SSO

Cómo configurar el inicio de sesión único (SSO) mediante SAML2.

SSO

El inicio de sesión único (mediante SAML2) está disponible únicamente en OpenReplay Enterprise Edition y en las instancias Dedicated.

Configuración del proveedor de identidad (IDP)

Section titled Configuración del proveedor de identidad (IDP)

En el panel de tu proveedor de identidad, crea una nueva aplicación llamada openreplay (puedes usar este icono). En la página de configuración, asegúrate de establecer los siguientes valores (asegúrate de reemplazar YOUR_DOMAIN por el valor correcto, por ejemplo https://openreplay.mycompany.com):

VariableValor
ACS URL (también llamada Single Sign On URL o Consumer URL)YOUR_DOMAIN/api/sso/saml2/acs/
Entity ID (también llamado Audience)YOUR_DOMAIN/api/sso/saml2/metadata/
Single Logout URL (también llamada SLO URL)YOUR_DOMAIN/api/sso/saml2/sls/ (opcional)
Name ID (a veces es configurable en la sección ‘Attribute Statements’ o ‘Parameters’)Email o EmailAddress o urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, según tu proveedor de identidad
SAML initiatorEstablécelo en Service Provider (opcional)

En la sección ‘Attribute Statements’ o ‘Parameters’, asegúrate de definir los siguientes campos:

CampoValor
tenantKeyTENANT_KEY su valor se encuentra en el Dashboard, en ‘Preferences’ > ‘Account’ (Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud)
firstNameuser.firstName
lastNameuser.lastName
internalIdID interno o user.email (el ID del usuario en tu sistema de gestión de identidades) (opcional)
roleEl rol del usuario; según tu proveedor de identidad puede ser user.role o group, etc. (opcional, valor predeterminado = member)
adminPrivilegesSi el usuario tiene privilegios de administrador o no; si este campo contiene cualquier valor distinto de false, se considerará como true. (opcional, valor predeterminado = false)

Ahora deberías tener todos los valores necesarios para el siguiente paso/sección.

Configuración de SSO (SAML2)

Section titled Configuración de SSO (SAML2)

Para habilitar SSO, ejecuta openreplay -e, descomenta y luego actualiza las siguientes variables de entorno en la sección chalice:

VariableDescripción
idp_entityIdEl entityId de tu proveedor de identidad, también conocido como Issuer URL
idp_sso_urlEl singleSignOnService de tu proveedor de identidad, también conocido como SAML 2.0 Endpoint (HTTP)
idp_x509certEl x509cert, debe ser una cadena de una sola línea, sin saltos de línea. Puedes usar esta herramienta para formatear tu valor
idp_nameEl nombre del proveedor de identidad (opcional)
idp_sls_urlEl singleLogoutService de tu proveedor de identidad, también conocido como SLO Endpoint (HTTP) (opcional)
enforce_SSOSi se establece en true, se bloquearán todas las conexiones con nombre de usuario y contraseña (opcional, valor predeterminado=false)

Luego, guarda y sal usando :wq para que los cambios surtan efecto:

Certificado de OpenReplay

Section titled Certificado de OpenReplay

Esto es opcional; puedes añadir un certificado x509 para mayor seguridad del SSO:

  1. ejecuta este comando en tu servidor o en tu máquina segura (puedes cambiar el tiempo de validez de tu certificado según tus necesidades):
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt
  1. En tu servidor, ejecuta openreplay -e
  2. En la sección chalice, añade las siguientes variables de entorno:
  • sp_crt: debe ser una cadena de una sola línea, sin saltos de línea, del archivo ‘openreplay-sso.crt’ generado (puedes usar esta herramienta para formatear tu valor)
  • sp_key: debe ser una cadena de una sola línea, sin saltos de línea, del archivo ‘openreplay-sso.key’ generado
  1. Guarda y sal usando :wq para que los cambios surtan efecto
  2. Añade el archivo ‘openreplay-sso.crt’ generado a la configuración de la aplicación de tu proveedor de identidad

