Hemos llegado al final de esta serie de tres artículos dedicados a la autenticación. Para concluir, veremos cómo configurar los diversos servicios de autenticación disponibles en Nudgis.

Tabla de contenido

1/ LOCAL

1A/ SUSCRIPCIÓN

1B/ RECOPILACIÓN DE CORREO ELECTRÓNICO

2/ LTI

3/ CAS

4/ SAML

5/ LDAP

6/ OPENID CONNECT Y AUTENTICACIÓN SOCIAL

Local

La autenticación local es la autenticación predeterminada para Nudgis. Si la página de conexión se redirige a un servicio externo, la conexión local sigue estando disponible en https://my.nudgis.url/login-local/.

El primer parámetro en la página se utiliza para forzar el uso de una contraseña segura:

- Mínimo 12 caracteres.
- Se utilizan al menos tres tipos diferentes de caracteres, incluyendo letras minúsculas, letras mayúsculas, números y caracteres especiales.
- Sin contraseñas de uso común (como "qwerty").
- Sin similitud con ninguno de los atributos del usuario (más del 30% de los caracteres deben ser diferentes del nombre de usuario, nombre, apellido y dirección de correo electrónico).

Las cuentas locales pueden ser creadas manualmente por un administrador, pero también es posible autorizar a los usuarios a crear sus cuentas de forma autónoma mediante suscripción.

Suscripción

Active la opción "Permitir suscripción" para permitir que los usuarios se registren en el sitio. Si desea añadir un paso de validación por parte de un administrador, marque la opción de validación de cuenta. Puede especificar dominios de direcciones de correo electrónico que no requieren validación en el siguiente campo. La lista de correo electrónico para la creación de cuentas locales se utiliza para enviar una notificación por correo electrónico a las direcciones introducidas cuando un usuario crea una cuenta a través del formulario de suscripción.

LTI

La configuración y el uso de LTI se cubren en una sección dedicada, que le invitamos a consultar para obtener más información sobre el tema.

CAS

Requisitos previos: El servidor Nudgis y el servidor de autenticación CAS deben poder comunicarse a través del puerto HTTPS/443, el dominio del servidor de autenticación debe ser válido desde el punto de vista del servidor Nudgis, y el servidor de autenticación debe ser accesible por los usuarios (dominio válido y puerto abierto).

Para configurar el servicio CAS, comience por habilitarlo y elija el nombre que se mostrará en la página de autenticación.

Introduzca la URL del servidor de autenticación en el siguiente campo y seleccione la versión.

La opción de verificación del certificado SSL debe deshabilitarse si su servidor de autenticación CAS utiliza un certificado autofirmado.

La opción de desconexión completa le permite desconectarse del servidor CAS cuando se desconecta de Nudgis.

Si desea utilizar el servicio como autenticación predeterminada, los usuarios serán redirigidos a su CAS haciendo clic en el botón "Conectar" (la página de autenticación clásica sigue siendo accesible con el sufijo /login-local/).

Finalmente, el último parámetro le permite autorizar la apertura de su página de autenticación del servidor CAS en iframes.

SAML

El siguiente servicio de autenticación es SAML.

Requisitos previos: En la nomenclatura SAML, Nudgis es un "Proveedor de servicios (SP)" y el servidor de autenticación es un "Proveedor de identidad (IdP)". El SP y el IdP deben ser accesibles en HTTPS por los usuarios y entre sí. Los metadatos en cada servidor deben ser legibles por el otro servidor.

Para configurar el servicio, comience por habilitarlo. También puede activar una opción de depuración que mostrará detalles de las solicitudes en los archivos de registro.

Puede cambiar el nombre del servicio de autenticación, que será el nombre que se mostrará en la página de inicio de sesión.

Si su IdP requiere acceso a los metadatos de Nudgis, marque la opción para permitir esto. Para la configuración del lado de Nudgis, puede usar un archivo de metadatos o una URL. El uso de un archivo mejora el rendimiento, pero debe reemplazarse si cambia en el IdP.

Los siguientes parámetros se refieren a casos en los que hay varios IdP presentes en el archivo de metadatos, así como parámetros específicos para ciertos proveedores.

A continuación, vienen los parámetros para los atributos y el mapeo de campos entre el IdP y Nudgis:

Finalmente, los últimos parámetros le permiten definir el servicio como autenticación predeterminada (lo que resulta en una redirección al acceder a la página de inicio de sesión), y ajustar varias opciones de seguridad.

Tenga en cuenta que si el servicio LDAP está activado simultáneamente con SAML, LDAP se utilizará para recuperar los atributos del usuario y SAML para la autenticación.

