Puedes configurar opciones avanzadas en tu instancia de Autenticación Federada para tener un mayor control sobre tus usuarios federados y el flujo de autenticación.
Acceso requerido
Para gestionar la autenticación federada, debe tener Organization Owner acceso a una o más organizaciones que delegan la configuración de federación en la instancia.
Consola de gestión de Federaciones
Puedes gestionar la autenticación federada desde el Federation Management Console.
Para abrir el Federation Management Console:
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
Asignar un rol de usuario por defecto a una organización
Puedes configurar Atlas para aprovisionar automáticamente a cada usuario que se autentique a través de proveedor de identidad con un rol por defecto en una organización asignada. Puede seleccionar diferentes roles para diferentes organizaciones.
Nota
El rol seleccionado solo se aplica a los usuarios que se autentican a través del proveedor de identidad si aún no tienen un rol en la organización.
Ve a la Linked Organizations página.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Organizations.
Restringir el acceso a una organización por dominio
Puedes especificar una lista de dominios aprobados para evitar que los usuarios fuera de esos dominios accedan a tu organización. Usa esta lista para definir una lista de dominios aprobados para tu organización sin necesidad de mapear directamente esos dominios a tu proveedor de identidad.
Importante
Considerations
Una vez que actives la opción Restrict Access by Domain:
Solo puedes invitar a nuevos usuarios a unirse a tu organización si sus direcciones de correo electrónico están en la lista aprobada de dominios.
Los usuarios que ya se encuentran en tu organización y cuyos nombres de usuario no contienen un dominio de la lista aprobada no tienen restricciones de acceso a tu organización.
Todos los dominios que están asignados a su proveedor de identidad se agregan automáticamente a la lista de aprobados.
De la Federation Management Console:
Ve a la Linked Organizations página.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Organizations.
Añada dominios a la lista aprobada.
Para agregar dominios a la lista aprobada, puedes hacerlo de dos formas:
Haz clic en Add Domains from Existing Members. Atlas abre un modal que contiene dominios de las direcciones de correo electrónico de los usuarios existentes en su organización. Utiliza esta lista para habilitar fácilmente el acceso de los usuarios que ya forman parte de tu organización.
Utilice las casillas de verificación para seleccionar los dominios deseados y luego haga clic en Add para agregarlos a la lista de aprobados.
Haz clic en Add Domains. Atlas abre una ventana modal donde puedes agregar manualmente dominios a la lista aprobada.
Introduce el dominio que deseas aprobar en el cuadro de entrada y luego haz clic en Add. Repite este proceso para cada dominio que desees aprobar.
Nota
Si ha restringido la membresía de usuarios a su federación, Atlas le advierte si agrega un dominio que se utiliza para acceder a organizaciones fuera de su federación.
Una vez que haya añadido todos los dominios deseados, haga clic en Submit.
Modo de SAML de omisión
Bypass SAML Mode Proporciona una URL de inicio de sesión que omite la autenticación federada y, en su lugar, permite autenticarse con las credenciales de Atlas.
Si la configuración de su Autenticación federada no está correctamente configurada, es posible que no pueda iniciar sesión en Atlas mediante su proveedor de identidad. La Bypass SAML Mode URL ayuda a evitar que quedes bloqueado en tu organización de Atlas. Mientras configuras y pruebas tu IdP, te recomendamos que tomes nota de la URL de Bypass SAML Mode para garantizar que puedas iniciar sesión en Atlas y configurar correctamente tus ajustes de Autenticación Federada.
Cada Bypass SAML Mode URL está asociada a un proveedor de identidad individual y corresponde al Login URL del proveedor de identidad.
Bypass SAML Mode está habilitado por defecto, sin embargo, es posible que desees desactivarlo como una medida de seguridad una vez que estés seguro de que has configurado correctamente tu Autenticación Federada.
Para configurar Bypass SAML Mode, desde el Federation Management Console:
Ve a la Identity Providers página.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Identity Providers.
Iniciar sesión después de habilitar Bypass SAML Mode
Después de habilitar Bypass SAML Mode, debe iniciar sesión en Atlas usando:
La URL del Bypass SAML Mode para tu proveedor de identidad.
Un nombre de usuario que:
Contiene el dominio que asignaste a tu proveedor de identidad.
Has usado para iniciar sesión en Atlas o Cloud Manager antes de configurar la autenticación federada.
Restringir la afiliación de usuarios a la Federación
Puedes impedir que los usuarios en tu instancia de Autenticación Federada creen nuevas organizaciones o utilicen sus credenciales para acceder a organizaciones fuera de la federación. Configura esta opción para tener un control total sobre tus usuarios federados y ayudar a garantizar que solo tengan acceso a las organizaciones Atlas que desees.
Importante
Esta configuración se aplica a toda la federación, incluyendo todos los proveedores de identidad y organizaciones dentro de la federación.
Considerations
Una vez que habilites esta configuración:
Ningún usuario de su instancia de Autenticación Federada puede acceder a organizaciones fuera de su federación.
- Del mismo modo, ningún usuario federado puede aceptar ni recibir invitaciones para unirse a organizaciones fuera de su federación.
Los usuarios en tu federación con el rol
Organization Owneraún pueden crear nuevas organizaciones. Estas nuevas organizaciones están conectadas automáticamente a tu federación.Los usuarios en tu federación que no tengan el rol
Organization Ownerno pueden crear ninguna nueva organización.Los usuarios de tu federación mantienen el acceso a cualquier organización a la que tuvieran acceso antes de la restricción de membresía.
Procedimiento
De la Federation Management Console:
Ve a la Advanced Settings página.
En Atlas, ir a la consola Federation Management de la Organización.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haz clic en Federation en la sección Identity & Access.
Haga clic en Open Federation Management App.
La página de Federación se muestra.
En la barra lateral, haga clic en Advanced Settings.
Ver conflictos de usuario
Si tu federación contiene usuarios que pertenecen a organizaciones fuera de tu federación, Atlas muestra un banner de advertencia. Para revisar los usuarios en conflicto, haga clic en View User Conflicts.
Atlas muestra una ventana modal con una lista de usuarios que entran en conflicto con la restricción de federación. Considera contactar a estos usuarios para que tomen conciencia de la restricción.