Federación e inicio de sesión único para el portal de ClientNet

Symantec utiliza Okta para el inicio de sesión único (SSO) y la federación de cuentas de usuario.Okta es un proveedor de identidades (IdP) que ofrece autenticación de usuario como servicio. Los clientes de Email Security.cloud pueden optar por registrarse con Okta utilizando cualquier dirección de correo electrónico válida o federar su proveedor de identidades corporativo con Okta.
Antes de la versión de febrero de 2021,
los usuarios iniciaban sesión en ClientNet mediante uno de los dos métodos siguientes:
Nombre de usuario y contraseña
Este método utiliza ClientNet para crear y almacenar credenciales para los usuarios. Los administradores crean y eliminan cada cuenta, y también asignan roles a los usuarios. ClientNet almacena y administra la información de autentificación, y los usuarios deben administrar sus credenciales además de todas sus otras credenciales para otros productos y servicios de Symantec.
Para mejorar la seguridad (al permitir a los clientes controlar sus propios datos de autenticación de usuario) y mejorar la experiencia de usuario (al proporcionar el SSO), este método se está eliminando gradualmente. La eliminación es gradual con el fin de permitir que los clientes planifiquen y configuren el SSO o la federación de Okta con un IdP compatible con Okta. Una vez finalizada la migración, los clientes pueden seguir utilizando estas credenciales para llamar a las API y utilizar las herramientas independientes (esto se denomina cuenta de
Servicio
), pero no las pueden utilizar para iniciar sesión en ClientNet.
Cuenta de Symantec
Este método ha utilizado originalmente el inicio de sesión de Norton Secure para proporcionar una experiencia de inicio de sesión único a los clientes que utilizan varios productos y servicios de Symantec. Con la nueva versión, este método ahora utiliza la tecnología de Okta para activar la funcionalidad de SSO.
A partir de la versión de febrero de 2021,
cuando un usuario existente inicia sesión en el portal de ClientNet por primera vez, se muestra automáticamente un asistente para la migración. El asistente ayuda a los usuarios con el proceso único de vincular sus cuentas de ClientNet actuales al SSO o cuentas federadas. Puesto que las respuestas de los usuarios a las indicaciones del asistente variarán en función de si su organización tiene previsto utilizar cuentas de Symantec para el SSO o para federarse mediante un IdP diferente de Okta, es buena idea determinar su estrategia tan pronto como sea posible después de que el SSO/federación esté disponible. Su organización debe decidir si desea implementar:
Nombre de usuario y contraseña (temporal)
Permite el acceso tradicional de ClientNet sin SSO ni federación. ClientNet almacena y administra los datos de autenticación del usuario. Los usuarios pueden hacer clic en el botón
Decidir más tarde
del asistente de migración para posponer la migración hasta que su organización esté preparada para implementar cuentas de Symantec o la federación.
Cuenta de Symantec (SSO basado en Okta)
Permite a los usuarios iniciar sesión mediante una sola combinación de nombre de usuario/contraseña que se comparte entre todos los productos y servicios de Symantec.El nombre de usuario siempre es una dirección de correo electrónico y todos los usuarios únicos deben tener una cuenta. Okta almacena y administra los datos de autentificación de los usuarios.
SSO/federación mediante un IdP diferente compatible con Okta
Permite a los usuarios iniciar sesión mediante un único nombre de usuario/contraseña compartido en todos los productos de Symantec. El IdP almacena y administra los datos de autenticación de los usuarios.
Configuración del SSO con Okta
Debido a que Okta ya es la tecnología subyacente que se utiliza para iniciar sesión en las cuentas de Symantec, no es necesario que configure Okta (como lo hace para un IdP de partner). Después de que todos los usuarios hayan utilizado el asistente para migrar a cuentas de Symantec y se hayan agregado nuevos usuarios y tengan sus roles configurados, se completarán las tareas de configuración y migración.Después de configurar el inicio de sesión de la cuenta de Symantec, puede utilizarse para otros productos de Symantec. Si un usuario ya tiene un inicio de sesión existente para un producto de Symantec diferente, podrá continuar usando ese inicio de sesión en lugar de configurar una nueva cuenta para Email Security.cloud.
Configuración de la federación con un IdP de partner
Se puede configurar la federación con su propio IdP, siempre que sea compatible con Okta. Consulte el sitio web de Okta en www.okta.com para confirmar que su IdP de partner es compatible.
La federación con un IdP de partner debe iniciarse abriendo un ticket de soporte. Se puede hacer esto dentro de ClientNet haciendo clic en la ficha
Soporte
a la derecha de cada página del portal. También se puede acceder a Soporte directamente navegando a https://support.broadcom.com/security y haciendo clic en
Administración de casos
. Debe estar conectado al Id. del sitio que incluye Email Security.cloud como producto.
