Documentación del administrador

Administrar un proveedor de identidad

Agregar un proveedor de identidad

Visite el sitio web o la herramienta de proveedor de identidad de su organización y cree una nueva aplicación.
En Brightspace, en Herramientas de administración seleccione Administración de SAML.
Haga clic en Agregar un proveedor de identidad.
En la página Agregar nuevo proveedor de identidad recopile la URL de metadatos de Brightspace haciendo clic en Copiar.

Nota: Generalmente, la URL de metadatos de Brightspace es toda la información que se requiere; sin embargo, si su aplicación necesita el contenido de la URL de metadatos, haga clic en Ver metadatos detallados y recopile el ID de entidad/Emisor, la URL del servicio de consumidor de aserciones (ACS)/URL de respuesta, o Todos los metadatos de Brightspace (metadatos completos en XML).
Agregue esta información a su nueva aplicación en el sitio de su proveedor de identidad.
En Brightspace, establezca el Nombre en pantalla para identificar fácilmente el propósito del proveedor de identidad registrado. Algunos nombres de ejemplo incluyen el Inicio de sesión de estudiantes, el Inicio de sesión del equipo académico o el Inicio de sesión principal, aunque se puede utilizar cualquier nombre.
Haga clic en Importar desde su proveedor de identidad para mostrar la entrada de la URL de metadatos de la aplicación del proveedor de identidad (opcional) y el botón Importar desde la URL.
Si tiene una URL de metadatos de acceso público disponible de su proveedor de identidad, haga clic en Importar desde la URL. Esto llena automáticamente los siguientes campos:
1. ID de entidad/Emisor
2. URL del servicio de inicio de sesión único (redirección HTTP)
3. Certificados de la firma X.509
Si no tiene una URL de metadatos de acceso público disponible de su proveedor de identidad, complete los siguientes campos manualmente con la información de su proveedor de identidad:
1. ID de entidad/Emisor
2. URL del servicio de inicio de sesión único (redirección HTTP)
3. Certificado de la firma X.509
Establezca la opción Asignación de ID de usuario/nombre.

Nota: El campo Asignación de ID de usuario/nombre se utiliza para crear una asociación entre la cuenta de usuario del proveedor de identidad del usuario final y su cuenta de usuario de Brightspace. Las opciones incluyen: Nombre de usuario, ID definida por organización o dirección de correo electrónico. Dependiendo de qué opción se elija, debe establecer el formato apropiado. El nombre de usuario o la ID definida por organización requieren que se utilice el formato NameId de sujeto no especificado. La dirección de correo electrónico requiere que se utilice el formato NameId para direcciones de correo electrónico.
Complete el campo opcional para la URL de redirección de cierre de sesión (opcional). Esta URL se utiliza para redirigir al usuario final cuando cierra sesión en Brightspace. D2L recomienda utilizar la URL de la página de inicio de su organización.
Complete el campo opcional para la URL de redirección al inicio de sesión fallido (opcional). Esta URL se utiliza para redirigir al usuario final cuando falla un intento de inicio de sesión. Esto anula la página de error estándar de inicio de sesión fallido de D2L.
Haga clic en Guardar.

Validar proveedor de identidad

Una vez que se haya registrado un proveedor de identidad, se muestra la página de Registro Completo. Esta página incluye una descripción general del proveedor de identidades que se creó durante los pasos de Agregar proveedor de identidades. Asegúrese de que toda la información sea correcta. Si es necesario, haga clic en Editar configuración para realizar los cambios necesarios.

Pruebe un proveedor de identidad

En la página Registro completo, haga clic en Probar su nuevo proveedor de identidad.
Copie la URL de inicio de sesión e intente cargar la página desde su navegador.
Confirme que inició la sesión bien, en la página correcta.

Si es necesario realizar cambios a un proveedor de identidad registrado existente, en la página de Administración de SAML, haga clic en el nombre del proveedor de identidad que necesita editar. Las tareas de actualización comunes incluyen la actualización de la URL de redirección de cierre de sesión fallido o URL de redirección de cierre de sesión, o la adición manual de un nuevo certificado de firma X.509.

