IDP externo (explicación)
IDP es un acrónimo para Identity Provider. Un IDP externo es una aplicación y un servicio externo donde puede almacenar y gestionar la información de la identidad del usuario y proporcionar servicios de autenticación de usuarios a otros sistemas. Puede asociar un IDP externo con el VMS de XProtect.
XProtect admite IDP externos compatibles con OpenID Connect (OIDC).
Autenticación del usuario
Con un IDP externo configurado, los clientes XProtect admiten el uso de IDP externos como opción de autenticación adicional.
Cuando la dirección del ordenador en la pantalla de inicio de sesión del cliente apunte a un VMS XProtect con un IDP externo configurado, se activará una llamada a la API y la opción de autenticación para el IDP externo estará disponible en la pantalla de inicio de sesión. La llamada a la API se activará al iniciarse el cliente y siempre que se cambie la dirección.
La API en particular que consulta el cliente es una API pública que no requiere ninguna autenticación de usuario, por lo que esta información siempre puede ser leída por el cliente.
Reclamaciones
Una reclamación es una declaración que una entidad, como un usuario o una aplicación, hace sobre sí misma.
La reclamación consiste en un nombre de reclamación y un valor de reclamación. Por ejemplo, el nombre de la reclamación podría ser un nombre estándar que describa el contenido del valor de la reclamación, y el valor de la reclamación podría ser el nombre de un grupo. Vea más ejemplos de reclamaciones de un IDP externo: Ejemplo de reclamaciones de un IDP externo.
Las reclamaciones no son obligatorias. No obstante, son necesarias para vincular automáticamente usuarios IDP externos a cometidos en el VMS XProtect con el fin de determinar los permisos de los usuarios. Las reclamaciones se incluyen en el token de identificación de los usuarios desde el IDP externo y a través de la asociación con cometidos determinan los permisos del usuario en XProtect.
Si no se proporcionan reclamaciones relacionadas con los cometidos del VMS XProtect para los usuarios IDP externos, estos últimos podrán crearse en el VMS XProtect cuando se conecten por primera vez. En tal caso, los usuarios IDP externos no están vinculados a ningún cometido. A continuación, el administrador del VMS XProtect deberá añadir manualmente los usuarios a los cometidos.
Requisitos previos para IDP externos
Los siguientes pasos deben completarse en el IDP externo antes de que se configure en el VMS.
-
El ID de cliente y el ID secreto para su uso con el VMS XProtect deberán haberse creado en el IDP externo. Si desea más información, consulte Nombres de usuario únicos para usuarios de IDP externos .
-
La autoridad de autenticación para el IDP externo debe conocerse. Para obtener más información, consulte la información sobre la autoridad de autenticación para el IDP externo en el cuadro de diálogo Opciones .
-
Los URI de redirección al VMS XProtect deberán haberse configurado en el IDP. Si desea más información, consulte Añadir URI de redireccionamiento para los clientes web.
-
Opcionalmente, las reclamaciones relacionadas con el VMS deberán haber sido configuradas para los usuarios o grupos en el IDP.
-
El VMS XProtect debe estar totalmente configurado con certificados para garantizar que toda la comunicación se realiza a través de https. cifrado; en caso contrario, la mayoría de los IDP externos no aceptarán las solicitudes del VMS XProtect y sus clientes, o una parte del flujo de comunicación y el intercambio de tokens de seguridad fallará.
-
El VMS de XProtect y todos los ordenadores de clientes o teléfonos inteligentes que tengan que utilizar el IDP externo deberán poder ponerse en contacto con la dirección de inicio de sesión de los IDP externos.
Habilitar a los usuarios para iniciar sesión en el VMS de XProtect desde un IDP externo
-
Desde el IDP externo, cree los usuarios y las reclamaciones para identificar a los usuarios como usuarios del IDP externo en el VMS XProtect. La creación de reclamaciones no es un paso obligatorio, pero así permite vincular automáticamente los usuarios a las cometidos. Si desea más información, consulte Reclamaciones.
-
Desde el VMS XProtect, cree una configuración que habilite al Identity Provider, integrado en el VMS, a contactar con el IDP externo. Para obtener más información sobre cómo crear una configuración para un IDP externo, consulte Añadir y configurar un IDP externo.
-
Desde el VMS de XProtect, establezca la autenticación de los usuarios asignando las reclamaciones de los usuarios desde el IDP externo a los cometidos de XProtect. Para obtener más información sobre cómo asignar reclamaciones a los cometidos, consulte Asignar reclamaciones desde un IDP externo a cometidos en XProtect.
