icon

SSO: ¿Qué es el inicio de sesión único? Servicio SSO universal para empresas

Single Sign-on Service

 

Contenido

Qué significa SSO y cómo funciona

Desventajas y ventajas del inicio de sesión único

Ejemplos de inicio de sesión único

Servicio SSO universal de Hideez

Ejemplo de configuración de ASA AnyConnect VPN para Hideez Enterprise Server a través de SAML

Configurar HES como IdP

Configurar ASA para SAML a través de CLI

Agregar el proveedor de servicios a HES

Verificación final

Problemas comunes

Resolución de problemas

 

Al navegar por una aplicación o un sitio web, probablemente haya visto la opción para iniciar sesión con Facebook o GoogleY lo siguiente que sabes es que mágicamente has iniciado sesión en el sitio web de terceros sin siquiera crear una cuenta.

No es magia, es una tecnología de inicio de sesión único o SSO¿Qué es, cómo funciona y por qué tantas organizaciones modernas lo usan por razones de seguridad?

Qué significa SSO y cómo funciona

El inicio de sesión único es un proceso de autenticación de usuario que les permite acceder a varias aplicaciones con un conjunto de credenciales de inicio de sesión, como un nombre de usuario y una contraseña.Esto significa que una vez que un usuario inicia sesión, no tiene que iniciar sesión repetidamente para cada aplicación vinculada a este sistema.

En realidad, el inicio de sesión único es un acuerdo de gestión de identidad federada entre tres entidades: 

  • Usuarios  Las personas individuales necesitan acceder a diferentes serviciosDeben poder administrar información personal, como su nombre de usuario o contraseña, y deben ser identificables de forma única.
  • Proveedores de servicios (SP) Tradicionalmente, estos son sitios web y aplicaciones a los que los usuarios quieren acceder, pero pueden incluir todo tipo de productos y servicios como acceso WiFi, su teléfono o dispositivos de "Internet de las cosas"
  • Proveedores de identidad (IdP) Bases de datos que almacenan las identidades de los usuarios que luego se pueden federar en varios recursos de TITambién pueden almacenar muchas instancias de la identidad del usuario, que contienen información como nombres de usuario, contraseñas, claves SSH, información biométrica y otros atributos.Uno de los proveedores de identidad más populares en la actualidad es Microsoft Active Directory, que fue diseñado para administrar nombres de usuario y contraseñas de Windows y conectarlos a recursos de TI basados ​​en Windows en las instalaciones.

Para que SSO funcione, la mayoría de las aplicaciones se basan en protocolos estándar abiertos para definir cómo los proveedores de servicios y los proveedores de identidad pueden intercambiar información de identidad y autenticación entre sí. Los protocolos más comunes son SAML, OAuth y OpenID Connect (OIDC) que permiten de forma segura que un servicio acceda a datos de otro

Hoy, podemos ver una tendencia que las empresas están empezando a notar: el trabajo remoto desde casa significa que más usuarios tienen que iniciar sesión en sus cuentas a través de Internet para acceder a información importanteY este es todo el nuevo reino de los posibles vectores de ataque.Los delincuentes ya lo saben y se están aprovechando de elloPor lo tanto, cada vez más empresas comienzan a abordar esas nuevas amenazas mediante la implementación de soluciones de SSO.

Desventajas y ventajas del inicio de sesión único

La principal ventaja de SSO es la excelente experiencia de usuario y la comodidad que brinda a los usuariosTienen contraseñas mínimas para recordar, agiliza el proceso de inicio de sesión y reduce las posibilidades de phishing

SSO es especialmente bueno para las empresas que operan de forma remota debido a COVID-19 porque los servicios de inicio de sesión único brindan la autenticación más segura y fácil de usar para inicios de sesión remotos.El uso de SSO también puede ser parte de un sistema de gestión de acceso integrado para un aprovisionamiento y desaprovisionamiento de usuarios más rápido

Por otro lado, SSO presenta riesgos porque crea un único punto de falla que los atacantes pueden aprovechar para obtener acceso a otras aplicaciones.Además, al igual que muchas herramientas de TI, SSO requiere una implementación y una configuración que pueden ser bastante costosas.

Muchos proveedores de SSO cobran individualmente por función, por lo que las tarifas se suman rápidamente y pueden convertirse en una pesada carga para el presupuesto de las pequeñas o medianas empresas.

