El inicio de sesión único (SSO) permite a los alumnos iniciar sesión en un único sistema, como el directorio de una empresa, y acceder a varias aplicaciones sin tener que iniciar sesión en cada una de ellas con credenciales distintas. Cuando el SSO esté habilitado para su organización en Reach 360, administrará a los alumnos y, posiblemente, a los grupos de forma un poco diferente. Los propietarios de cuentas de Reach 360 pueden habilitar el SSO desde la interfaz integrada en la aplicación.

Reach 360 utiliza el lenguaje de marcado de aserciones de seguridad (SAML) para autenticar a los alumnos y es compatible con el Sistema de gestión de identidades entre dominios (SCIM) para automatizar el aprovisionamiento de alumnos. Puedes usar SAML solo o con el SCIM para aumentar la automatización.

Nota: Aún puede agregar alumnos a Reach 360 siguiendo los pasos que se indican aquí. Tenga en cuenta que su proveedor de identidad (IdP) no administra a los alumnos agregados en Reach 360.

Así es como el SSO puede afectar a lo que haces en la pestaña Personas.

• Gestión de los alumnos autenticados con SAML
• Administrar grupos con SAML
• Gestión de grupos y alumnos aprovisionados con SCIM
• Glosario

Gestión de los alumnos autenticados con SAML

Si tu organización usa SAML, los alumnos gestionados por tu IdP no se mostrarán en la pestaña Personas hasta que inicien sesión en el SSO por primera vez. No podrás modificar sus nombres ni cambiar ni restablecer sus contraseñas en Reach 360. Estos alumnos tendrán un icono de identificación en su entrada.

Los atributos necesarios para crear un alumno en Reach 360 son:

• firstName= nombre
• lastName= apellido
• email= dirección de correo electrónico
• subjectNameIdo Unique Learner Identifier = cualquier identificador único de su IdP

También puedes enviar atributos opcionales:

• avatar= reemplaza la foto de perfil definida por el alumno (debe pasarse como URL)
• groups= una lista de los grupos a los que está asignado el alumno en el IdP y que desea sincronizar con Reach 360.

Para eliminar a un alumno, primero debes eliminarlo de tu IdP. Una vez que se haya eliminado allí, puedes eliminar su registro de la pestaña Alumnos.

Administrar grupos con SAML

Las modificaciones de membresía de grupo realizadas en su IdP no se procesan hasta que el alumno cierra sesión y, a continuación, vuelve a iniciar sesión en Reach 360.

En Reach 360 con el SSO activado, los nombres de los grupos deben coincidir con el atributo IdP o se crearán nuevos grupos. Cambie el nombre del grupo tanto en el IdP como en Reach 360 para evitar cambios accidentales en la membresía del grupo y problemas de inscripción de contenido cuando los alumnos vuelvan a iniciar sesión en Reach 360.

Para eliminar un grupo que esté vinculado a un inicio de sesión único, primero debes eliminar la tarea grupal de la solicitud. groups Cuando ya no se envíe a los alumnos, puedes eliminar el grupo de la pestaña Grupos de Reach 360. Si no actualizas la configuración del SSO, el grupo se reactivará la próxima vez que un alumno con esa tarea en tu IdP inicie sesión con el SSO.

Gestión de grupos y alumnos aprovisionados con SCIM

Si su organización usa SCIM además de SAML, verá a los alumnos en la pestaña Personas después de agregarlos a su IdP, incluso si aún no han iniciado sesión en Reach 360. Al igual que con SAML, no podrás modificar sus nombres ni cambiar ni restablecer sus contraseñas en Reach 360. Estos alumnos tendrán un icono de identificación en su entrada.

Los alumnos aprovisionados por SCIM solo se pueden eliminar a través de tu IdP, no en Reach 360. Los alumnos que se hayan agregado a Reach 360 sin aprovisionamiento se pueden eliminar como de costumbre.