Cuando se abre un ticket de soporte para solicitar la federación, se debe proporcionar:
  • Los dominios de correo electrónico para sus usuarios
  • Un fragmento del XML que contiene metadatos sobre el IdP que proporciona el IdP
  • Asignaciones de atributos para los atributos estándar dentro del IdP de Broadcom:
    • Los dominios de correo electrónico para sus usuarios
    • Dirección de correo electrónico
    • Nombre
    • Apellido(s)
    • Grupos: una lista de grupos de seguridad o acceso a los que un usuario específico debe pertenecer
    • PartnerUserId: el ID de usuario único en el IdP federado
Migración de usuarios existentes de ClientNet al SSO/federación
Cuando un usuario existente inicia sesión en el portal de ClientNet por primera vez después de que el SSO/federación esté disponible, se muestra automáticamente un asistente para la migración. El asistente ayuda a los usuarios con el proceso único de vincular sus cuentas de ClientNet actuales al SSO/ cuentas federadas. El asistente detecta la información sobre el estado actual de la autenticación del usuario y guía al usuario en estas situaciones:
  • Duplicado:
    Si el usuario tiene una cuenta compartida, haga clic en este botón para crear una cuenta duplicada vinculada a la dirección de correo electrónico del usuario.Esto permite que los otros usuarios que comparten la cuenta sigan la misma ruta de migración de modo que todas las cuentas recién creadas tengan el mismo nivel de acceso.
  • Vincular cuentas:
    Si el usuario tiene una cuenta (federada) de Symantec, haga clic en este botón para vincular esta cuenta de ClientNet con la cuenta de Symantec del usuario.
  • Vincular a otra cuenta:
    Si el usuario no tiene una cuenta (federada) de Symantec vinculada a esta dirección de correo electrónico, pero tiene una cuenta vinculada a una dirección de correo electrónico diferente, haga clic en este botón para vincular el usuario a esa otra cuenta (federada) de Symantec.
  • Crear nueva:
    Si el usuario no tiene una cuenta (federada) de Symantec, haga clic en este botón para crear una nueva cuenta usando la dirección de correo electrónico existente o escriba una dirección de correo electrónico diferente para el usuario.
Como el asistente se muestra solamente para los usuarios existentes, no es necesario que los administradores configuren la cuenta del portal de un usuario actual. Los usuarios existentes no necesitan tener roles ni privilegios asignados. Se conservan sus roles anteriores.
Si el asistente no se muestra porque el usuario ya ha migrado a Okta, se puede forzar al asistente para que se muestre haciendo clic en
Anular asociación de inicio de sesión
en la página
Perfil
.
Creación de cuentas federadas para los nuevos usuarios de ClientNet
Los usuarios que son nuevos en ClientNet (o que se han federado recientemente) deben tener cuentas creadas para ellos por un administrador para poder asignar sus roles de acceso.
Crear un nuevo usuario
  1. En el portal, vaya a
    Panel de información > Administración > Administración de usuarios
    y haga clic en
    Crear nuevo usuario
    .
  2. En la ficha
    Detalles del usuario
    , asegúrese de que
    Usuario federado
    esté seleccionado.
    Usuario federado
    no aparece hasta que el
    Inicio de sesión federado solamente
    se aplica a nivel de portal. Si aún no está aplicando los inicios de sesión federados, la única opción es seleccionar
    Usuario del portal
    y, a continuación, ignorar el correo electrónico de activación de la cuenta.
    Se debe seleccionar
    Usuario del servicio
    solamente cuando vaya a usar las credenciales que está agregando para llamar a las API y usar las herramientas independientes relacionadas con ClientNet.Las credenciales de usuario del servicio no se pueden usar para acceder al portal de ClientNet.
  3. Introduzca el nombre, los apellidos, la dirección de correo electrónico (la dirección de correo electrónico de inicio de sesión federado), el idioma y la zona horaria para el usuario.
  4. Especifique si el usuario está habilitado o deshabilitado. Deshabilitar un usuario le permite evitar temporalmente que el usuario acceda al portal sin tener que eliminar permanentemente la cuenta del usuario.
  5. Especifique si el usuario puede administrar otros usuarios. (Seleccione
    si el usuario que va a agregar es un administrador).
  6. Seleccione
    Vínculo a una cuenta existente de Symantec
    en la parte inferior de la página.
  7. Haga clic en
    Guardar y salir
    .
Ahora que ha creado la cuenta del portal para un nuevo usuario de ClientNet, el siguiente paso consiste en asignar roles para ese usuario.
Asignación de roles a un usuario nuevo o recién federado
  1. En el portal, vaya a
    Panel de información > Administración > Administración de usuarios.
  2. Haga clic en la ficha
    Roles del usuario
    .
  3. Haga clic en
    Utilizar rol estándar
    .
  4. Seleccione el tipo de rol para aplicarle a este usuario.
  5. Haga clic en
    Agregar rol
    .
El rol se detalla ahora en la ficha
Roles del usuario
.
Aplicación de los inicios de sesión federados a nivel de portal
Una vez que se ha configurado el SSO/federación con Okta o un IdP de partner y se han migrado todos los usuarios, el paso final consiste en aplicar la federación a nivel de portal.
La aplicación de la federación
deshabilita
automáticamente el resto de métodos de inicio de sesión para los usuarios de ese portal. No realice los pasos que se indican a continuación hasta que haya configurado la federación con su IdP y todos los usuarios hayan utilizado el asistente de migración para vincular sus cuentas previas a la federación a las federadas.
Habilitar o deshabilitar la federación
  1. En el portal de ClientNet, vaya a
    Panel de información > Administración > Control de acceso
    .
  2. Utilice el control deslizante para activar o desactivar la federación para todos los usuarios del portal de ClientNet.
Consulte también