Cómo configurar el SSO con ADFS

La función de inicio de sesión único (SSO) de Dashlane permite que sus usuarios ingresen en Dashlane con las credenciales del SSO y no con una contraseña maestra. En este artículo, le mostraremos cómo configurar el SSO con una infraestructura de ADFS en el lugar o en la nube. 

Antes de empezar, asegúrese de haber hecho lo siguiente:

1. Consultó la página de la descripción general del SSO.
2. Se ha suscripto a un plan Dashlane Business. Dashlane Team no permite habilitar el SSO. Si quiere actualizar, comuníquese con la asistencia técnica de Dashlane.
3. Tiene acceso a los metadatos y a la consola de los proveedores de identidad del SSO (si corresponde).

Tutorial en video paso a paso

Descripción general del inicio de sesión único (SSO)

Hoy, Dashlane usa la contraseña maestra como una de las claves para encriptar o desencriptar los datos de los usuarios. Ahora, con el SSO, los usuarios pueden ingresar en la caja fuerte de Dashlane con sus credenciales del SSO, en lugar de usar una contraseña maestra. Junto con el conector del SSO de Dashlane, los usuarios pueden ingresar con sus credenciales del SSO, mientras Dashlane conserva su arquitectura de seguridad de conocimiento cero.

Cuando un usuario intenta ingresar con el SSO, se lo redirecciona al Conector del SSO, que se federa al proveedor de identidad.

Una vez que el usuario ingresa correctamente, el conector del SSO envía una clave única al cliente, que luego desencripta los datos del usuario.

El conector del SSO administra todas las claves de los usuarios. Para mantener nuestra arquitectura de seguridad de conocimiento cero patentada, el conector del SSO debe alojarse en un entorno controlado por su organización. El conector del SSO funciona en Docker y puede alojarse en cualquier entorno en el que Docker esté presente.

Requisitos del sistema

Requisitos específicos de Dashlane

• Dashlane Business (Dashlane Team no admite el SSO)
• Versión mínima de la aplicación de Dashlane:
  • Web: v6.2030.3
  • iOS: v6.2029.0
  • Android: v6.2030.1

Habilitar SSO

Paso 1: Verificar su dominio

Deberá verificar el dominio que tiene su organización. Una vez que habilite el SSO, todos los usuarios que usan el dominio de su organización deberán utilizar el SSO para ingresar.

1. Ingrese en la Consola de administración de Dashlane, vaya a la ficha Opciones y haga clic en Inicio de sesión único.

   

2. En el campo Verificar el dominio de correo electrónico de su compañía, escriba el nombre de dominio de su compañía y haga clic en Agregar.
   • Si tiene varios dominios de correo electrónico configurados para su proveedor del SSO, agregue y verifique todos los dominios adicionales.
3. Copie los valores Nombre de host y TXT y añádalos a un nuevo registro de DNS en TXT para su dominio. Una vez agregados, haga clic en Verificar dominio. Tenga en cuenta que la verificación del dominio puede tardar hasta 24 horas.
4. Verifique todos los dominios de correo electrónico que emplearán sus usuarios para ingresar con el SSO. Si tiene más de 5 dominios, comuníquese con la asistencia técnica de Dashlane.

Paso 2: Configurar el conector del SSO

1. Vuelva a la sección SSO de SAML de la ficha Opciones en la Consola de administración.
2. Copie y pegue los metadatos de SAML de ADFS en el campo Escribir los metadatos del proveedor de identidad aquí. Si necesita ayuda para encontrar los metadatos, vaya a su URL de metadatos de ADFS, en la que ADFSName.Domain.com es la URL de su servidor o granja de ADFS.

   https://ADFSName.Domain.com/FederationMetadata/2007-06/FederationMetadata.xml

   También puede usar la herramienta de Microsoft para descargar su Documento de metadatos de federación.

   

3. Hay tres formas de implementar el conector de encriptación del SSO y, según la forma que elija, cambiará sus URL de identificación de entidad y de ACS. La estructura de la URL será como la que aparece a continuación, en la que "micompañía" se reemplaza con el nombre de su compañía. Si su compañía se llama "acmeco", el conector del SSO en Azure sería https://acmecosso.azurewebsites.net.
   