De todos modos, creemos que la conveniencia de SSO vale la pena todas las deficiencias que trae

Ejemplos de inicio de sesión único

Un ejemplo típico y bueno de inicio de sesión único es GoogleCualquier usuario que inicie sesión en uno de los servicios de Google inicia sesión automáticamente en otros servicios como Gmail, Google Drive, Youtube, Google Analytics, etc.

El inicio de sesión único suele utilizar un servicio central que organiza el inicio de sesión único entre varios clientes, que en el caso de Google son las cuentas de Google.

Pasando a la seguridad empresarial, hoy en día hay muchos productos y servicios de inicio de sesión único para empresasPor lo general, son administradores de contraseñas con componentes de cliente y servidor que registran al usuario en las aplicaciones de destino reproduciendo las credenciales del usuario.

Hideez Authentication Service es un ejemplo de soluciones SSO segurasUno de los beneficios exclusivos de Hideez SSO es que permite combinar métodos básicos de autenticación (nombre de usuario/contraseña + contraseña de un solo uso) con inicios de sesión totalmente sin contraseña (tokens FIDO2 o aplicación móvil)

Entonces, ¿cómo funciona el inicio de sesión único de Hideez?

Paso 1 El usuario accede a cualquier proveedor de servicios, imiaplicación compatible con protocolos SAML u OpenID;

Paso 2 El proveedor de servicios envía una solicitud SAML/OIDC al Servidor Hideez, y el usuario es redirigido automáticamente al servidor Hideez;

Single Sign-on Service

Paso 3 Se solicita al usuario que complete los datos de inicio de sesión o seleccione uno de los métodos de autenticación disponibles: una clave de seguridad de hardware (Ybikekey, multifuncional Hideez Key o cualquier otro token de seguridad físico), o Hideez Authenticator aplicación móvil;

Paso 4 El servidor Hideez envía un resultado de autenticación al proveedor de servicios y redirige al usuario a la aplicación inicial

Paso 5 Un usuario se autentica, probablemente sin darse cuenta de nada excepto por algunas llamadas de redireccionamiento en la barra de URL de su navegador.

Servicio SSO universal de Hideez

Hideez Single Sign-On Service es un proveedor de identidad (IdP) SAML que agrega SSO a Windows Active Directory usando SAML 20 federaciónLos administradores pueden configurar el inicio de sesión único en cualquier aplicación web o móvil que admita los estándares OpenID Connect o SAML Y además de eso, ¡hacemos SSO completamente sin contraseña!

A diferencia de SSO con inicios de sesión tradicionales basados ​​en contraseña, Hideez SSO puede eliminar contraseñas y reemplazarlas con FIDO2/aplicación móvil experiencia sin contraseña, cuando sea posibleIncluso si algunas de sus aplicaciones no son compatibles con los estándares SAML u OIDC y no se pueden hacer completamente sin contraseña, puede usar Hideez Key como administrador de contraseñas de hardware y completar automáticamente las credenciales de inicio de sesión con solo presionar el botón.

Puede elegir el factor de autenticación que sea más conveniente para sus empleados:

  • Teléfonos inteligentesHideez Authenticator es una aplicación SSO para dispositivos Android e iOSPuede convertir los teléfonos inteligentes de los usuarios en fichas de hardware sin contraseña que reemplazan sus nombres de usuario y contraseñas con un inicio de sesión seguro basado en códigos QR únicos utilizando verificación biométrica o verificación del código PIN en el teléfono inteligente del usuario final
  • Claves de seguridad de hardwareLos tokens Hideez Key son dispositivos multifuncionales Bluetooth/NFC/USB protegidos por un PINPuede usarlos para iniciar sesión en servicios sin contraseñas basados ​​en el estándar FIDO2, almacenar credenciales para inicios de sesión basados ​​en contraseñas, generar contraseñas de un solo uso para 2FA e incluso bloquear o desbloquear Windows computadoras basadas en la proximidad del dispositivo

Hideez Enterprise Server se integra con Microsoft Active Directory, Azure Active Directory y los sistemas de identidad LDAP para simplificar la incorporación y la administración de usuarios Sus empleados pueden usar una sola aplicación SSO para acceder a todas las cosas, lo que hace que Hideez SSO Service sea muy fácil de usar.Sin mencionar que no tiene que recordar las credenciales de inicio de sesión o pensar en prevenir el phishing y los robos de identidad.

