HELP FILE

Cómo establecer una configuración personalizada de Enterprise Sign-In

Una de las opciones para implementar Enterprise Sign-In (SSO) es establecer una configuración personalizada con la pestaña Proveedor de identidades en el Centro de organización. Es la más utilizada por las empresas que cuentan con un proveedor de terceros que no ofrecen un paquete de Single Sign-On preconfigurado o que no necesitan un proveedor de identidades SAML personalizado.

LogMeIn ofrece la función Enterprise Sign-In, que es una opción de inicio único de sesión (SSO, Single Sign-On) basada en SAML. Esta opción permite a los usuarios iniciar sesión en sus productos LogMeIn sirviéndose del nombre de usuario y la contraseña que les haya facilitado la empresa, que son las mismas credenciales que utilizan al acceder a otros sistemas y herramientas dentro de su organización (por ejemplo, su correo electrónico de empresa, los equipos informáticos que les facilita la empresa, etc.). Así se les presta a los usuarios un servicio de inicio de sesión simplificado y se permite que se autentiquen de forma segura, utilizando unas credenciales que ya conocen. Más información.

La pestaña Proveedor de identidades en el Centro de organización es compatible con distintas configuraciones. Los administradores de TI pueden configurar automáticamente utilizando una URL de metadatos o cargando un archivo de metadatos SAML, o bien configurar manualmente con URL de inicio y cierre de sesión, un ID de proveedor de identidades y un certificado de verificación cargado.

Resumen general de la configuración del proveedor de identidades

Se ha establecido una relación de confianza entre dos partes o usuarios de confianza, cada uno de las cuales ha adquirido los metadatos necesarios de la otra parte para ejecutar inicios de sesión Single Sign-On de SAML. En cada usuario de confianza, la información de configuración se puede introducir de forma dinámica o manual, dependiendo de la interfaz ofrecida por el proveedor de identidades.

Al introducir los metadatos del servicio LogMeIn SAML Service en el proveedor de identidades (IdP), es posible que tenga la opción de añadir un nuevo proveedor de servicios a través de los metadatos. En este caso, puede simplemente rellenar el campo de dirección URL de metadatos con:

https://authentication.logmeininc.com/saml/sp

En el caso de que su proveedor de identidades requiera la entrada manual de los datos, tendrá que introducir manualmente la parte de los metadatos. En función de su proveedor de identidades, puede que se le pidan distintos datos o que los campos reciban distintos nombres. Para empezar, estos son algunos de los valores de configuración que se deben especificar si su proveedor de identidades los solicita. A continuación, dependiendo de si su proveedor de identidades respalda la funcionalidad de RelayState, habrá más valores para introducir.

  • EntityID: el ID de entidad (entityID) de LogMeIn SAML Service es la URL de metadatos. El proveedor de identidades (IdP), en ocasiones, puede hacer referencia a esto como IssuerID o AppID.
           https://authentication.logmeininc.com/saml/sp
  • Audience: esto es el EntityID de Citrix SAML Service. Un proveedor de identidades (IdP) puede hacer referencia a ella como "restricción de la audiencia" (Audience Restriction). Debe configurarse en:
            https://authentication.logmeininc.com/saml/sp
  • Single Logout URL: el destino de una solicitud de cierre de sesión o respuesta de cierre de sesión desde el puerto de destino:
            https://authentication.logmeininc.com/saml/SingleLogout
  • NameID format: el tipo de identificador de sujeto que se devuelve en la aserción. LogMeIn SAML Service espera:
              EmailAddress

Cuando se accede a productos a través de un inicio de sesión inicializado por un proveedor de identidades, algunos de ellos dan respaldo a una funcionalidad conocida como "RelayState", que permite dirigir los usuarios directamente al producto LogMeIn específico a donde quiere enviarles. Para configurarlo, es necesario establecer los siguientes campos, si los solicita la configuración de su proveedor de identidades. Algunos proveedores de identidad hacen referencia a estos campos con nombres diferentes. Cuando ha sido posible, hemos incluido los nombres alternativos que algunos proveedores de identidad usan para estos campos.

  • Assertion Consumer Service URL: la dirección URL adonde se devuelven las respuestas de autenticación (que contienen aserciones). El proveedor de identidades (IdP) también puede hacer referencia a esto como a como ACS URL, Post Back Url, Reply URL o Single Sign On URL.
  • Destinatario
  • Destino

Si su proveedor de identidades admite con la funcionalidad de RelayState, todos los campos anteriores (cuando los solicite el proveedor de identidades) deben rellenarse con:
             https://authentication.logmeininc.com/saml/acs

A continuación, se puede establecer un RelayState para cada producto para permitir que el enrutamiento a productos diferentes desde el catálogo de aplicaciones de su proveedor de identidades. A continuación se muestran los valores de RelayState a establecer para los productos de LogMeIn:

  • GoToMeeting
             https://global.gotomeeting.com
  • GoToWebinar
             https://global.gotowebinar.com
  • GoToTraining
             https://global.gototraining.com
  • OpenVoice
              https://global.openvoice.com
  • GoToAssist (asistencia remota)
              https://up.gotoassist.com
  • GoToAssist (departamento de servicios)
              https://desk.gotoassist.com
  • RescueAssist
              https://console.gotoassist.com
  • Jive
              https://my.jive.com

Si el proveedor de identidades no admite la funcionalidad de RelayState, no habrá ningún valor de RelayState para establecer. En su lugar, establezca los valores de ACS indicados arriba (ACS URL, Recipient, Destination) con los siguientes valores por producto:

  • GoToMeeting
              https://authentication.logmeininc.com/saml/global.gotomeeting.com/acs
  • GoToWebinar
              https://authentication.logmeininc.com/saml/global.gotowebinar.com/acs
  • GoToTraining
              https://authentication.logmeininc.com/saml/global.gototraining.com/acs
  • OpenVoice
               https://authentication.logmeininc.com/saml/global.openvoice.com/acs
  • GoToAssist (asistencia remota)
               https://authentication.logmeininc.com/saml/up.gotoassist.com/acs
  • GoToAssist (departamento de servicios)
               https://authentication.logmeininc.com/saml/desk.gotoassist.com/acs
  • RescueAssist
               https://authentication.logmeininc.com/saml/console.gotoassist.com/acs
  • Jive
               https://authentication.logmeininc.com/saml/my.jive.com/acs

Durante la configuración manual del servicio LogMeIn SAML Service en el proveedor de identidades, es posible que vea opciones adicionales. Esta es una lista de posibles opciones que se pueden ver y lo que se debe establecer para ellas.

  • Firmar aserción o respuesta
    • Active esta opción, el servicio LogMeIn SAML Service requiere la firma del proveedor de identidades en la respuesta.
  • Cifrar aserción o respuesta
    • Desactive esta opción, en este momento el servicio SAML no procesa aserciones cifradas.
  • Incluir condiciones SAML
    • Active esta opción, ya que es necesaria por el perfil SSO Web de SAML. Esta es una opción de SecureAuth.
  • SubjectConfirmationData no antes
    • Desactive esta opción, requerida por el perfil SSO Web de SAML. Esta es una opción de SecureAuth.
  • Respuesta SAML InResponseTo
    • Active esta opción. Esta es una opción de SecureAuth.