Cuando su organización usa SCIM, también puede tener grupos administrados por IdP. La adición y eliminación de miembros de estos grupos debe hacerse en su IdP, y no puede agregarles alumnos que no estén gestionados por IDP en Reach 360.

Los atributos necesarios para crear un alumno en Reach 360 a través de SCIM son:

• name.givenName= nombre
• name.familyName= apellido
• userName= dirección de correo electrónico

También puedes enviar atributos opcionales:

• avatar= reemplaza cualquier foto de perfil cargada por el alumno (debe pasarse como una URL y debe enviarse como un atributo que forma parte de laurn:scim:schemas:extension:metadata:2.0:User schema)
• externalId= cualquier ID único de su IdP

Nota: El intervalo de comunicación con Reach 360 depende de su IdP. Una vez que nuestro servidor SCIM reciba los datos, estarán disponibles en Reach 360 de forma inmediata.

Glosario

Active Directory (AD)

Active Directory (AD) es un producto de Microsoft para administrar los alumnos, los permisos y el acceso a los recursos de la red. Muchas organizaciones utilizan AD para administrar sus equipos. Nuestra solución SSO es compatible con AD, ya que ambas admiten la comunicación SAML.

Afirmación

Una afirmación son datos enviados por un proveedor de identidad (IdP) que proporciona una o más de las siguientes declaraciones a un proveedor de servicios (SP).

• Las declaraciones de autenticación declaran que un alumno se autenticó correctamente y registran la hora en que lo hizo.
• Las declaraciones de atributos proporcionan detalles sobre el alumno. Por ejemplo, el atributo nameID proporciona el nombre de usuario y es necesario para la autenticación. Otros atributos también se pueden configurar manualmente.
• Las declaraciones de decisión de autorización conceden o deniegan al alumno el acceso a un recurso.

URL del servicio de atención al consumidor de Assertion (acsURL)

Una URL de Assertion Consumer Service (acsURL) es una ubicación o recurso HTTPS en un proveedor de servicios (SP), como Reach 360, que acepta mensajes SAML de un proveedor de identidad (IdP).

ID de entidad

El ID de entidad es una cadena única de letras y números, normalmente en forma de URL, que identifica al proveedor de servicios (SP). El ID de entidad también se denomina URI de audiencia y, a menudo, es la misma URL que la URL de Assertion Consumer Service (acsURL).

Identificador único global (GUID)

Un identificador único global (GUID) es una cadena de letras, números y guiones que identifica a una entidad. En el contexto del SSO de Reach 360, el GUID hace referencia a su ID de suscripción a Reach 360.

Administración de identidad y acceso (IAM)

Gartner tiene una excelente definición de la gestión de identidad y acceso (IAM):

La gestión de identidad y acceso (IAM) es la disciplina de seguridad que permite a las personas adecuadas acceder a los recursos correctos en el momento adecuado y por los motivos correctos.

La IAM responde a la necesidad fundamental de garantizar un acceso adecuado a los recursos en entornos tecnológicos cada vez más heterogéneos y de cumplir con unos requisitos de conformidad cada vez más rigurosos. Esta práctica de seguridad es una tarea crucial para cualquier empresa. Está cada vez más alineada con los negocios y requiere habilidades empresariales, no solo conocimientos técnicos.

Las empresas que desarrollan capacidades de IAM consolidadas pueden reducir sus costes de gestión de identidades y, lo que es más importante, ser considerablemente más ágiles a la hora de respaldar nuevas iniciativas empresariales.

Proveedor de identidad (IdP)

Un proveedor de identidad (IdP) es un servicio que almacena y administra un directorio de cuentas de alumnos o identidades digitales. Las organizaciones utilizan los desplazados internos para administrar a sus alumnos y conceder acceso a los recursos de la red. Algunos ejemplos de IdP son Okta, Azure y Ping.

En el contexto del SSO, un IdP responde a las solicitudes de autenticación de un proveedor de servicios (SP), como Reach 360, para iniciar la sesión de los alumnos en un servicio, como su cuenta de Reach 360.

