su servidor SAML. Los certificados X.509 son compatibles y deben estar en formato PEM o DER. No hay límite superior en el tamaño de la huella dactilar SHA.

El siguiente paso es ingresar la información en el Centro de administración de Eduphoria para habilitar SSO.

El equipo de TI puede requerir información adicional de Eduphoria para configurar la implementación de SAML.

Habilitación de SAML SSO

Puede habilitar el inicio de sesión único de SAML solo para todo el personal y los profesores, o para todo el personal y los estudiantes. Al iniciar sesión en Eduphoria, los usuarios verán un botón que los redirigirá a su página principal de inicio de sesión.

Antes de comenzar, obtenga la información requerida del equipo de TI de su organización.

Debe iniciar sesión en Eduphoria como administrador del sistema para seguir estos pasos y habilitar el inicio de sesión único de SAML.

Paso 1: Desde la pantalla de aplicaciones de Eduphoria, seleccione Gestión .

Paso 2: desde la pestaña Organización dentro de Administración, haga clic en el botón Servicios de directorio e inicio de sesión de estudiantes en la barra lateral izquierda, luego haga clic en la pestaña SAML .

Paso 3: Para el URI de inicio de sesión único de SAML2 , ingrese la URL de inicio de sesión remota de su servidor SAML.

Paso 4: Para el URI de cierre de sesión único de SAML2 , ingrese una URL de cierre de sesión donde Eduphoria pueda redirigir a los usuarios después de que cierren sesión en Eduphoria ( recomendado ).

Paso 5: Como requisito para que Eduphoria se comunique con su servidor SAML, ingrese el Certificado de Firma Pública SAML2 .

Paso 6: Una vez que haya configurado su SAML SSO, marque la casilla Habilitar SAML2 . 

Nota: No podrá marcar esta casilla si algún otro método de inicio de sesión único está configurado actualmente.

Paso 7: cuando haya terminado de hacer cambios, haga clic en Guardar .

Administrar usuarios en Eduphoria después de habilitar SAML SSO

Después de habilitar el inicio de sesión único de SAML en Eduphoria, los cambios realizados a los usuarios fuera de Eduphoria se sincronizan con su cuenta de Eduphoria en el siguiente inicio de sesión. Por ejemplo, si se agrega un usuario a su Active Directory interno o sistema LDAP, entonces el usuario se agrega automáticamente a su cuenta de Eduphoria al iniciar sesión. Si se elimina un usuario en su sistema interno, entonces el usuario ya no podrá iniciar sesión en Eduphoria. Sin embargo, su cuenta seguirá existiendo en Eduphoria.

De manera predeterminada, los únicos datos de usuario almacenados en Eduphoria cuando el inicio de sesión único está habilitado son el nombre de pila, el apellido, la ID persistente y la dirección de correo electrónico del usuario. Eduphoria no almacena contraseñas.

Para admitir también la autenticación de cuentas de estudiantes, deberá especificar algunos atributos adicionales .

Cambio de métodos de autenticación

Nota: si utiliza un método SSO de terceros para crear y autenticar usuarios en Eduphoria y luego elige cambiar a la autenticación de Eduphoria, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, solicite a estos usuarios que restablezcan sus contraseñas desde la página de inicio de sesión de Eduphoria.

Hoja de trabajo de implementación técnica

Esta sección es para el equipo de la empresa responsable del sistema de autenticación SAML de la organización. Proporciona detalles sobre la implementación de Eduphoria SAML SSO.

Tópicos cubiertos:

• Datos de usuario necesarios para identificar al usuario que se está autenticando
• Configuración del proveedor de identidad para Eduphoria
• Configuración del servidor SAML para Eduphoria
• Solución de problemas de configuración de SAML para Eduphoria

Datos de usuario necesarios para identificar al usuario que se está autenticando

Cuando implementa el acceso SAML SSO a las cuentas de Eduphoria, especifica ciertos datos de usuario para identificar al usuario que se está autenticando.

Estos temas describen los datos que debe proporcionar:

• Especificación del ID persistente de un usuario en el NameID del sujeto SAML
• Especificación de atributos de usuario necesarios en la aserción SAML
• Datos de usuario adicionales requeridos para cuentas de estudiantes

Especificación de un ID persistente de usuario en el NameID del sujeto SAML

Debe especificar una ID persistente para el usuario en la ID del nombre del sujeto SAML en las aserciones SAML.

Concepto	Donde se especifica	Descripción	Valor de ejemplo
persistente	<saml:Asunto> <saml:IDNombre>	ID persistente para identificar al usuario. Se utiliza para identificar de forma única al usuario en Eduphoria.	m_H3naDei2LNxUmEc Wd0BZlNi_jVET1pML R6iQSuYmo

Ejemplo de ID persistente:

<saml:Subject>


<saml:NameID

Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">m_H3naDei2LNxUmEcWd0BZlNi_jVET1pMLR6iQSuYmo</saml:NameID>

<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">


<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>

</saml:SubjectConfirmation>

</saml:Subject>


Si no se proporcionan los atributos de nombre, apellido y correo electrónico, Eduphoria no creará ni autenticará a un usuario al iniciar sesión. Los detalles sobre los atributos requeridos se proporcionan a continuación.

Especificación de atributos de usuario necesarios en la aserción SAML

Una aserción SAML contiene una o más declaraciones sobre el usuario. Una declaración es la decisión de autorización en sí misma: si se le otorgó acceso al usuario o no. Otra declaración puede constar de atributos que describen al usuario que ha iniciado sesión.

Al especificar los atributos de usuario necesarios, debe especificar los atributos con el espacio de nombres completo. Por ejemplo, donde el nombre descriptivo del atributo podría ser ‘apellido’, el valor real que debe usar para el atributo es: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname. Eduphoria intentará leer los siguientes atributos por sus nombres descriptivos, si es necesario.

Concepto	Atributo	Valores de nombres abreviados	Valor de espacio de nombres completo
primer nombre	nombre de pila	nombre de pila	http://schemas.xmlsoap.org/ws/ 2005/05/identity/claims/given name
apellido	apellido	apellido	http://schemas.xmlsoap.org/ws/ 2005/05/identity/claims/surname
Email	dirección de correo electrónico	Email dirección de correo electrónico	http://schemas.xmlsoap.org/ws/ 2005/05/identity/claims/email address

Un usuario en Eduphoria se crea o actualiza de acuerdo con el nombre, apellido y correo electrónico de este usuario. Vea el ejemplo a continuación. 

Ejemplo de atributos requeridos:

<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">


<saml:AttributeValue xsi:type="xs:anyType">Jeff</saml:AttributeValue>


</saml:Attribute>


<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">