Entra Sync y SSO
Documentación

Entra Sync y SSO

Resumen

El complemento Entra Sync permite a los administradores de Rock sincronizar datos entre Rock y Entra y habilita el inicio de sesión único (SSO), lo que permite a los usuarios de Entra iniciar sesión en Rock con sus credenciales de Entra. Los datos pueden sincronizarse en cualquiera de las dos direcciones (de Rock a Entra o de Entra a Rock) y pueden sincronizarse bajo demanda o mediante una tarea programada.

Por defecto, el complemento Entra Sync sincronizará a los miembros de un grupo e intentará emparejar los registros existentes en cualquiera de los dos sistemas siguiendo la siguiente lógica:

  1. Entra -> Rock: la sincronización buscará una coincidencia exacta en «Nombre», «Apellidos» y «Correo electrónico».
  2. Rock -> Entra: la sincronización buscará una coincidencia exacta entre el «correo electrónico» de Rock y el nombre principal de usuario de Entra (es decir, el correo electrónico en Entra).

Advertencia

NOTA IMPORTANTE: El complemento solo puede sincronizar usuarios de Rock a Entra si estos disponen de una dirección de correo electrónico con un dominio que figure en Entra en la sección «Nombres de dominio personalizados». Al sincronizar de Rock a Entra, Rock no puede modificar la pertenencia a grupos habilitados para correo en Entra (esto incluye los grupos de seguridad y las listas de distribución habilitados para correo). Los grupos habilitados para correo solo se pueden gestionar desde el Centro de administración de Exchange/Office 365.

Además, puedes configurar una tarea automatizada para sincronizar los cambios en una sola dirección (de Rock a Entra) para los siguientes campos:

  • Teléfono de la oficina
  • Teléfono fijo
  • Cargo
  • Departamento
  • Empresa

Los datos de las fotos de los usuarios también se pueden sincronizar en cualquier sentido.

Nota

Las imágenes de usuario en Entra solo se pueden recuperar o modificar si el usuario dispone de un buzón de Exchange (que suele formar parte de una suscripción a Office 365). Se trata de una limitación de la API de Microsoft Graph.

Configuración previa a la instalación: Configuración de Entra

Para configurar el complemento, tendrás que registrar la aplicación y conceder los permisos necesarios en tu inquilino de Entra.

Paso 1: Crea un nuevo registro de aplicación en tu inquilino de Entra.

Empieza abriendo el panel de Microsoft Entra ID (y asegúrate de haber seleccionado el inquilino correcto) en el Portal de Azure y, a continuación, selecciona la opción «Registros de aplicaciones» en el menú de recursos de la izquierda. Crea el nuevo registro haciendo clic en el botón «Nuevo registro» situado en la parte superior del panel de Registro de aplicaciones.

Explicaciones de las opciones de configuración:

  1. Nombre: aquí puedes elegir el nombre que quieras, pero te recomendamos que elijas algo como «Rock Entra Sync Plugin» para que quede claro el propósito del registro de esta aplicación.
  2. Tipos de cuenta admitidos: mantén seleccionada la opción predeterminada (un solo inquilino) para esta opción.
  3. URI de redirección: si vas a utilizar la funcionalidad de SSO del complemento (para poder iniciar sesión en Rock con tus credenciales de Entra), tendrás que introducir un valor aquí. Se trata de la página (en tu servidor de Rock) que utilizarás para iniciar sesión en Rock con tus credenciales de Entra. Puede ser cualquier URL que desees, pero te recomendamos que utilices algo como https://my.church/sso o https://my.church/entralogin. Hablaremos de cómo configurar esta página en Rock en una sección posterior. Si no vas a utilizar la funcionalidad de SSO, puedes dejar este campo en blanco.

Paso 2: Anota tus parámetros de configuración.

Una vez que hayas creado el nuevo registro de la aplicación, se te redirigirá a la pestaña de gestión del nuevo recurso que acabas de crear. Esta página contiene información importante que necesitarás para configurar el complemento más adelante, así que anota los valores del «ID de la aplicación (cliente)» y del «ID del directorio (inquilino)». Si has introducido un valor de URI de redirección en el paso 1, anótalo también.