Hideez supera a todos los competidores actuales en conveniencia y precio, y ofrece total conformidad con los estándares de autenticación más estrictos, como GDPR, NIST, PSD2, PSI-DSS e HIPAAAl tomar medidas de precaución con mucha anticipación, puede ahorrar mucho dinero y tiempo a largo plazo.

Programe una demostración o solicite una prueba gratuita de 30 días de Hideez ¡SSO y capture el futuro de la seguridad sin contraseña!

 

Ejemplo de configuración de ASA AnyConnect VPN para Hideez Enterprise Server a través de SAML

Hideez Enterprise Server (HES) es compatible con SAML 20 (Security Assertion Markup Language) estándar para la autenticación de usuariosHES es un IdP (proveedor de identidad) que habilita SSO para todas las aplicaciones web (SP, proveedor de servicios) compatibles con SAML

Dado que HES admite la autorización sin contraseña FIDO2, los proveedores de servicios obtienen automáticamente la capacidad de autorizar con claves de seguridad de hardware sin tener que crear e ingresar contraseñas.

Requisitos

Cisco recomienda que tenga conocimiento de estos temas:

  • Conocimiento básico de la configuración de RA VPN en ASA
  • Conocimientos básicos de SAML y Microsoft Active Directory
  • Licencias AnyConnect habilitadas (APEX o solo VPN)

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Hideez servidor empresarial 39+
  • Directorio Activo de Microsoft
  • Cisco ASA 97+ y Anyconnect 46+
  • Perfil de trabajo de AnyConnect VPN

La información de este documento se creó a partir de los dispositivos en un entorno de laboratorio específicoTodos los dispositivos utilizados en este documento comenzaron con una configuración borrada (predeterminada)Si su red está activa, asegúrese de comprender el impacto potencial de cualquier comandoTambién puede asignar usuarios a roles de aplicación específicos según las reglas que defina en su configuración en Active Directory, Cisco ASA y Anyconnect.

Información general

SAML es un marco basado en XML para intercambiar datos de autenticación y autorización entre dominios de seguridadCrea un círculo de confianza entre el usuario, un proveedor de servicios (SP) y un proveedor de identidad (IdP) que le permite al usuario iniciar sesión una sola vez para múltiples servicios.Hideez Enterprise Server se integra a la perfección con el dispositivo Cisco ASA VPN para brindar seguridad adicional para los inicios de sesión de Cisco AnyConnect VPN

Componentes SAML

Metadatos: es un documento basado en XML que garantiza una transacción segura entre un IdP y un SPPermite al IdP y SP negociar acuerdos

Roles admitidos por los dispositivos (IdP, SP)

Un dispositivo puede admitir más de una función y puede contener valores tanto para un SP como para un IdPDebajo del campo EntityDescriptor hay un IDPSSODescriptor si la información contenida es para un IdP de inicio de sesión único o un SPSSODescriptor si la información contenida es para un SP de inicio de sesión únicoEsto es importante ya que se deben tomar los valores correctos de las secciones correspondientes para configurar SAML con éxito.

ID de entidad: Este campo es un identificador único para un SP o un IdPUn solo dispositivo puede tener varios servicios y puede usar diferentes ID de entidad para diferenciarlosPor ejemplo, ASA tiene ID de entidad diferentes para diferentes grupos de túneles que deben autenticarseUn IdP que autentica cada grupo de túneles tiene entradas de ID de entidad separadas para cada grupo de túneles a fin de identificar con precisión esos servicios.

ASA puede admitir múltiples IdP y tiene una identificación de entidad separada para cada IdP para diferenciarlosSi cualquiera de los lados recibe un mensaje de un dispositivo que no contiene una ID de entidad que se haya configurado previamente, es probable que el dispositivo descarte este mensaje y la autenticación SAML falle.El ID de la entidad se puede encontrar en el campo EntityDescriptor al lado del ID de la entidad.

URL de servicio: Estos definen la URL de un servicio SAML proporcionado por el SP o IdPPara los IdP, esto suele ser el servicio de cierre de sesión único y el servicio de inicio de sesión único.Para los SP, esto suele ser el Servicio de Consumidor de Aserciones y el Servicio de Cierre de Sesión Único

El SP utiliza la URL del servicio de inicio de sesión único que se encuentra en los metadatos del IdP para redirigir al usuario al IdP para la autenticación.Si este valor está configurado incorrectamente, el IdP no recibe o no puede procesar con éxito la solicitud de autenticación enviada por el SP

El IdP utiliza la URL del servicio de aserción al consumidor que se encuentra en los metadatos del SP para redirigir al usuario al SP y proporcionar información sobre el intento de autenticación del usuario.Si esto está configurado incorrectamente, el SP no recibe la aserción (la respuesta) o no puede procesarla con éxito.

