Puede configurar opciones avanzadas en su instancia de autenticación federada para tener un mayor control sobre sus usuarios federados y el flujo de autenticación.
Acceso requerido
Para administrar la autenticación federada, debe tener
Organization Owner acceso a una o más organizaciones que están delegando configuraciones de federación a la instancia.
Consola de administración de la federación
Puede administrar la autenticación federada desde el Federation Management Console.
Para abrir el Federation Management Console:
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
El Se muestra la páginade la Federación.
Asignar un rol de usuario por defecto a una organización
Puede configurar Atlas para que aprovisione automáticamente a cada usuario que se autentique a través de IdP con un rol predeterminado en una organización asignada. Puede seleccionar diferentes roles para distintas organizaciones.
Nota
El rol seleccionado solo se aplica a los usuarios que se autentican a través del IdP si aún no tienen un rol en la organización.
Ir a la página Linked Organizations.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Organizations.
Restringir el acceso a una organización por dominio
Puede especificar una lista de dominios aprobados para evitar que usuarios externos accedan a su organización. Utilice esta lista para definir una lista de dominios aprobados para su organización sin necesidad de asignarlos directamente a su proveedor de identidad (IdP).
Importante
Considerations
Una vez que habilite la opción Restrict Access by Domain:
Sólo puedes invitar a nuevos usuarios a unirse a tu organización cuyas direcciones de correo electrónico estén en la lista de dominios aprobados.
Los usuarios que ya están en su organización cuyos nombres de usuario no contienen un dominio en la lista aprobada no tienen acceso restringido a su organización.
Cualquier dominio asignado a su IdP se agrega automáticamente a la lista aprobada.
Desde el Federation Management Console:
Ir a la página Linked Organizations.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Organizations.
Añadir dominios a la lista aprobada.
Para agregar dominios a la lista aprobada, puede:
Haga clic en Add Domains from Existing Members. Atlas abrirá una ventana modal con los dominios de las direcciones de correo electrónico de los usuarios de su organización. Utilice esta lista para facilitar el acceso a los usuarios que ya forman parte de su organización.
Utilice las casillas de verificación para seleccionar los dominios deseados, luego haga clic en Add para agregarlos a la lista aprobada.
Haga clic en Add Domains. Atlas abrirá una ventana modal donde puede agregar manualmente dominios a la lista aprobada.
Ingrese el dominio que desea aprobar en el cuadro de entrada y haga clic en Add. Repita este proceso para cada dominio que desee aprobar.
Nota
Si ha restringido la membresía de usuarios a su federación, Atlas le advierte si agrega un dominio que se utiliza para acceder a organizaciones fuera de su federación.
Una vez que haya agregado todos los dominios deseados, haga clic en Submit.
Modo de SAML de omisión
Bypass SAML Mode proporciona una URL de inicio de sesión que omite su autenticación federada y, en su lugar, le permite autenticarse con sus credenciales de Atlas.
Si la configuración de su Autenticación Federada no es correcta, es posible que no pueda iniciar sesión en Atlas a través de su IdP. La Bypass SAML Mode URL ayuda a evitar que se le bloquee el acceso a su organización Atlas. Al configurar y probar su IdP, le recomendamos que anote la Bypass SAML Mode URL para asegurarse de poder iniciar sesión en Atlas y configurar correctamente la Autenticación Federada.
Cada Bypass SAML Mode URL está asociada con un IdP individual y corresponde al del Login URL IdP.
Bypass SAML Mode Está habilitado de forma predeterminada, sin embargo, es posible que desees deshabilitarlo como medida de seguridad una vez que estés seguro de haber configurado correctamente tu autenticación federada.
Para establecer Bypass SAML Mode, desde Federation Management Console:
Ir a la página Identity Providers.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Identity Providers.
Iniciar sesión después de habilitar Bypass SAML Mode
Después de habilitar Bypass SAML Mode, deberá iniciar sesión en Atlas usando:
La Bypass SAML Mode URL para su IdP.
Un nombre de usuario que:
Contiene el dominio que asignaste a tu proveedor de identidad.
Ha utilizado para iniciar sesión en Atlas o Cloud Manager antes de configurar la autenticación federada.
Restringir la afiliación de usuarios a la Federación
Puede impedir que los usuarios de su instancia de Autenticación Federada creen nuevas organizaciones o usen sus credenciales para acceder a organizaciones fuera de la federación. Configure esta opción para tener control total sobre sus usuarios federados y para garantizar que solo tengan acceso a las organizaciones de Atlas deseadas.
Importante
Esta configuración se aplica a toda la federación, incluidos todos los proveedores de identidad y organizaciones dentro de la federación.
Considerations
Una vez que habilite esta configuración:
Ningún usuario en su instancia de autenticación federada puede obtener acceso a organizaciones fuera de su federación.
De manera similar, ningún usuario federado puede aceptar o recibir invitaciones para unirse a organizaciones fuera de su federación.
Los usuarios de su federación con el rol aún pueden crear nuevas organizaciones. Estas nuevas organizaciones se conectan automáticamente a su
Organization Ownerfederación.Los usuarios de su federación sin el rol no pueden crear ninguna organización
Organization Ownernueva.Los usuarios de su federación conservan el acceso a cualquier organización a la que tenían acceso antes de la restricción de membresía.
Procedimiento
Desde el Federation Management Console:
Ir a la página Advanced Settings.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Advanced Settings.
Ver conflictos de usuarios
Si su federación contiene usuarios que pertenecen a organizaciones externas, Atlas mostrará un mensaje de advertencia. Para revisar los usuarios en conflicto, haga clic en View User Conflicts.
Atlas muestra un modal con una lista de usuarios que entran en conflicto con la restricción de federación. Considere contactar a estos usuarios para informarles sobre la restricción.