También tendrás que hacer clic en «Endpoints» (Puntos finales), en la parte superior de la pestaña, y anotar los dos primeros puntos finales:

A estas alturas ya deberías haber recopilado la siguiente información:

  1. Introduce el ID de inquilino
  2. Introduce el ID de cliente
  3. Punto final de autorización de OAuth 2.0 (v2)
  4. Punto final de tokens de OAuth 2.0 (v2)
  5. URI de redirección (si utilizas la función de SSO del complemento)

Paso 3: Concede a tu aplicación los permisos de registro para leer y escribir datos de usuarios y grupos.

El complemento Entra necesita permiso para leer y modificar registros de usuarios y grupos en tu inquilino de Entra, así como para leer datos básicos de tu directorio. Para ello, utiliza la API de Microsoft Graph y necesitará los siguientes permisos:

  1. Directory.Read.All
  2. Group.ReadWrite.All
  3. User.ReadWrite.All

Para añadir un nuevo permiso a tu aplicación, selecciona la opción «Permisos de API» en el menú de gestión de recursos de la izquierda y, a continuación, haz clic en el botón «Añadir un permiso». Selecciona la opción «Microsoft Graph» y, a continuación, elige «Permisos de aplicación» y añade el permiso que desees. Puedes añadir los tres a la vez.

Para finalizar la configuración de los permisos que has añadido, tendrás que otorgar el consentimiento de administrador. Una vez que hayas terminado este paso, la pantalla de permisos de la API debería tener el aspecto que se muestra en la captura de pantalla siguiente.

Consejo

CONSEJO: Debes tener privilegios de administrador en el tenant de Entra para poder otorgar el consentimiento de administrador.

Paso 5: Crea un secreto de cliente.

El complemento utiliza un secreto de cliente para autenticarse en Entra. Este secreto es como una contraseña, y cualquier persona que lo conozca tendrá los permisos que hayas concedido al recurso de registro de la aplicación en los pasos anteriores, por lo que debes tratar este valor como información altamente confidencial, exactamente igual que lo harías con una contraseña.

Para crear un nuevo secreto de cliente, selecciona la opción «Certificados y secretos» en el panel de gestión de recursos (deberías seguir viendo el registro de la aplicación que has creado). Desplázate hacia abajo hasta la sección «Secretos de cliente» y haz clic en el botón para añadir un nuevo secreto de cliente. Puedes asignarle al secreto el nombre que quieras, pero, al igual que con el registro de la aplicación, te recomendamos que utilices un nombre que deje claro el propósito del secreto. Te recomendamos que elijas la opción de caducidad «Nunca». Si eliges un plazo de caducidad diferente, tendrás que crear un nuevo secreto e introducirlo en la configuración de tu complemento cuando caduque el antiguo.

Una vez creado tu secreto, puedes copiar el valor. Tendrás que anotar el valor en este momento, ya que no podrás recuperarlo más adelante. Si necesitas este valor más adelante y no lo has anotado en este momento, tendrás que crear un nuevo secreto y utilizarlo en su lugar.

Consejo

Asegúrate de anotar el valor del secreto de cliente antes de pasar de esta pantalla.

Configurar los parámetros de autenticación del complemento Entra Sync

Ahora que tu entorno de Entra está configurado y listo para funcionar, es el momento de configurar el complemento. Si aún no has instalado el complemento, deberás hacerlo desde Rock Shop ahora mismo. También necesitarás la información de configuración que anotaste en el paso 2 de la configuración previa a la instalación y el secreto de cliente que creaste en el paso 5.

Ve a Herramientas de administración > Complementos instalados y selecciona la opción «Entra Group Sync». A continuación, haz clic en el botón «Credenciales de Entra» situado en la esquina superior derecha e introduce los valores de configuración de los pasos anteriores.

