Inicio de sesión único con Keycloak
Los usuarios de los planes RemotePC Team y Enterprise pueden utilizar el Single Sign-On (SSO) para acceder a su cuenta. Los administradores de las cuentas pueden elegir un proveedor de identidad (IdP) SAML 2.0 para acceder a su cuenta de RemotePC sin tener que recordar otra contraseña.
Para configurar el inicio de sesión único (SSO) con Keycloak, el administrador necesita:
- Configurar el inicio de sesión único (SSO) con Keycloak como IdP
- Añadir usuarios
- Configurar la cuenta de RemotePC para el inicio de sesión único (SSO)
Para utilizar Keycloak como proveedor de identidad para SSO, es necesario crear un cliente SAML 2.0.
Para crear un cliente SAML 2.0,
- Inicie sesión en la Consola de Administración de Keycloak. Una vez que haya iniciado sesión, podrá ver la Consola de Administración con un dominio maestro ya presente.
- Vaya a la pestaña "Clientes", haga clic en el botón "Crear" en la parte derecha de la página y añada la siguiente URL:
Identificación del cliente: https://sso.remotepc.com/rpcnew/sso/metadata
- Haga clic en el cuadro desplegable "Protocolo del cliente" y seleccione "saml".
- Haga clic en "Guardar". Esto creará el cliente y le redirigirá automáticamente a la pestaña de Configuración del cliente.
- Para usar Keycloak para SSO con RemotePC, necesitamos hacer algunos cambios en la configuración del cliente Keycloak.
Modifique los cambios necesarios como se indica a continuación:
- ID de cliente: https://sso.remotepc.com/com/rpcnew/sso/metadata
- Nombre: RemotePC
- Activado: ON
- Consentimiento requerido: OFF
- Protocolo cliente: saml
- Incluir la declaración de autenticidad: ON
- Incluir condición de uso único: OFF
- Firme los documentos: EN
- Optimizar la búsqueda de la clave de firma REDIRECT: OFF
- Afirmaciones de signos: OFF
- Algoritmo de firma: RSA_SHA1
- Nombre de la clave de firma SAML: KEY_ID
- Método de canonización: EXCLUSIVO
- Cifrar aserciones: OFF
- Se requiere la firma del cliente: OFF
- Forzar la vinculación del POST: ON
- Cierre de sesión del canal frontal: ON
- Nombre de la fuerza Formato ID: ON
- Nombre ID Formato: correo electrónico
- URLs de redireccionamiento válidas: https://sso.remotepc.com/rpcnew/sso/process
- URL maestra de procesamiento de SAML: https://sso.remotepc.com/rpcnew/sso/process
- URL de enlace POST del servicio de consumo de aserciones: https://sso.remotepc.com/rpcnew/sso/metadata
- URL de redireccionamiento del servicio de consumo de aserción: https://sso.remotepc.com/rpcnew/sso/metadata
- Haga clic en "Guardar".
Para habilitar el SSO para las cuentas de usuario, el administrador necesita añadir usuarios al cliente SAML 2.0 creado en la Consola de Administración de Keycloak.
Para añadir usuarios,
- Vaya a la pestaña "Usuarios" y haga clic en "Añadir usuario".
- Introduzca el "Nombre de usuario", el "Correo electrónico" y haga clic en "Guardar".
Nota: La dirección de correo electrónico introducida debe coincidir con la que usted ha proporcionado para acceder a su cuenta de RemotePC. - Una vez creado el usuario, vaya a la pestaña "Credenciales" y establezca una contraseña para el usuario que se utilizará para iniciar sesión.
- Ponga el interruptor "Temporal" en "OFF" y luego haga clic en "Establecer contraseña" para aplicar los cambios.
El administrador necesita proporcionar las URLs SAML 2.0 recibidas y el certificado en la aplicación Single Sign-On desde la interfaz web de RemotePC.
Para configurar el SSO,
- Inicie sesión en RemotePC a través del navegador web.
- Pulse el nombre de usuario que aparece en la esquina superior derecha y haga clic en "Mi cuenta".
- Haga clic en "Inicio de sesión único".
- Introduzca un nombre para su perfil SSO y añada las siguientes URLs:
- URL del emisor IDP:
http://localhost:8080/auth/realms/master
Por ejemplo: https://serverdomainname/auth/realms/master - URL de inicio de sesión único:
http://localhost:8080/auth/realms/master/protocol/saml
Por ejemplo: https://serverdomainname/auth/realms/master/protocol/saml
Nota: Las URLs pueden variar dependiendo de su instalación de Keycloak. Por defecto, Keycloak está instalado en el puerto 8080. Si ha modificado esto o si su instalación de Keycloak existe en un puerto diferente, tendrá que modificar estas URLs.
- URL del emisor IDP:
- Añada el "Certificado X.509" recibido de su cliente SAML 2.0, creado en la Consola de Administración de Keycloak.
Nota: Para ver y copiar el certificado X.509,
i. Vaya a la pestaña "Realm Settings" desde su consola de administración de Keycloak.
ii. Seleccione la pestaña "Claves" y haga clic en el botón "Certificado" en la parte derecha de la página. - Haga clic en "Configurar el inicio de sesión único".
Recibirá un correo electrónico cuando el SSO esté habilitado para su cuenta.