El inicio de sesión único (mediante SAML2) solo está disponible en la edición Enterprise de OpenReplay.

En el panel de tu proveedor de identidad, crea una nueva aplicación llamada openreplay (puedes usar este icono). En la página de configuración, asegúrate de establecer el siguiente valor (asegúrate de reemplazar YOUR_DOMAIN por el valor correcto, por ejemplo https://openreplay.mycompany.com):

En la sección ‘Attribute Statements’ o ‘Parameters’, asegúrate de definir los siguientes campos:

Ahora deberías tener todos los valores necesarios para el siguiente paso/sección.

Si utilizas nuestro plan Cloud Dedicated, ve a la Consola, luego haz clic en la instancia y establece las variables en la sección SSO.

De lo contrario, si ejecutas nuestra edición Enterprise, ejecuta openreplay -e, descomenta y luego actualiza las siguientes variables de entorno en la sección chalice:

Luego, guarda y sal usando :wq para que los cambios surtan efecto:

Esto es opcional, puedes añadir un certificado x509 para mayor seguridad de SSO:

1. ejecuta este comando en tu servidor o en tu máquina segura (puedes cambiar el tiempo de validez de tu certificado según tus necesidades):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. En tu servidor, ejecuta openreplay -e
3. En la sección chalice, añade las siguientes variables de entorno:

• sp_crt: debe ser una cadena de una sola línea, sin saltos de línea, del archivo ‘openreplay-sso.crt’ generado (puedes usar esta herramienta para formatear tu valor)
• sp_key: debe ser una cadena de una sola línea, sin saltos de línea, del archivo ‘openreplay-sso.key’ generado

4. Guarda y sal usando :wq para que los cambios surtan efecto
5. Añade el archivo ‘openreplay-sso.crt’ generado a la configuración de la aplicación de tu proveedor de identidad

1. Inicia sesión en tu panel de administración de Okta y ve a ‘Applications’ > ‘Applications’
2. Pulsa ‘Create new app integration’, luego selecciona SAML 2.0 y pulsa ‘Next’
3. Establece el ‘App Name’ en OpenReplay (puedes subir este icono) para tu aplicación) y luego pulsa ‘Next’
4. Establece:

• Single sign on URL en YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) en YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format en EmailAddress

5. Define los siguientes campos en ‘Attribute Statements’:

• tenantKey: formato Basic y establece el valor en TENANT_KEY, que se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’ (este atributo no debe añadirse si utilizas nuestro plan Cloud Dedicated)
• firstName: formato Basic y establece el valor en user.firstName
• lastName: formato Basic y establece el valor en user.lastName
• internalId: formato Basic y establece el valor en user.email

6. Define el siguiente campo en ‘Group Attribute Statement’:

• groups: formato Basic, filtro Match Regex, valor OpenReplay-* (o puedes especificar un filtro y una expresión regular diferentes según tus necesidades)

7. Pulsa Next, selecciona ‘I’m an Okta customer adding an internal app’ y ‘This is an internal app that we have created’, luego pulsa ‘Finish’
8. En la pestaña Sign On, desplázate hacia abajo y pulsa ‘View Setup Instructions’ para ver tu configuración SAML2

Si utilizas nuestro plan Cloud Dedicated, ve a la Consola, luego haz clic en la instancia y establece las variables en la sección SSO.

De lo contrario, si ejecutas nuestra edición Enterprise:

9. Conéctate por SSH a tu instalación de OpenReplay y ejecuta openreplay -e
10. En la sección chalice, descomenta y luego establece las siguientes variables de entorno:

• idp_entityId: Identity Provider Issuer
• idp_sso_url: Identity Provider Single Sign-On URL
• idp_x509cert: Certificado X.509, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
• idp_name: Okta

11. Por último, guarda y sal usando :wq para que los cambios surtan efecto

1. Inicia sesión en tu portal de Azure y ve a ‘Azure Active Directory’
2. Pulsa ’+ Add’, selecciona ‘Enterprise application’ y luego haz clic en ‘Create your own application’
3. Establece el ‘App Name’ en OpenReplay, luego selecciona ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ y pulsa ‘Create’
4. Navega a ‘Single sign-on’ en el menú de la izquierda y establece los siguientes valores en el bloque ‘Basic SAML Configuration’:

• Identifier (Entity ID) en YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) en YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL en YOUR_DOMAIN/api/sso/saml2/sls/

5. Añade los siguientes claims en el bloque ‘Attribute & Claims’ y asegúrate de dejar vacío el campo ‘Namespace’ para cada uno de ellos:

• tenantKey: establece el valor en TENANT_KEY, que se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’ (este atributo/claim no debe añadirse si utilizas nuestro plan Cloud Dedicated)
• firstName: establece el valor en user.givenname
• lastName: establece el valor en user.surname
• internalId: establece el valor en user.mail

6. Navega a ‘Users and groups’ y asigna los usuarios que selecciones a la aplicación

Si utilizas nuestro plan Cloud Dedicated, ve a la Consola, luego haz clic en la instancia y establece las variables en la sección SSO (los valores se encuentran en ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