Ejemplo con Okta

Section titled Ejemplo con Okta
  1. Inicia sesión en tu panel de administración de Okta y ve a ‘Applications’ > ‘Applications’
  2. Pulsa ‘Create new app integration’, luego selecciona SAML 2.0 y pulsa ‘Next’
  3. Establece el ‘App Name’ en OpenReplay (puedes subir este icono) para tu aplicación) y luego pulsa ‘Next’
  4. Establece:
  • Single sign on URL en YOUR_DOMAIN/api/sso/saml2/acs/
  • Audience URI (SP Entity ID) en YOUR_DOMAIN/api/sso/saml2/metadata/
  • Name ID format en EmailAddress
  1. Define los siguientes campos en ‘Attribute Statements’:
  • tenantKey: formato Basic y establece el valor en TENANT_KEY, que se encuentra en el dashboard de OpenReplay en ‘Preferences’ > ‘Account’ (Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud).
  • firstName: formato Basic y establece el valor en user.firstName
  • lastName: formato Basic y establece el valor en user.lastName
  • internalId: formato Basic y establece el valor en user.email
  1. Define el siguiente campo en ‘Group Attribute Statements’:
  • role: formato Basic, filtro Match Regex, valor .* (o puedes especificar un filtro y una expresión regular diferentes según tus necesidades)
  • adminPrivileges: formato Basic, filtro Match Regex, valor admin (el usuario actual tendrá admin privileges si forma parte del grupo admin)
  1. Pulsa Next, selecciona ‘I’m an Okta customer adding an internal app’ y ‘This is an internal app that we have created’, luego pulsa ‘Finish’
  2. En la pestaña Sign On, desplázate hacia abajo y pulsa ‘View Setup Instructions’ para ver tu configuración SAML2
  3. En tu servidor, ejecuta openreplay -e
  4. En la sección chalice, descomenta y luego establece las siguientes variables de entorno:
  • idp_entityId: Identity Provider Issuer
  • idp_sso_url: Identity Provider Single Sign-On URL
  • idp_x509cert: X.509 Certificate, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
  • idp_name: Okta
  1. Finalmente, guarda y sal usando :wq para que los cambios surtan efecto.

Ejemplo con Azure Active Directory

Section titled Ejemplo con Azure Active Directory
  1. Inicia sesión en tu portal de Azure y ve a ‘Azure Active Directory’
  2. Pulsa ’+ Add’, selecciona ‘Enterprise application’ y luego haz clic en ‘Create your own application’
  3. Establece el ‘App Name’ en OpenReplay, luego selecciona ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ y pulsa ‘Create’
  4. Navega a ‘Single sign-on’ en el menú de la izquierda y establece los siguientes valores en el bloque ‘Basic SAML Configuration’:
  • Identifier (Entity ID) en YOUR_DOMAIN/api/sso/saml2/metadata/
  • Reply URL (Assertion Consumer Service URL) en YOUR_DOMAIN/api/sso/saml2/acs/
  • Logout URL en YOUR_DOMAIN/api/sso/saml2/sls/
  1. Añade las siguientes notificaciones (claims) en el bloque ‘Attribute & Claims’ y asegúrate de que el campo ‘Namespace’ quede vacío en cada una de ellas:
  • tenantKey: establece el valor en TENANT_KEY, que se encuentra en el dashboard de OpenReplay en ‘Preferences’ > ‘Account’ (Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud).
  • firstName: establece el valor en user.givenname
  • lastName: establece el valor en user.surname
  • internalId: establece el valor en user.mail
  1. Navega a ‘Users and groups’ y asigna los usuarios que selecciones a la aplicación
  2. Ahora conéctate por SSH a tu instalación de OpenReplay y ejecuta openreplay -e
  3. En la sección chalice, descomenta y luego establece las siguientes variables de entorno (los valores se encuentran en ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):
    • idp_entityId: Azure AD Identifier
    • idp_sso_url: Login URL
    • idp_sls_url: Logout URL
    • idp_x509cert: X.509 Certificate, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
    • idp_name: Active Directory
  4. Finalmente, guarda y sal usando :wq para que los cambios surtan efecto