La URL del servicio de cierre de sesión único se puede encontrar tanto en el SP como en el IdPSe utiliza para facilitar el cierre de sesión de todos los servicios SSO del SP y es opcional en el ASACuando la URL del servicio SLO de los metadatos del IdP está configurada en el SP, cuando el usuario cierra la sesión del servicio en el SP, el SP envía la solicitud al IdPUna vez que el IdP ha cerrado la sesión del usuario de los servicios, lo redirige al SP utilizando la URL del servicio SLO que se encuentra en los metadatos del SP.

Enlaces SAML para URL de servicio: los enlaces son el método que utiliza el SP para transferir información al IdP y viceversa para los servicios.Esto incluye HTTP Redirect, HTTP POST y ArtifactCada método tiene una forma diferente de transferir datos.El método de vinculación admitido por el servicio se incluye dentro de la definición de ese servicio.Por ejemplo: SingleSignOnService Binding="urn:oasis:names:tc:SAML:20: enlaces: redirección HTTP" Location="https://samlejemplocom/simplesaml/saml2/idp/SSOServicephp"/ >El ASA no es compatible con la vinculación de artefactosASA siempre usa el método de redirección HTTP para las solicitudes de autenticación SAML, por lo que es importante elegir la URL del servicio SSO que usa el enlace de redirección HTTP para que el IdP espere esto.

Certificados para operaciones de firma y cifrado

Para brindar confidencialidad e integridad a los mensajes enviados entre el SP y el IdP, SAML incluye la capacidad de cifrar y firmar los datos.El certificado utilizado para cifrar y/o firmar los datos se puede incluir dentro de los metadatos para que el extremo receptor pueda verificar el mensaje SAML y asegurarse de que proviene de la fuente esperada.Los certificados utilizados para la firma y el cifrado se pueden encontrar dentro de los metadatos en KeyDescriptor use="signing" y KeyDescriptor use="encryption", respectivamente, luego X509CertificateEl ASA no admite el cifrado de mensajes SAML

 

Configurar HES como IdP

Paso 1Establecer la configuración del proveedor de identidad

Los IdP y los proveedores de servicios deben intercambiar certificados de clave pública, direcciones para solicitudes y otros parámetros para establecer una aceptación entre ellos.

Un certificado en el “pfx” ​​el formato es necesario para el trabajo del protocolo SAMLSe puede generar, por ejemplo, a través de una aplicación OpenSSL o utilizando un certificado existenteEl archivo del certificado debe copiarse en el servidor HES (p.gramola carpeta con archivos binarios y configuraciones)

Inicie sesión en el servidor HES, luego vaya a Configuración -> Parámetros -> SAMLLuego presione el botón [Establecer configuración de IdP]:

Seleccione supfx e ingrese la contraseña para elpfxTambién debe seleccionar el algoritmo apropiado:

SignatureAlgorithm - un algoritmo de firmaDebe coincidir con el algoritmo con el que se estableció el certificado pfxLas posibles opciones son SHA1, SHA256, SHA384, SHA512

Paso 2Obtener archivo de metadatos HES

En la misma página (Configuración -> Parámetros -> SAML), después de configurar elcertificado pfx puede:

  • Ver metadatos · Descargar metadatos · Descargar el certificado de clave pública

Los metadatos son un archivo XML que contiene toda la información necesaria sobre la configuración de IdP y el certificado de clave públicaASA le permite importar metadatos de IdP al configurar SAML, lo que simplifica la configuraciónTambién puede descargar un certificado por separado, si es necesario, o ver todos los metadatos en la pantalla

Para los próximos pasos, debe descargar el archivo de metadatos y los archivos del certificado.