De lo contrario, si ejecutas nuestra edición Enterprise:

7. Conéctate por SSH a tu instalación de OpenReplay y ejecuta openreplay -e
8. En la sección chalice, descomenta y luego establece las siguientes variables de entorno (los valores se encuentran en ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):

• idp_entityId: Azure AD Identifier
• idp_sso_url: Login URL
• idp_sls_url: Logout URL
• idp_x509cert: Certificado X.509, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
• idp_name: Active Directory

9. Por último, guarda y sal usando :wq para que los cambios surtan efecto

1. En la consola de administración de Google, ve a ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. Haz clic en ‘Add Custom Attribute’.
3. Establece los siguientes campos:

• Category: ‘OpenReplay’
• Custom fields:
• Name: ‘role’
• Info type: ‘Text’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’
• Custom fields:
• Name: ‘adminPrivileges’
• Info type: ‘Yes or No’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’

4. Haz clic en ‘Add’
5. Para añadir valores a los nuevos atributos personalizados, ve a ‘Users’
6. Selecciona el o los usuarios que desees
7. Haz clic en ‘User information’ y luego edita la sección ‘OpenReplay’
8. Cambia el valor de role al rol deseado en ‘OpenReplay’ (el rol debe coincidir con el creado en el panel de OpenReplay en ‘Preferences’ > ‘Roles’)
9. Cambia el valor de adminPrivileges a ‘Yes’ si el usuario puede tener privilegios de administrador en OpenReplay
10. Haz clic en ‘Save’

1. Inicia sesión en tu consola de administración de Google y ve a ‘Apps’
2. Pulsa ‘Web and mobile apps’, luego haz clic en ‘Add app’ > ‘Add custom SAML app’
3. Establece el ‘App name’ en OpenReplay (puedes subir este icono para ‘App icon”) y luego pulsa ‘Continue’
4. Copia ‘SSO URL’, ‘Entity ID’ y ‘Certificate’, luego haz clic en ‘Continue’ (usaremos estos valores en el paso 11)
5. Establece:

• ACS URL en YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’, pero si utilizas nuestro plan Cloud Dedicated, deja vacío el valor de tenantKey)
• Entity ID en YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format en Email
• Name ID en Basic information > Primary Email

6. Haz clic en ‘Continue’, luego pulsa ‘Add Mapping’ para añadir los siguientes atributos:

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. Haz clic en ‘Finish’
8. En la consola de administración de Google, ve a ‘Apps’ > ‘Web and mobile apps’ y selecciona ‘OpenReplay’
9. Haz clic en ‘User access’, selecciona ‘ON for everyone’ y luego pulsa ‘Save’

Si utilizas nuestro plan Cloud Dedicated, ve a la Consola, luego haz clic en la instancia y establece las variables en la sección SSO.

De lo contrario, si ejecutas nuestra edición Enterprise:

10. Conéctate por SSH a tu instalación de OpenReplay y ejecuta openreplay -e
11. En la sección chalice > env, descomenta y establece los siguientes atributos usando los valores del paso 4:

• idp_sso_url: pega el valor de ‘SSO URL’
• idp_entityId: pega el valor de ‘Entity ID’
• idp_x509cert: usa esta herramienta para formatear el certificado copiado/descargado
• idp_name: establece el valor en G-Suite
• idp_tenantKey: TENANT_KEY que se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’

12. Por último, guarda y sal usando :wq para que los cambios surtan efecto

1. Inicia sesión en tu panel de administración de JumpCloud y, en el menú de la izquierda, ve a ‘SSO’
2. Pulsa ’+ Add New Application’, luego selecciona ‘Custom SAML App’
3. Establece el ‘Display Label’ en OpenReplay (puedes subir este icono para tu aplicación) y luego pasa a la pestaña ‘SSO’
4. Establece:

• IdP Entity ID en openreplay/TENANT_KEY (TENANT_KEY se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’, pero si utilizas nuestro plan Cloud Dedicated, deja vacío el valor de tenantKey)
• SP Entity ID en YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL en YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID en email
• SAMLSubject NameID Format: en urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm en RSA-SHA256
• Marca Sign Assertion
• IDP URL para que termine en openreplay-TENANT_KEY (este valor no se puede cambiar más tarde; si utilizas nuestro plan Cloud Dedicated, deja vacía la parte de tenantKey)

5. Si seguiste las instrucciones del Certificado de OpenReplay, puedes subir el archivo ‘openreplay-sso.crt’ generado pulsando ‘Upload SP Certificate’; de lo contrario, ignora este paso
6. Define los siguientes campos en ‘USER ATTRIBUTE MAPPING’ pulsando el botón ‘add attribute’:

• firstName: establece el valor en firstname
• lastName: establece el valor en lastname
• internalId: establece el valor en email
• groups: opcional, el rol y los privilegios de administrador del usuario en OpenReplay; si es un valor constante para todos los usuarios, debes definirlo en el siguiente paso; de lo contrario, tienes que añadir un nuevo atributo de tipo cadena al grupo de JumpCloud, llamarlo OpenReplay-groups y establecer el valor en el nombre del rol, y luego, en la configuración de SSO, seleccionar ‘Custom User or Group Attribute’ y establecer el valor en OpenReplay-groups.