-
Inicie sesión en un cliente XProtect utilizando un IDP externo para la autenticación de usuarios; consulte Inicio de sesión a través de un IDP externo:.
Redirigir URI
Redirigir URI especifica la página a la que se envía al usuario tras una autenticación exitosa. En su IDP externo, debe añadir la dirección del servidor de gestión y a continuación la ruta de devolución de llamada que definió en XProtect Management Client. Por ejemplo, https://management-server-computer.company.com/idp/signin-oidc
Dependiendo de cómo se acceda al VMS XProtect y de cómo estén configurados la red, los servidores y Microsoft Active Directory, pueden ser necesarias varias URI de redirección; puede ver algunos ejemplos a continuación:
Ejemplos
Servidor de gestión con o sin el dominio en la URL:
-
“https://[server_name]/idp/signin-oidc”
-
“https://[server_name].[domain_name]/idp/signin-oidc”
Servidor móvil con o sin el dominio en la URL:
-
“https://[server_name]:[mobile_port]/idp/signin-oidc”
-
“https://[server_name].[domain_name]:[mobile_port]/idp/signin-oidc”
Si el servidor móvil está configurado para que se pueda acceder a él a través de Internet, también debe añadir la dirección pública y los puertos.
Nombres de usuario únicos para usuarios de IDP externos
Los nombres de usuario se crean automáticamente para los usuarios que inician sesión en Milestone XProtect a través de un IDP externo.
El IDP externo proporciona un conjunto de reclamaciones para crear automáticamente un nombre para el usuario en XProtect, y en XProtect un algoritmo se utiliza para elegir un nombre del IDP externo que es único en la base de datos VMS.
Ejemplo de reclamaciones de un IDP externo
Las reclamaciones consisten en un nombre de reclamación y un valor de reclamación. Por ejemplo:
Nombre de la reclamación | Valor de la reclamación |
|---|---|
| nombre | Raz Van |
| correo electrónico | 123@dominio.com |
| amr | pwd |
| idp | 00o2ghkgazGgi9BIE5d7 |
| preferred_username | 321@dominio.com |
| vmsRole | Operador |
| locale | es-ES |
| given_name | Raz |
| family_name | Lindberg |
| zoneinfo | America/Los_Angeles |
| email_verified | Verdadero |
Utilizar el número de secuencia de la demanda para crear nombres de usuario en XProtect
En XProtect, la prioridad de búsqueda para cuando se crea un usuario en el VMS de XProtect está controlada por el número de secuencia de las reclamaciones en la tabla siguiente. Se utilizará el primer nombre de reclamación disponible en el VMS de XProtect:
Nombre de la reclamación | Número de secuencia | Descripción |
|---|---|---|
| UserNameClaimType | 1 | Asignación configurada con una reclamación para definir el nombre del usuario. La reclamación se define en el campo Reclamación para utilizar para crear el nombre de usuario en la pestaña IDP externo en Herramientas > Opciones. |
| preferred_username | 2 | Reclamación que puede provenir del IDP externo. Una reclamación estándar que normalmente se utiliza para esto en Oidc (OpenID Connect). |
| nombre | 3 | |
| given_name family_name | 4 | Nombre y apellido en una combinación como Bob Johnson. |
| correo electrónico | 5 | |
| Primera reclamación disponible + #(primer número disponible) | 6 | Por ejemplo, Bob#1 |
Definir reclamaciones específicas para crear nombres de usuario en XProtect
Los administradores de XProtect pueden definir una reclamación específica desde el IDP externo que se debe utilizar para crear un nombre de usuario en el VMS de XProtect. Cuando un administrador define una reclamación para utilizarla para la creación del nombre de usuario en el VMS de XProtect, el nombre de la reclamación debe escribirse exactamente como el nombre de la reclamación procedente del IDP externo.
-
La reclamación para utilizar el nombre de usuario puede definirse en el campo Reclamación para utilizar para crear el nombre de usuario en la pestaña IDP externo en Herramientas > Opciones .
Eliminación de usuarios de IDP externos
Los usuarios creados en XProtect por un inicio de sesión de IDP externo se eliminan de la misma manera que un usuario básico y el usuario puede ser eliminado en cualquier momento después de la creación del usuario.
Si se elimina un usuario en XProtect y el usuario inicia sesión de nuevo desde el IDP externo, se creará un nuevo usuario en XProtect. Sin embargo, los datos asociados al usuario en XProtect como las vistas privadas y los cometidos se pierden y hay que crear de nuevo esta información para el usuario en XProtect.
Si se elimina un IDP externo en el Management Client, todos los usuarios conectados al VMS mediante el IDP externo también se eliminan.