 

Configurar ASA para SAML a través de CLI

Paso 1Crea un Trustpoint e importa nuestro certificado SAML

# configuración t

# crypto ca punto de confianza HES-SAML

verificación de revocación ninguna

sin uso de ID

terminal de inscripción

sin control ca

# crypto ca autenticar HES-SAML

-----INICIAR CERTIFICADO-----

Texto del certificado IdP de HES que descargó en el paso anterior

-----FIN DEL CERTIFICADO-----

# salir

 

Paso 2 Aprovisione su IdP de SAML

#webvpn

# saml idp https://ejemploocultares/

# URL de inicio de sesión https://ejemploocultarcom/Saml/Iniciar sesión

# cierre de sesión de URL https://ejemploocultarcom/Saml/Cerrar sesión

# trustpoint idp HES-SAML - [Punto de confianza de IdP]

# trustpoint sp ASA-EXTERNAL-CERT - [SP Trustpoint]

# ninguna reautenticación forzada

# sin firma

# URL-base https://asaejemplocom

 

Paso 3 Aplicar autenticación SAML a una configuración de túnel VPN

# grupo-túnel NOMBRE-GRUPO-TÚNEL atributos webvpn

proveedor de identidad saml https://ejemploocultares/

muestra de autenticación

# fin

# memoria de escritura

 

Paso 4 Obtener archivo de metadatos SAML ASA

Ejecute el siguiente comando:

# mostrar metadatos saml TUNNEL-GROUP-NAME

Luego copie el texto de los metadatos en un archivo xml y guárdelo

Nota: si realiza cambios en la configuración de IdP, debe eliminar la configuración del proveedor de identidad saml de su grupo de túneles y volver a aplicarla para que los cambios entren en vigencia.

 

Agregar el proveedor de servicios a HES

Inicie sesión en el servidor HES, luego vaya a Configuración -> Parámetros -> SAMLLuego presione el botón [Agregar proveedor de servicios]

En el siguiente formulario puede agregar un archivo de metadatos o completar todos los parámetros manualmente:

  • Emisor: un nombre único de SP que debe copiar de la configuración de SP o extraer del archivo de metadatos
  • Asertion Consumer Service: la dirección de inicio de sesión en el lado del proveedor de serviciosLa redirección se realiza a esta dirección después del inicio de sesión exitoso a través del servicio IdP
  • Servicio de cierre de sesión único: la dirección para cerrar sesión en la cuentaSi sale de IdP, esta URL se abre en el bucle para todos los SP
  • Certificado público x509: el certificado de clave pública del proveedor de servicios
  • Formato de identificador de nombre: el formato del campo que identifica al usuario
  • Campo de identificador de nombre - la elección del campo donde puede tomar el identificador de usuario

Dado que el IdP y el SP pueden usar diferentes identificadores para los usuarios, se necesita un mecanismo para hacer coincidir estos identificadores para establecer una correspondencia uno a uno entre los usuarios en ambos servicios.El identificador de usuario (login) en HES es su correo electrónico, aunque en otros sistemas puede ser otra cosa (p.gramouna combinación del nombre y apellido del usuario)

Si su configuración de ASA y AD acepta el correo electrónico como ID de usuario, debe configurar:

Formato de identificador de nombre - Campo de identificador de nombre de correo electrónico - Correo electrónico

Si la configuración de ASA y AD no acepta el correo electrónico como ID de usuario, debe establecer el formato que usa en el campo 'Formato de identificador de nombre' y el valor 'ID externo' en el campo 'Nombre'. Campo de identificadorLuego, debe completar el campo 'ID externo' para cada empleadoPara hacer esto, haga clic en Empleados -> 'Seleccione un empleado -> Detalles -> Editar configuración (en la sección Inicio de sesión único) -> Editar la ID externa

Después de completar y guardar todas las configuraciones, puede verificar la integración iniciando sesión en el proveedor de serviciosDebería ser redirigido a la página de autenticación de HES, donde deberá ingresar su nombre de usuario (correo electrónico) y pasar la verificación de la clave de seguridad.

 

Verificación final

Paso 1Habilitar SSO para un usuario en HES

Los empleados no pueden iniciar sesión en el servicio HES y utilizar el servicio SSO de forma predeterminada, deben tener un permiso explícito del administradorSeleccione un empleado y haga clic en el botón [Editar]Luego haga clic en el botón [Habilitar SSO] en la página abierta para otorgar el permiso

Nota: Un empleado debe tener un correo electrónico y una clave asociada para activar el servicio SSO

El servicio SSO se habilita automáticamente y no se puede desactivar para todos los administradores de HES

Si se utiliza ID externo como campo de identificador de nombre, también debe completar este campoAbra 'Empleados' -> 'Seleccione un empleado' -> 'Editar' para editar el campo ID externo

Es posible que algunos proveedores de servicios no admitan esta función.