7. Define los siguientes campos en ‘CONSTANT ATTRIBUTES’ pulsando el botón ‘add attribute’:

• tenantKey: establece el valor en TENANT_KEY, que se encuentra en el panel de OpenReplay en ‘Preferences’ > ‘Account’ (este atributo no debe añadirse si utilizas nuestro plan Cloud Dedicated)
• groups: opcional, ignóralo si se definió en el paso anterior; el rol y los privilegios de administrador del usuario en OpenReplay, debe coincidir con el nombre del rol ya definido en OpenReplay (por defecto = member sin privilegios de administrador)

8. En este punto, puedes pasar a la pestaña ‘User Groups’ y seleccionar el grupo de usuarios que tendrán acceso a OpenReplay, o puedes hacerlo más tarde
9. Pulsa ‘activate’ y ‘continue’ en la ventana emergente de confirmación
10. Pulsa el icono de la nueva aplicación OpenReplay, luego en el desplegable de la izquierda ‘IDP Certificate Valid’ elige ‘Download certificate’

Si utilizas nuestro plan Cloud Dedicated, ve a la Consola, luego haz clic en la instancia y establece las variables en la sección SSO.

De lo contrario, si ejecutas nuestra edición Enterprise:

11. Conéctate por SSH a tu instalación de OpenReplay y ejecuta openreplay -e
12. En la sección chalice, descomenta y luego establece las siguientes variables de entorno:

• idp_entityId: openreplay/TENANT_KEY
• idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert: el certificado descargado, debe ser una cadena de una sola línea, sin saltos de línea (puedes usar esta herramienta para formatear tu valor)
• idp_name: JumpCloud

13. Por último, guarda y sal usando :wq para que los cambios surtan efecto

Openreplay admite la opción de aprovisionar identidades de usuario en la edición Enterprise.

Para integrarte con el servicio SCIM de Openreplay, simplemente habilita el aprovisionamiento SCIM en el panel de tu proveedor de identidad. Asegúrate de establecer los siguientes valores para una integración fluida:

Después de establecer estos valores, sigue las indicaciones del panel de tu proveedor de identidad para probar la integración y autorizar la aplicación.

A continuación, podrás aprovisionar identidades de usuario usando Openreplay como proveedor de servicios SCIM.

Nota: Aunque Openreplay actúa como proveedor de servicios SCIM, no admite la partición de usuarios en varios grupos (es decir, cada usuario solo puede pertenecer a un grupo). Si no se respeta esto, un usuario podría quedar asignado a menos o más proyectos de lo esperado y podría tener menos o más permisos en la aplicación de Openreplay.

En tu aplicación SAML 2.0, haz lo siguiente

1. Haz clic en la pestaña General
2. En la sección App Settings, haz clic en Edit
3. En el campo Provisioning, selecciona SCIM y haz clic en Save

1. Haz clic en la pestaña Provisioning. La configuración de conexión SCIM aparece en Settings > Integration.
2. En Settings > Integration, haz clic en Edit.
3. Especifica la SCIM connector base URL y el nombre del campo del identificador único de tus usuarios mencionados anteriormente.
4. En Supported provisioning actions, elige las acciones de aprovisionamiento mencionadas anteriormente.
5. Establece el desplegable Authentication Mode en el valor mencionado anteriormente.
6. Establece Access token endpoint, Authorization endpoint, Client id y Client secret como se menciona anteriormente.
7. Haz clic en Save.
8. Haz clic en Authentiate application.
9. En la pestaña Provisioning, haz clic en To App.
10. Haz clic en Edit, habilita Create Users, Update User Attributes, Deactivate Users y guarda los cambios.

• Antes de comenzar el siguiente paso, recomendamos crear nuevos grupos en Okta, llamados OpenReplay-admin donde listes a los usuarios con privilegios de administrador en OpenReplay, y OpenReplay-members donde listes a los usuarios con el rol member en OpenReplay, …

11. Ve a la pestaña Push Groups, haz clic en + Push Groups (por nombre o por regla), selecciona el grupo que quieres enviar a OpenReplay y pulsa save

• En este punto, los grupos enviados representan roles y privilegios de administrador en OpenReplay, y no contienen la lista de usuarios aprovisionados para OpenReplay.

12. Ve a la pestaña Assignmets y añade usuarios de la forma que más te convenga (usando personas o grupos)

Esto es muy común y se debe a que el encabezado ‘X-Forwarded-Proto’ no está presente en la solicitud. Para resolverlo, asegúrate de que el balanceador de carga reenvíe correctamente el encabezado al backend de OpenReplay, y ejecuta openreplay -e; en la sección ingress-nginx > config, descomenta la línea use-forwarded-headers: true.