Configurar los grupos para sincronizarlos

El complemento sincroniza los miembros de los grupos de Rock o Entra, por lo que tendrás que crear grupos en ambos sistemas. Para configurar los ajustes de sincronización, ve a Herramientas de administración > Complementos instalados > Entra Group Sync y haz clic en el botón para añadir una nueva entrada. Se te ofrecerán las siguientes opciones de configuración:

  1. Tipo de selección de grupo: determina si vas a seleccionar un rol de seguridad de Rock o un grupo normal.
  2. Grupo: el grupo «The Rock» o el rol de seguridad.
  3. Grupo Entra: el rol o grupo de seguridad de Entra. Estos grupos deben crearse primero en el portal de Entra.
  4. Dirección de sincronización: determina si Rock o Entra es el sistema de destino.
  5. Añadir persona si no hay coincidencia: esto añadirá a la persona a Rock o a Entra si no se encuentra ningún registro que coincida. Nota: Al añadir a la persona en Entra no se crearán licencias ni se añadirán buzones de correo.

Consejo

Si quieres que se añadan nuevos usuarios al sistema de destino, asegúrate de marcar la casilla «Añadir usuario individual si no hay coincidencia».

Nota sobre los grupos de Entra con función de correo electrónico

Si configura los parámetros anteriores seleccionando un grupo habilitado para correo en Entra (un grupo de distribución o un grupo de seguridad habilitado para correo) y establece la dirección de sincronización para enviar datos desde Rock a Entra, recibirá una notificación de advertencia en la que se le informará de que el complemento no puede modificar la pertenencia a los grupos habilitados para correo en Entra. Esto significa que el complemento no puede añadir ni eliminar miembros de este grupo.  Estos grupos seguirán admitiendo la sincronización de contactos entre los registros de usuarios de Rock y Entra, pero la única forma de modificar la pertenencia a los grupos habilitados para correo es desde el Centro de administración de Exchange/Office 365.

Si configuras un grupo de esta forma, también recibirás una advertencia sobre la configuración del grupo en tu lista de sincronización de grupos.

Si los miembros de tu grupo de Rock y del grupo de Entra habilitado para correo no están sincronizados cuando el complemento intente ejecutar el proceso de sincronización, recibirás advertencias en el informe de la tarea y en la lista de excepciones de Rock. La lista de excepciones identificará qué usuarios no se han podido añadir o eliminar del grupo (mediante su GUID de usuario de Entra).  Puedes evitar estas advertencias asegurándote de que todos los grupos habilitados para correo que configure para sincronizarse desde Rock se sincronicen manualmente (en otras palabras, incluye a las mismas personas en ambos grupos).

Sincronizar manualmente un grupo

Una vez que hayas configurado tus grupos para la sincronización, puedes sincronizarlos manualmente pulsando el botón «sincronizar» situado junto al grupo.

[Opcional] Configurar la tarea de sincronización automática

El complemento incluye una tarea automatizada que se puede programar para sincronizar tus grupos. Para activarla, ve a Herramientas de administración > Configuración del sistema > Administración de tareas y añade una nueva tarea. En la pantalla de detalles de la tarea programada, selecciona «Sync Entra (complemento)» como tipo de tarea.

[Opcional] Configurar la sincronización de la información de contacto

El complemento se puede configurar para sincronizar la información de contacto de Rock a Entra cada vez que se sincronice un grupo (esto ocurrirá tanto si el grupo se sincroniza manualmente como mediante la tarea automatizada, y esta configuración afectará a todos los grupos sincronizados, siempre que la dirección de la sincronización sea de Rock a Entra).

Nota

Las opciones de esta sección afectan a todos tus grupos sincronizados que transfieren datos de Rock a Entra.

Para activar esta función y configurar los ajustes, ve a Herramientas de administración > Complementos instalados > Entra Group Sync y haz clic en el botón «Configuración de contactos» situado en la esquina superior derecha.

Nota

No podrás configurar ninguna de las opciones de esta pantalla hasta que las actives marcando la casilla «Habilitar sincronización de información de contacto».

