Configuración de pasaporte con OneLogin

Si tiene algún problema con Passport y OneLogin, lea nuestro artículo Solución de problemas de Passport con OneLogin para obtener más información.

El número de aplicaciones OIDC que debe crear en OneLogin depende del modo de autenticación que utilice el elemento de la biblioteca de Passport.

  • Si no utiliza la autenticación multifactor (MFA) con OneLogin, solo debe configurar una aplicación OIDC (para la sincronización de contraseñas).  

  • Si usa la autenticación multifactor (MFA) con OneLogin, debe crear dos aplicaciones: la aplicación mencionada anteriormente y una aplicación OIDC adicional para el modo de autenticación de inicio de sesión web. 

El número de aplicaciones OIDC que debe crear en OneLogin depende del modo de autenticación que utilice el elemento de la biblioteca de Passport. Siga estos pasos para configurar la aplicación que usará Passport para mantener la contraseña de Mac sincronizada con la contraseña de OneLogin. Esto es necesario para ambos modos de autenticación (inicio de sesión en Mac e inicio de sesión web).

Puede asignar los nombres que desee a las aplicaciones OIDC que cree; Nuestra documentación utiliza los siguientes nombres:

  • Kandji Passport Mac Iniciar sesión

  • Inicio de sesión web de Kandji Passport

De acuerdo con el artículo de soporte de OneLogin Introducción a la administración de aplicaciones, para agregar aplicaciones, debe usar una cuenta de OneLogin que sea un superusuario o un propietario de la cuenta.

Si ya configuraste Passport para la primera iteración de Kandji Passport, puedes ir directamente a la sección: Configure an OIDC app for Kandji Passport Web Login

Configurar una aplicación OIDC para el inicio de sesión de Kandji Passport Mac

Siga estos pasos para configurar la aplicación que usará Passport para mantener la contraseña de Mac sincronizada con la contraseña de OneLogin. Esto es necesario para ambos modos de autenticación (inicio de sesión en Mac e inicio de sesión web).

  1. Inicie sesión en OneLogin como propietario de una cuenta o superusuario.

  2. En la consola de administración de OneLogin, vaya a la página Aplicaciones

  3. En la esquina superior derecha, haz clic en Agregar aplicación.  

  4. En el campo de búsqueda de la esquina superior izquierda, escriba OIDC.

  5. Seleccione OpenId Connect (OIDC).  

  6. En el campo Nombre para mostrar , introduzca un nombre descriptivo, como Kandji Passport Mac Login.

  7. Haga clic en el interruptor Visible en el portal a la posición Desactivado ; no es necesario que esta aplicación esté visible para que Passport funcione, y puede resultar confuso para un usuario ver esta aplicación en su portal OneLogin.

  8. Haga clic en Guardar.  

  9. En la barra lateral izquierda, haz clic en Configuración.  

  10. En el campo URI de redireccionamiento, escriba lo siguiente:

    https://localhost.redirect

    NOTA: Passport no requiere este valor, pero no puede guardar la configuración de la aplicación sin algún valor en el campo URI de redireccionamiento. 

  11. En la barra lateral izquierda, haz clic en SSO.

  12. Haga clic en el menú Tipo de aplicación y seleccione Nativo.

  13. Haga clic en el menú Punto de conexión de token y seleccione Ninguno (PKCE).

  14. Haga clic en Guardar

  15. Abra un documento de texto seguro que pueda usar para almacenar valores para esta aplicación OIDC. Necesitará los detalles del ID de cliente y la URL del emisor cuando configure el elemento de la biblioteca de Passport (no necesita el secreto de cliente).

  16. A la derecha del campo ID de cliente , haga clic en el botón Copiar al portapapeles (parece un portapapeles).

  17. Pegue el ID de cliente en el documento de texto seguro.

  18. Haga clic con el botón derecho del ratón (o mantenga pulsada la tecla Control y haga clic) en el enlace Configuración conocida y copie su valor. 

    NOTA: La URL del emisor contiene el inicio de la configuración conocida para esta aplicación OIDC, que utiliza el siguiente patrón:

    https://<subdomain>.onelogin.com/oidc/2/.well-known/openid-configuration
  19. Pegue la URL del emisor en el documento de texto seguro.

  20. Guarde el documento de texto seguro.

  21. En OneLogin, asigne la aplicación a los usuarios o grupos que usarán Passport para iniciar sesión en sus computadoras Mac.

  22. Si está utilizando el inicio de sesión web de Kandji Passport, continúe con la siguiente sección. De lo contrario, si no está utilizando el inicio de sesión web de Kandji Passport, vaya a la aplicación web de Kandji para configurar el elemento de la biblioteca de Passport.