Ejemplo con Google Workspace (anteriormente G Suite)

Section titled Ejemplo con Google Workspace (anteriormente G Suite)

Añadir atributos personalizados:

Section titled Añadir atributos personalizados:
  1. En la consola de administración de Google, ve a ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
  2. Haz clic en ‘Add Custom Attribute’.
  3. Establece los siguientes campos:
  • Category: ‘OpenReplay’
  • Custom fields:
  • Name: ‘role’
  • Info type: ‘Text’
  • Visibility: ‘Visible to user and admin’
  • No. of values: ‘Single-value’
  • Custom fields:
  • Name: ‘adminPrivileges’
  • Info type: ‘Yes or No’
  • Visibility: ‘Visible to user and admin’
  • No. of values: ‘Single-value’
  1. Haz clic en ‘Add’
  2. Para añadir valores a los nuevos atributos personalizados, ve a ‘Users’
  3. Selecciona el usuario o los usuarios deseados
  4. Haz clic en ‘User information’ y luego edita la sección ‘OpenReplay’
  5. Cambia el valor de role al rol deseado en ‘OpenReplay’ (el rol debe coincidir con el creado en el dashboard de OpenReplay en ‘Preferences’ > ‘Roles’)
  6. Cambia el valor de adminPrivileges a ‘Yes’ si el usuario puede tener privilegios de administrador en OpenReplay
  7. Haz clic en ‘Save’

Configuración:

Section titled Configuración:
  1. Inicia sesión en tu consola de administración de Google y ve a ‘Apps’
  2. Pulsa ‘Web and mobile apps’ y luego haz clic en ‘Add app’ > ‘Add custom SAML app’
  3. Establece el ‘App name’ en OpenReplay (puedes subir este icono para ‘App icon”) y luego pulsa ‘Continue’
  4. Copia ‘SSO URL’, ‘Entity ID’ y ‘Certificate’, luego haz clic en ‘Continue’ (usaremos estos valores en el paso 11)
  5. Establece:
  • ACS URL en YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY se encuentra en el dashboard de OpenReplay en ‘Preferences’ > ‘Account’. Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud.)
  • Entity ID en YOUR_DOMAIN/api/sso/saml2/metadata/
  • Name ID format en Email
  • Name ID en Basic information > Primary Email
  1. Haz clic en ‘Continue’ y luego pulsa ‘Add Mapping’ para añadir los siguientes atributos:
  • Basic information > First Name -> firstName
  • Basic information > Last Name -> lastName
  • Basic information > Primary Email -> internalId
  • OpenReplay > role -> role
  • OpenReplay > adminPrivileges -> adminPrivileges
  1. Haz clic en ‘Finish’
  2. En la consola de administración de Google, ve a ‘Apps’ > ‘Web and mobile apps’ y selecciona ‘OpenReplay’
  3. Haz clic en ‘User access’, selecciona ‘ON for everyone’ y luego pulsa ‘Save’
  4. En tu servidor, ejecuta openreplay -e
  5. En la sección chalice > env, descomenta y establece los siguientes atributos usando los valores del paso 4:
  • idp_sso_url: pega el valor de ‘SSO URL’
  • idp_entityId: pega el valor de ‘Entity ID’
  • idp_x509cert: usa esta herramienta para formatear el certificado copiado/descargado
  • idp_name: establece el valor en G-Suite
  • idp_tenantKey: TENANT_KEY se encuentra en el dashboard de OpenReplay en ‘Preferences’ > ‘Account’ (Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud).
  1. Finalmente, guarda y sal usando :wq para que los cambios surtan efecto.