La página Administrar proveedor de identidad muestra una descripción general del proveedor de identidad registrado junto con las opciones para Editar configuración, Agregar nuevo certificado y Eliminar proveedor de identidad.

Seleccionar Editar configuración le permite realizar las siguientes tareas:

Editar el Nombre en pantalla
Editar la URL del servicio de inicio de sesión único (redirección HTTP)
Cambiar la Asignación de ID de usuario/nombre
Agregar, Editar o Quitar la URL de redirección de cierre de sesión
Agregar, Editar o Quitar la URL de redirección de inicio de sesión fallido

Asegúrese de guardar todos los cambios cuando se completen las actualizaciones.

Nota: Si se proporcionó una URL de metadatos de acceso público para registrar inicialmente al proveedor de identidad, no se puede actualizar ni eliminar. Esto es intencional.

Nota: Si se cometió un error al ingresar manualmente el ID de entidad/Emisor, esto no se puede cambiar. El ID de entidad es el identificador único del proveedor de identidad del cliente; por lo tanto, la acción adecuada es eliminar al proveedor de identidad registrado y volver a iniciar el proceso de registro con el ID de entidad correcto.

Seleccionar Agregar Certificado, le permite agregar un nuevo Certificado de Firma X.509. Para cualquier Proveedor de identidad que se registre a mano (que no se complete automáticamente aprovechando una URL de metadatos de acceso público), es necesario renovar de vez en cuando los certificados para mantener la funcionalidad de SSO de SAML. El registro de un nuevo certificado de firma X.509 para un proveedor de identidad ya registrado puede realizarse también desde la página Administrar proveedores de identidad.

Puede agregar un nuevo certificado de firma X.509 si hace clic en Agregar nuevo certificado en la página Administrar proveedor de identidad o si hace clic en el botón Agregar nuevo certificado bajo el subtítulo Administrar certificados.

En la página Agregar nuevo certificado, pegue la información de su certificado en el campo Certificado de firma X.509.
Asegúrese de que las fechas de Valido desde y el resto de la información sean correctas y haga clic en Guardar.

Para cualquier Proveedor de identidad que se registre a mano (que no se complete automáticamente aprovechando una URL de metadatos de acceso público), una práctica recomendada es realizar una limpieza periódica de los certificados expirados.

Nota: Si el proveedor de identidades se registró mediante una URL de metadatos de acceso público, los certificados expirados se eliminan mediante la tarea recurrente nocturna.

En la página Administrar proveedor de identidad, haga clic en el certificado para acceder a la página Ver certificado.
Haga clic en Eliminar certificado y confirme la eliminación haciendo clic en Continuar.

Si su organización cambia de un proveedor de identidad a otro (por ejemplo, de ADFS a Azure) o si registró incorrectamente al proveedor de identidad (por ejemplo, un ID de entidad incorrecto) durante el registro inicial, es posible que sea necesario eliminar al proveedor de identidad existente.

En la página Administrar proveedor de identidades, haga clic en Eliminar proveedor de identidades.
Cuando aparezca una confirmación, haga clic en Eliminar para completar la eliminación del proveedor de identidad y de los certificados de firma X.509 registrados asociados a este.

Nota: Una vez eliminado un proveedor de identidad, ya no se puede restaurar.

Solución de problemas

En la parte inferior de la página de Registro completo se encuentra el área de Errores Comunes de Resolución de Problemas, que contiene los requisitos detallados necesarios para que el SSO funcione sobre la base de la Asignación de Identificación de Usuario/Nombre seleccionada.

Si surgen problemas cuando se prueba un proveedor de identidades registrado, en la página principal de Administración de SAML se encuentra la tarjeta Solución de problemas mediante la activación del registro de SAML. Si hace clic en Activar registros, capturará los mensajes de registro de depuración, información y advertencia adicionales relacionados con el SSO de SAML y podrá verlos en el registro del sistema.

La cantidad de tiempo especificada de forma predeterminada es de 24 horas, pero esto se puede anular o desactivar.