   Host del servicio de encriptación del SSO	Punto de conexión del conector del SSO
   Azure (recomendado)	https://ssodemiempresa.azurewebsites.net
   AWS	https://ssodemiempresa.miempresa.com
   Linux VM (avanzado)	https://ssodemiempresa.miempresa.com

4. Introduzca el punto de conexión del conector del SSO en el portal de administradores de Dashlane.

   

5. Haga clic en Generar clave del conector del SSO. Esto generará una clave que se usará para encriptar todos los datos de su compañía. Copie la clave generada y guárdela en un lugar seguro, como en una nota segura de Dashlane. También recomendamos compartirla con otros administradores. No podrá volver a ver esta clave.

   

6. Haga clic en Descargar archivo de configuración.

   

Complete la configuración del conector del SSO

El servicio de encriptación del conector del SSO debe completarse antes de proseguir. Obtenga más información sobre el servicio de encriptación del SSO y, luego, consulte el siguiente artículo para su plataforma de preferencia.

• Azure (recomendado)
• AWS
• VM de Linux

Paso 3: Configurar el ADFS

1. Para configurar ADFS, necesitará los metadatos de SAML del servicio del conector del SSO. Para eso, vaya a https://<SSO Connector Endpoint>/saml/ desde el servidor de ADFS o desde un dispositivo que pueda comunicarse con el Conector del SSO. Esto descargará una copia local de los metadatos de SAML.
2. Transfiera el archivo de metadatos de SAML al servidor de ADFS.
3. Abra la consola de administración de ADFS y haga clic en Agregar usuario de confianza.

   

4. En el menú, seleccione Compatible con notificaciones y haga clic en Comenzar.
5. Seleccione Importar datos sobre un usuario de confianza desde un archivo y haga clic en Examinar para seleccionar su archivo XML de metadatos del conector de SSO que guardó en el Paso 2. Una vez seleccionado, haga clic en Siguiente.

   

6. Escriba "Conector del SSO de Dashlane" como nombre para mostrar y, luego, haga clic en Siguiente.

   

7. Seleccione su política de control de acceso y haga clic en Siguiente. Esto variará de acuerdo con las políticas de seguridad de su compañía. Para este ejemplo, permitiremos a todos los usuarios.

   

8. Revise el usuario de confianza que configuró, haga clic en Siguiente y, luego, en Cerrar. Se creará el nuevo usuario de confianza.
9. Permita que el conector del SSO de Dashlane pueda recuperar la dirección de correo electrónico del usuario desde ADFS. Seleccione el nuevo usuario de confianza creado (si no lo ve, haga clic en Usuarios de confianza, en la barra de la izquierda). Luego, haga clic en Editar directiva de emisión de notificaciones.

   

10. Haga clic en Agregar regla, que se encuentra en la esquina inferior izquierda de la ventana.

    

11. En el menú desplegable Plantilla de regla de notificación, seleccione Transformar una notificación entrante y haga clic en Siguiente.

    

12. Configure el campo Nombre de regla de notificación en "Enviar correo electrónico como ID de nombre".
    • Establezca Tipo de notificación entrante en "UPN".
    • En Tipo de notificación saliente, seleccione "ID de nombre".
    • Configure Formato de ID de nombre saliente en "Correo electrónico".
    • Haga clic en Finalizar.

    

Paso 4: Probar y habilitar el SSO

Puede hacer una prueba rápida para asegurarse de que el Conector del SSO y ADFS se hayan configurado de manera correcta.

1. Vaya a la consola de administración de Dashlane y haga clic en Probar conexión del SSO.

   

2. Ingrese con una cuenta de usuario registrada en ADFS para probar la cuenta. Debe ver el mensaje Correcto. Si no ve el mensaje, comuníquese con la asistencia técnica de Dashlane.
3. Haga clic en Habilitar el SSO.

Ha habilitado el SSO para todos sus usuarios. Recuerde que los administradores dentro de Dashlane no se verán afectados y continuarán ingresando con sus contraseñas maestras. Todos los otros usuarios estarán obligados a emplear el SSO.