Paso 2Inicie sesión en un servicio web mediante SAML

Conéctese a su URL VPN y elija una de sus opciones de inicio de sesión en la ventana Hideez Enterprise Server, luego use sus credenciales para iniciar sesión:

AnyConnect está conectado:

 

Problemas comunes

1IDENTIFICACIÓN DE LA ENTIDAD DESINCORPORACIÓN

Ejemplo de depuración[SAML] consuma_asertion: el identificador de un proveedor es desconocido para #LassoServerPara registrar un proveedor en un objeto #LassoServer, debe usar los métodos lasso_server_add_provider() o lasso_server_add_provider_from_buffer()

Problema: Generalmente significa que saml idp [entityID] comando bajo la configuración webvpn de ASA no coincide con la ID de entidad IdP que se encuentra en el Metadatos de IdP

Solución: Compruebe el ID de entidad del archivo de metadatos del IdP y cambie el comando saml idp [entity id] para que coincida con este

2DESCONCORDANCIA HORARIA

Ejemplo de depuración[SAML] NotBefore:2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01896Z tiempo de espera: 0

[SAML] consuma_asertion: la afirmación ha caducado o no es válida

Problema 1La hora ASA no está sincronizada con la hora del IdP

Solución 1Configure ASA con el mismo servidor NTP utilizado por IdP

Problema 2La afirmación no es válida entre el tiempo especificado

Solución 2Modificar el valor de tiempo de espera configurado en el ASA

3SE UTILIZÓ UN CERTIFICADO DE CANTO IDP INCORRECTO

Ejemplo de depuración[Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18:los datos no coinciden:la firma no coincide

[SAML] consuma_asertion: el perfil no puede verificar una firma en el mensaje

Problema: ASA no puede verificar el mensaje firmado por el IdP o no hay firma para que ASA verifique

Solución: Verifique el certificado de firma del IdP instalado en el ASA para asegurarse de que coincida con lo que envía el IdPSi esto se confirma, asegúrese de que la firma esté incluida en la respuesta SAML

4AUDIENCIA DE AFIRMACIÓN INVÁLIDA

Ejemplo de depuración[SAML] consuma_assertion: la audiencia de afirmación no es válida

Problema: IdP está definiendo la audiencia incorrecta

Solución: Corrija la configuración de audiencia en el IdPDebe coincidir con la identificación de la entidad del ASA

5URL INCORRECTA PARA EL SERVICIO AL CONSUMIDOR DE ASERCIÓN

Ejemplo de depuración: no se puede recibir ninguna depuración después de enviar la solicitud de autenticación inicialEl usuario puede ingresar credenciales en IdP pero IdP no redirige a ASA

Problema: IdP está configurado para la URL de servicio de consumidor de afirmación incorrecta

Solución(es): Verifique la URL base en la configuración y asegúrese de que sea correctaVerifique los metadatos de ASA con show para asegurarse de que la URL del servicio de consumidor de aserciones sea correctaPara probarlo, navegue, si ambos son correctos en el ASA, verifique el IdP para asegurarse de que la URL sea correcta

5LOS CAMBIOS EN LA CONFIGURACIÓN DE SAML NO TIENEN EFECTO

Ejemplo: después de modificar o cambiar una URL de inicio de sesión único, el certificado SP, SAML aún no funciona y envía las configuraciones anteriores

Problema: ASA necesita regenerar sus metadatos cuando hay un cambio de configuración que lo afectaNo hace esto automáticamente

Solución: Después de realizar los cambios, en el grupo de túneles afectado, elimine y vuelva a aplicar el comando saml idp [entity-id]

 

Resolución de problemas

La mayoría de las soluciones de problemas de SAML implican una configuración incorrecta que se puede encontrar cuando se verifica la configuración de SAML o se ejecutan las depuraciones.debug webvpn saml 255 se puede usar para solucionar la mayoría de los problemas; sin embargo, en escenarios en los que esta depuración no proporciona información útil, se pueden ejecutar depuraciones adicionales:

¿Necesitas ayuda? Intente buscar en nuestros artículos de Knowledge Base o póngase en contacto con Soporte para obtener más ayuda

 

 

 

-->