Configurar una aplicación OIDC para el inicio de sesión web de Kandji Passport

Configura la app POST OIDC que usa Passport para permitir que los usuarios ingresen un factor adicional de autenticación cuando inicien sesión en su Mac.

  1. En la consola de administración de OneLogin, vaya a la página Aplicaciones .

  2. En la esquina superior derecha, haz clic en Agregar aplicación.

    NOTA: Si no aparece el botón Agregar aplicación , es posible que anteriormente haya hecho clic en Ver la lista de nuevas aplicaciones. Para que OneLogin muestre el botón Agregar aplicación , quite la cadena /admin2 de la URL. Por ejemplo, en lugar de https://accuhive.onelogin.com/admin2/apps, use https://accuhive.onelogin.com/apps.

  3. En el campo de búsqueda de la esquina superior izquierda, escriba OIDC.

  4. Seleccione OpenID Connect (OIDC).

  5. En el campo Nombre para mostrar, introduzca un nombre descriptivo, como Kandji Passport Web Login.

  6. Haga clic en el interruptor Visible en el portal a la posición Desactivado ; no es necesario que esta aplicación esté visible para que Passport funcione, y puede resultar confuso para un usuario ver esta aplicación en su portal OneLogin. 

  7. Haga clic en Guardar.

  8. En la barra lateral izquierda, haz clic en Configuración.

  9. En el campo URI de redireccionamiento, escriba lo siguiente:

    https://localhost.redirect
  10. En la barra lateral izquierda, haz clic en SSO.

  11. Haga clic en el menú Tipo de aplicación y seleccione Nativo.

  12. En la sección Punto de conexión de token , haga clic en el menú Método de autenticación y seleccione POST. 

  13. Haga clic en Guardar.

  14. Abra un documento de texto seguro que pueda usar para almacenar valores para esta aplicación OIDC. Necesitará el ID de cliente y el secreto de cliente para esta aplicación POST cuando configure el elemento de la biblioteca de Passport. Si ya tiene un documento seguro abierto desde la configuración de la aplicación OIDC anterior, agregue una nota que indique que los nuevos valores son para la aplicación OIDC para el modo de autenticación de inicio de sesión web.

  15. Copie el contenido del campo ID de cliente .

  16. Pegue el ID de cliente en el documento de texto seguro.

  17. Haga clic en Mostrar secreto de cliente.

  18. Copie el secreto de cliente.

  19. Pegue el secreto de cliente en el documento de texto seguro.

  20. Guarde el documento seguro.

  21. En OneLogin, asigne la aplicación a los usuarios o grupos que usarán Passport para iniciar sesión en sus computadoras Mac con el elemento de biblioteca de Passport con el modo de autenticación establecido en Inicio de sesión web.

Configuración de un tipo de cuenta de usuario por grupo de proveedores de identidad en OneLogin

Al configurar si un usuario será un usuario estándar o un usuario administrador, deberá seguir el paso a continuación.

  1. Inicie sesión en su consola OneLogin. Seleccionar usuarios > roles

  2. Seleccione Nuevo rol en la parte superior derecha de la pantalla y asigne un nombre a su rol.  (Querrá asegurarse de que el nombre de su rol coincida con el nombre del grupo IDP que está utilizando en la configuración de Kandji Passport).  En este ejemplo, utilicé usuarios administradores de Passport. Finalmente, seleccione la aplicación Kandji Passport que creó en OneLogin y haga clic en Guardar, en la parte superior derecha de la pantalla.

  3. A continuación, navegue hasta la aplicación Kandji Passport que creó en OneLogin.  Seleccione el enlace de parámetros y haga clic en el campo Grupos.

  4. En la sección "Predeterminado si no se ha seleccionado ningún valor", seleccione Roles de usuario en la lista desplegable y asegúrese de que la opción Entrada delimitada por punto y coma esté seleccionada.  Haga clic en Guardar

  5. Por último, asegúrese de que sus usuarios formen parte del rol que está creando, así como de que sean miembros de la aplicación Kandji Passport en OneLogin.  Para agregar un usuario a un rol, deberá seleccionar Usuarios>Roles>Usuarios administradores de Passport en mi ejemplo, seleccionar el vínculo Usuarios, buscar el usuario, hacer clic en la casilla de verificación azul, hacer clic en el vínculo Agregar a rol y, a continuación, hacer clic en Guardar en la parte superior derecha de la página.

  6. Este es el aspecto que debería tener el elemento de la biblioteca de pasaportes si utiliza el rol, creado anteriormente, para crear usuarios administradores.

Una vez completada la configuración de OneLogin, vaya a la aplicación web Kandji para configurar el elemento de la biblioteca Passport.

Solución de problemas con Passport y OneLogin

Si tiene algún problema con Passport y OneLogin, lea nuestro artículo Solución de problemas de Passport con OneLogin para obtener información adicional.