Opciones de configuración:

  1. Habilitar la sincronización de la información de contacto: es necesario seleccionar esta opción para habilitar la sincronización de la información de contacto.
  2. Nombre: el campo «Nombre» de Entra se asociará bien al campo «Nombre» o al campo «Apodo» de Rock. Esta configuración determina cuál de los dos.
  3. Título del puesto: esta configuración solo es efectiva cuando los datos se envían de Rock a Entra. No tendrá ningún efecto cuando la sincronización se realice en sentido contrario. Puedes seleccionar un valor de «Atributo de persona» o una expresión de Lava para controlar el valor que se envía a Entra.
  4. Departamento: esta configuración solo es efectiva cuando los datos se envían de Rock a Entra. No tendrá ningún efecto cuando la sincronización se realice en sentido contrario. Puedes seleccionar un valor de «Atributo de persona» o una expresión de Lava para controlar el valor que se envía a Entra.
  5. Office: esta configuración solo es efectiva cuando los datos se envían de Rock a Entra. No tendrá ningún efecto cuando la sincronización se realice en sentido contrario. Puedes seleccionar un valor de «Atributo de persona» o una expresión de Lava para controlar el valor que se envía a Entra.
  6. Empresa: esta configuración solo es efectiva cuando los datos se envían de Rock a Entra. No tendrá ningún efecto cuando la sincronización se realice en sentido contrario. Puedes seleccionar un valor de «Atributo de persona» o una expresión de Lava para controlar el valor que se envía a Entra.
  7. Tipo de teléfono de la oficina: esta configuración determina qué tipo de teléfono Rock se utiliza para sincronizarse con el teléfono de la oficina o de la empresa en Entra.
  8. Tipo de teléfono móvil: esta configuración determina qué tipo de teléfono Rock se utiliza para sincronizar con el teléfono móvil en Entra.

Nota

Los campos de puesto (cargo, departamento, oficina y empresa) solo se pueden configurar para sincronizar datos de Rock a Entra. No tienen ningún efecto cuando se sincronizan datos de Entra a Rock.

Advertencia

La API de Microsoft Graph no permite modificar los números de teléfono de un usuario que tenga privilegios administrativos en tu inquilino de Entra. Se trata de una limitación intencionada por motivos de seguridad (esos números de teléfono pueden utilizarse para la recuperación de cuentas). Si habilitas la sincronización de esos campos y se da esta situación, dichos campos no se modificarán en Entra (pero el resto de la información de la persona se sincronizará correctamente).

Advertencia sobre las configuraciones de grupo y la sincronización de la información de contacto

Consejo

Recomendamos evitar situaciones en las que un mismo registro se sincronice en ambas direcciones.

Es posible configurar los grupos de tal manera que un usuario se sincronice en ambas direcciones al incluirlo en varias configuraciones de sincronización de grupos. En otras palabras, un mismo usuario podría estar en un grupo que hayas configurado para enviar datos desde Rock a Entra y en otro grupo que hayas configurado para recibir datos desde Entra a Rock. Recomendamos evitar esta situación, aunque puede haber casos en los que se configure la sincronización de esta forma de manera intencionada. En ese caso, si ha configurado la sincronización de la información de contacto, los datos de Rock pasarán a ser el «registro maestro», ya que la información de contacto solo se sincroniza en esa dirección. Esto significa que los cambios que realice directamente en Entra se sobrescribirán, por lo que deberá realizar cualquier modificación en la información de contacto de la persona en Rock.

Hay una excepción a esta regla: la API de Microsoft Graph no permite actualizar los números de teléfono de un administrador (teléfono de la oficina y teléfono particular) en Entra. Esta limitación se debe a que dichos valores se utilizan en el proceso de recuperación de la cuenta de Entra y, si se permitieran modificaciones externas de los mismos, se podría impedir que los administradores recuperaran su cuenta, lo que daría lugar a que quedaran bloqueados y podría suponer un riesgo de seguridad en caso de que la aplicación externa se viera comprometida.