LDAP

El siguiente servicio disponible en Nudgis es el LDAP servicio.

Requisitos previos: El servidor LDAP debe ser accesible a través de los frontends de Nudgis, el dominio debe ser válido y el puerto debe estar abierto (es posible utilizar una IP en lugar de un dominio para el servidor LDAP). Los puertos LDAP predeterminados son 389 para LDAP y 636 para LDAPS.

Este primer marco muestra un resumen de la configuración del servicio. También hay una herramienta para probar la autenticación detrás del botón "Probar configuraciones", que también muestra los atributos devueltos por el servidor LDAP.

Ahora veamos cómo configurar el servicio. Comience por activar el servicio, luego especifique la URL del servidor (Nudgis admite LDAP y LDAPS). Active la inicialización TLS si desea cifrar las solicitudes al servidor. También puede elegir si desea verificar la validez del certificado si habilita TLS, o proporcionar un certificado en formato CRT si el certificado no está firmado por una autoridad reconocida.

El siguiente parámetro habilita o deshabilita SASL.

El tiempo máximo de espera y el número de elementos por página se pueden usar para gestionar problemas de rendimiento.

Finalmente, especifique un nombre de usuario (en formato DN) y una contraseña, que se utilizarán para realizar solicitudes de búsqueda en el servidor LDAP.

A continuación, vienen los parámetros relacionados con los atributos y la correspondencia que se establecerá entre los atributos devueltos y los campos del usuario en Nudgis.

El último parámetro anterior permite búsquedas LDAP en la API de Nudgis. Esto es particularmente relevante si desea que los usuarios puedan buscar y agregar cuentas desde las páginas de permisos de canal y medios.

A continuación, puede configurar los parámetros y filtros para la búsqueda LDAP. No entraremos en detalles aquí, ya que las sugerencias ya proporcionan amplia información y valores de ejemplo. No dude en consultarlos si no está seguro.

Finalmente, el último bloque de la página se utiliza para configurar la sincronización diaria. Esto tiene lugar por la noche y permite importar automáticamente a los usuarios, y posiblemente a sus grupos. Si lo desea, los grupos y usuarios que ya no existan en el directorio LDAP se eliminarán automáticamente.

También puede crear canales para grupos importados mediante sincronización. Los usuarios de los grupos tendrán derechos de acceso al canal correspondiente.

OpenID Connect y autenticación social

Los servicios de autenticación restantes se basan en Oauth2.

Requisitos previos: Los servidores de Nudgis y de autenticación deben ser accesibles a través de HTTPS (puerto 443). Los servidores deben poder comunicarse entre sí (dominio válido y puerto abierto).

Comencemos viendo cómo configurar OpenID Connect.

Aquí también tendrá la opción de habilitar o deshabilitar el servicio, cambiar el nombre del servicio que se mostrará en la página de inicio de sesión, o configurarlo como la autenticación predeterminada para automatizar la redirección al acceder a la página de inicio de sesión.

Proporcione la URL, la clave y el secreto. Por defecto, OpenID Connect comprueba la presencia de una clave "preferred_username", pero puede anular esta clave en el campo "Clave de nombre de usuario".

Los campos de aplicación predeterminados son "openid", "profile" y "email"; puede ignorarlos marcando la última casilla de la página y añadir campos adicionales en "Scopes" (los valores deben estar separados por comas).

Finalmente, los servicios de autenticación social (autenticación basada en cuentas de redes sociales) requieren cada uno una clave (o ID) y un secreto. También encontrará un enlace de redirección que puede ser requerido por la aplicación de terceros, como es el caso de Google. Finalmente, si es necesario, puede crear un grupo de autenticación especial para sus usuarios con la última casilla de verificación. Por defecto, los únicos grupos de autenticación existentes son Autenticado y No autenticado.

Para obtenerlos, por favor consulte la documentación de los servicios correspondientes:

• Facebook : https://developers.facebook.com/
• Google : https://developers.google.com/identity/oauth2/web/guides/get-google-api-clientid?hl=fr
• Twitter : https://developer.x.com/en/docs/apps/overview
• Microsoft Azure AD : https://learn.microsoft.com/fr-fr/entra/identity-platform/quickstart-register-app#add-credentials

¡Los usuarios, grupos y servicios de autenticación ya no tienen secretos para usted! Una vez que haya configurado los servicios de su elección, sus usuarios podrán conectarse a Nudgis fácilmente.

Para continuar: "Cómo navegar en Nudgis"