Aprovisionamiento justo a tiempo (JIT)

El aprovisionamiento justo a tiempo (JIT) crea automáticamente cuentas de usuario en una solución de SSO la primera vez que un usuario se autentica con su proveedor de identidad (IdP).

Protocolo ligero de acceso a directorios (LDAP)

Okta resume muy bien el Protocolo ligero de acceso a directorios (LDAP):

El Protocolo ligero de acceso a directorios (LDAP) es un protocolo de Internet que los programas empresariales, como el correo electrónico, el CRM y el software de recursos humanos, utilizan para autenticar el acceso y buscar información en un servidor.

La solución Reach 360 SSO utiliza la integración de SAML en lugar de LDAP.

Metadatos

Los metadatos son información proporcionada por un proveedor de identidad (IdP) a un proveedor de servicios (SP), o viceversa, en formato XML.

• Los metadatos del SP proporcionan la URL del Assertion Consumer Service (acsURL), la restricción de audiencia, el formato NameID y los certificados x.509 (que el IdP utiliza para verificar las firmas del SP y cifrar las solicitudes de SAML al SP desde el IdP, si es necesario).
• Los metadatos del IdP proporcionan la URL del SSO, el ID de entidad y los certificados x.509 requeridos por el SP para verificar la firma de la afirmación del IdP y, si se requiere el cifrado de las solicitudes de SAML, cifrar los mensajes del SP al IdP.

Autenticación multifactor (MFA)

La autenticación multifactor (MFA), también llamada autenticación de dos factores (2FA), requiere que los alumnos pasen un segundo nivel de seguridad al iniciar sesión en una aplicación o sistema. Una forma común de MFA pide a los alumnos que introduzcan un código de verificación, que obtienen por mensaje de texto o mediante una aplicación de autenticación.

La MFA no es compatible con Reach 360. Le recomendamos que habilite la MFA a través de su IdP para obtener un nivel de seguridad adicional.

OAuth

OAuth, o autorización abierta, es un estándar que permite a los alumnos acceder a aplicaciones de terceros sin exponer sus contraseñas. La solución Reach 360 SSO no incluye OAuth.

OpenAM

OpenAM es un sistema de gestión de acceso de código abierto utilizado por algunas organizaciones para proporcionar el servicio de SSO a sus alumnos. El servicio Reach 360 SSO es compatible con OpenAM, ya que ambos admiten la comunicación SAML.

Lenguaje de marcado de aserciones de seguridad (SAML)

El lenguaje de marcado de aserciones de seguridad (SAML) es un estándar abierto basado en XML para el intercambio de datos de autenticación entre un proveedor de identidad (IdP) y un proveedor de servicios (SP), como Reach 360.

Nuestra solución SSO utiliza SAML 2.0 para autenticar a los alumnos en Reach 360 en función de las identidades de su empresa, de modo que los alumnos no tengan que administrar un conjunto de credenciales independiente para Reach 360.

Inicio de sesión único (SSO)

El inicio de sesión único (SSO) permite a los alumnos iniciar sesión en un único sistema, como el directorio de una empresa, y acceder a varias aplicaciones sin necesidad de iniciar sesión en cada una de ellas con credenciales distintas. El SSO aumenta la productividad y permite a las organizaciones hacer cumplir sus propios requisitos de seguridad de contraseñas.

Proveedor de servicios (SP)

Un proveedor de servicios (SP) es una empresa que ofrece un servicio, como el alojamiento de contenido. Un SP se comunica con un proveedor de identidad (IdP) para que los alumnos inicien sesión en el servicio. Reach 360 es el SP en este contexto.

Sistema de gestión de identidad entre dominios (SCIM)

El SCIM es un estándar abierto para la automatización del aprovisionamiento y desaprovisionamiento de alumnos. Por ejemplo, una empresa podría usar SCIM para agregar automáticamente a sus alumnos a un servicio de suscripción en la nube y sincronizar los perfiles de su empresa con el servicio en la nube.