[Opcional] Configurar el inicio de sesión único (SSO)

Configurar la función de inicio de sesión único del complemento permitirá a los usuarios iniciar sesión en Rock con sus credenciales de Entra. Para habilitar esta función, debes configurar una redirección de la aplicación en el registro de tu aplicación de Entra.  Para obtener más información al respecto, consulta el paso 1 de la configuración previa a la instalación que aparece al principio de este documento. No pasa nada si no introdujiste la URL cuando configuraste el complemento por primera vez; puedes añadirla cuando estés listo editando la configuración de tu registro de aplicación.

Para habilitar y configurar el proveedor de autenticación Entra (en Rock) que instala el complemento, ve a Herramientas de administración > Seguridad > Servicios de autenticación y selecciona el proveedor «Entra».

Opciones de configuración:

  • Activo: esta opción debe establecerse en «Sí» para habilitar la autenticación de Entra.
  • Está configurado para la autenticación de dos factores (2FA): esta opción debe establecerse en «Sí» si la autenticación de dos factores (2FA) está habilitada en Rock y Entra está configurado para gestionar la autenticación multifactorial fuera de Rock. Si se establece en «No» y Rock requiere la autenticación de dos factores, los usuarios no podrán utilizar Entra para autenticarse.

Configuración de la página de redireccionamiento de SSO

Lo segundo que tienes que hacer es crear una nueva página en Rock (Herramientas de administración > Configuración del CMS > Páginas), y probablemente también te interese crear una ruta para ella (Herramientas de administración > Configuración del CMS > Rutas) para poder acceder a ella mediante una URL amigable (como http://my.church/sso) en lugar de la URL predeterminada de la página.  A efectos de este documento, daremos por hecho que sabes cómo hacer esta parte, pero siempre puedes consultar la documentación de Rock si necesitas refrescar la memoria. En concreto, te recomendamos que empieces por la sección «Configuración del CMS» de la Guía del administrador de Rock para obtener una breve visión general, o puedes profundizar en todos los detalles en «Diseño y creación de sitios web con Rock».

Una vez que hayas creado tu página y la ruta, tendrás que añadir el bloque «Inicio de sesión personalizado» a la página; lo encontrarás en la categoría Triumph Tech > Entra.

Una vez que hayas añadido el bloque a tu página, debes configurar los siguientes ajustes en el bloque:

  • Lista de opciones de inicio de sesión
    • Esta opción te permite configurar varias opciones de inicio de sesión especificando el texto del botón (a la izquierda) e introduciendo una URL o el nombre completo del proveedor de autenticación (a la derecha). Para que los usuarios puedan iniciar sesión a través de Entra, deberás introducir el nombre completo del proveedor de autenticación de Entra, que es «tech.triumph.AzureAD.Security.Authentication.AzureAD».
  • Página de éxito
    • Aquí es donde se redirige a los usuarios tras iniciar sesión correctamente, si no se ha especificado ningún parámetro de retorno en la URL. Si hay un parámetro de retorno, el usuario será redirigido a esa página (al igual que en el inicio de sesión estándar).
  • Página no encontrada
    • Aquí es donde se redirige a los usuarios tras un intento fallido de inicio de sesión.

Nota

Este bloque se ha diseñado para funcionar con otros métodos de inicio de sesión, pero aquí solo utilizamos Entra.

Notas de la versión

  • v1.8
    • Se ha solucionado un problema por el que el usuario siempre era redirigido a la página de confirmación tras iniciar sesión correctamente, incluso cuando se especificaba un parámetro de retorno en la URL.
    • Se ha solucionado un problema por el que la URL de retorno se codificaba dos veces al redirigir tras iniciar sesión correctamente.
  • v1.7
    • Funcionalidad de búsqueda mejorada para los usuarios de Entra que ya figuran en Rock.
  • v1.6
    • Se ha actualizado «Azure AD» a «Entra» para adaptarlo al cambio de nombre de Microsoft.
  • v1.5
    • Se ha aplicado una solución más fiable para el problema por el que la página de configuración del complemento se bloqueaba por agotamiento del tiempo de espera.
  • v1.4
    • Se ha solucionado un problema por el que la página de configuración del complemento no se cargaba y, finalmente, se producía un error de tiempo de espera.
  • v1.3
    • Se ha añadido la compatibilidad con la autenticación de dos factores.