Ejemplo con JumpCloud

Section titled Ejemplo con JumpCloud
  1. Inicia sesión en tu panel de administración de JumpCloud y, en el menú de la izquierda, ve a ‘SSO’
  2. Pulsa ’+ Add New Application’, luego selecciona ‘Custom SAML App’
  3. Establece el ‘Display Label’ en OpenReplay (puedes subir este icono para tu aplicación) y luego ve a la pestaña ‘SSO’
  4. Establece:
  • IdP Entity ID en openreplay/TENANT_KEY
  • SP Entity ID en YOUR_DOMAIN/api/sso/saml2/metadata/
  • ACS URL en YOUR_DOMAIN/api/sso/saml2/acs/
  • SAMLSubject NameID en email
  • SAMLSubject NameID Format: en urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
  • Signature Algorithm en RSA-SHA256
  • Marca Sign Assertion
  • IDP URL debe terminar en openreplay-TENANT_KEY (este valor no se puede cambiar más adelante)
  1. Si seguiste las instrucciones de OpenReplay-Certificate, puedes subir el archivo ‘openreplay-sso.crt’ generado pulsando ‘Upload SP Certificate’; de lo contrario, ignora este paso
  2. Define los siguientes campos en ‘USER ATTRIBUTE MAPPING’ pulsando el botón ‘add attribute’:
  • firstName: establece el valor en firstname
  • lastName: establece el valor en lastname
  • internalId: establece el valor en email
  • role: opcional, el rol del usuario en OpenReplay; si es un valor constante para todos los usuarios, deberías definirlo en el siguiente paso, de lo contrario tienes que añadir un nuevo atributo de tipo cadena al grupo de JumpCloud, llamarlo OpenReplayRole y establecer el valor en el nombre del rol, y luego, en la configuración de SSO, seleccionar ‘Custom User or Group Attribute’ y establecer el valor en OpenReplayRole.
  • adminPrivileges: opcional; si es un valor constante para todos los usuarios, deberías definirlo en el siguiente paso, de lo contrario tienes que añadir un nuevo atributo de tipo booleano al grupo de JumpCloud, llamarlo OpenReplayAdminPrivileges y establecer el valor en el nombre del rol, y luego, en la configuración de SSO, seleccionar ‘Custom User or Group Attribute’ y establecer el valor en OpenReplayAdminPrivileges.
  1. Define los siguientes campos en ‘CONSTANT ATTRIBUTES’ pulsando el botón ‘add attribute’:
  • tenantKey: establece el valor en TENANT_KEY, que se encuentra en el dashboard de OpenReplay en ‘Preferences’ > ‘Account’ (Nota: debe ignorarse/dejarse vacío si usas una instancia dedicated/cloud).
  • role: opcional, ignóralo si lo definiste en el paso anterior; el rol del usuario en OpenReplay, debe coincidir con un nombre de rol ya definido en OpenReplay (valor predeterminado = member)
  • adminPrivileges: opcional, ignóralo si lo definiste en el paso anterior; establece el valor en true si quieres dar privilegios de administrador a los nuevos usuarios, false si no (valor predeterminado = false)
  1. En esta etapa, puedes ir a la pestaña ‘User Groups’ y seleccionar el grupo de usuarios que tendrá acceso a OpenReplay, o puedes hacerlo más tarde
  2. Pulsa ‘activate’ y ‘continue’ en la ventana emergente de confirmación
  3. Pulsa el icono de la nueva aplicación OpenReplay y luego, en el desplegable de la izquierda ‘IDP Certificate Valid’, elige ‘Download certificate’
  4. En tu servidor, ejecuta openreplay -e
  5. En la sección chalice, descomenta y luego establece las siguientes variables de entorno:
  • idp_entityId: openreplay/TENANT_KEY
  • idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
  • idp_x509cert: el certificado descargado, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
  • idp_name: JumpCloud
  1. Finalmente, guarda y sal usando :wq para que los cambios surtan efecto.

Errores

Section titled Errores

The response was received at http instead of http

Section titled The response was received at http instead of http

Esto es muy común y se debe a que el encabezado ‘X-Forwarded-Proto’ no está presente en la solicitud. Para resolverlo, asegúrate de que el balanceador de carga reenvíe correctamente el encabezado al backend de OpenReplay.