Dominio de autenticación: cómo iniciar sesión y se gestiona su usuario

Importante

Este documento es para administrar usuarios en nuestro modelo de usuario más nuevo. Para administrar el usuario en nuestro modelo de usuario original, consulte Usuario original.

Para administrar su usuario, la organización New Relic puede configurar uno o más dominios de autenticación, que controlan cómo se agregan los usuarios a una cuenta de New Relic, cómo se autentican y más.

Dominio de autenticación

Un authentication domain es una agrupación de usuarios de New Relic regida por la misma configuración de administración de usuarios, como cómo se aprovisionan (agregan y actualizan) y cómo se autentican (iniciar sesión).

Cuando crea una organización New Relic, la configuración de autenticación predeterminada es:

Fuente del usuario: su usuario se agrega a New Relic utilizando solo nuestras herramientas de administración de usuarios (no herramientas de terceros)
Autenticación: los usuarios inician sesión con su correo electrónico y contraseña.

Esas configuraciones predeterminadas estarían bajo un dominio de autenticación. Si agregó otro dominio de autenticación, puede configurarlo así:

Fuente del usuario: los usuarios se agregan y administran desde un proveedor de identidad externo a través del aprovisionamiento SCIM.
Autenticación: el usuario inicia sesión mediante el inicio de sesión único (SSO) SAML de un proveedor de identidad.

Cuando agrega un usuario a New Relic, siempre se agrega a un dominio de autenticación específico. Normalmente las organizaciones tienen uno o dos dominios de autenticación: uno con los métodos manuales y otro para los métodos asociados con un proveedor de identidad. Obtenga más información en este breve vídeo (4:26 minutos):

Requisitos

Los dominios de autenticación sirven para administrar usuarios en nuestro modelo de usuario más nuevo. Si sus usuarios están en nuestro modelo de usuario original, consulte Cuentas originales.

Requisitos para gestionar el dominio de autenticación:

Su organización debe ser Pro o edición Enterprise para tener un dominio de autenticación editable.
Para ver o editar el dominio de autenticación, un usuario debe:
- Tener un tipo de usuario de usuario principal o usuario de plataforma completa.
- Estar en un grupo con la configuración de administración
  Authentication domain
  .
El aprovisionamiento SCIM, también conocido como gestión automatizada de usuarios, requiere Pro o edición Enterprise. Obtenga más información sobre los requisitos.
SAML SSO requiere una edición paga. Nuestro soporte SAML SSO incluye:
- Servicios de federación de Active Directory (ADFS)
- Auth0
- Azure AD (Microsoft Azure Active Directory)
- Google
- Okta
- OneLogin
- Ping Identity
- Salesforce
- Soporte genérico para sistemas SSO que utilizan SAML 2.0

Crear y configurar un dominio de autenticación

Si cumple con los requisitos, puede agregar y administrar el dominio de autenticación.

Para ver y configurar el dominio de autenticación: desde el menú de usuario, vaya a Administration > Authentication domains.

Si tienes dominio existente, estarán a la izquierda. Tenga en cuenta que la mayoría de las organizaciones tendrán, como máximo, dos o tres dominios: uno con la configuración predeterminada manual y uno o dos para la configuración asociada al proveedor de identidad.

Para crear un nuevo dominio desde la página UI del dominio de autenticación, haga clic en Create authentication domain. Para más información sobre las opciones de configuración, sigue leyendo.

Cambiar a un dominio diferente

Si tiene registros de usuario en más de un dominio de autenticación, puede cambiar entre dominios.

Fuente del usuario: cómo se agregan y administran sus usuarios

Sugerencia

Para obtener una introducción a nuestras ofertas SAML SSO y SCIM, lea Introducción a SSO y SCIM.

Desde la UIde usuario del dominio de autenticación, puede configurar una de dos opciones para el origen de sus usuarios:

Manual
(predeterminado): esto significa que sus usuarios se agregan manualmente a New Relic desde la UI
User management
.
SCIM:
Nuestra característica de administración automatizada de usuarios le permite utilizar el aprovisionamiento SCIM para importar y administrar usuarios desde su proveedor de identidad.

Notas sobre estas configuraciones:

No puedes alternar
Source of users
. Esto significa que si desea cambiar esto para un dominio de autenticación que ya se ha configurado, deberá crear uno nuevo.
Cuando habilita SCIM por primera vez, el token de portador se genera y solo se muestra una vez. Si necesita ver un token al portador más adelante, la única forma de hacerlo es generar uno nuevo, lo que invalidará el anterior y cualquier integración que utilice el token anterior.

Para saber cómo configurar SCIM, consulte Gestión automatizada de usuarios.

Método de gestión del tipo de usuario.

En Authentication Domain UI, si seleccionó SCIM como método de aprovisionamiento de usuario, tiene dos opciones para administrar el tipo de usuario de su usuario:

Manage user type in New Relic
: Esta es la opción por defecto. Le permite administrar el tipo de usuario de sus usuarios desde New Relic.
Manage user type with SCIM
: Habilitar esto significa que
you can no longer manage user type from New Relic
. Solo podrá cambiarlo y administrarlo desde su proveedor de identidad.

Más sobre estas dos opciones:

La forma predeterminada de administrar el tipo de usuario de sus usuarios es desde la UI de New Relic. Esta es la opción que usaría si no administra el tipo de usuario a través de SCIM. Las opciones de gestión que se rigen por este incluyen:

La capacidad de cambiar el tipo de usuario en la UI
User management
.
La capacidad de administrar cómo se manejan las solicitudes de actualización de tipo de usuario.

Nuestra API SCIM le permite administrar el tipo de usuario desde su proveedor de identidad en lugar de hacerlo en la UI de usuario de administración de usuarios de New Relic. When you enable this, you can no longer change or manage your users' user type from New Relic.

Para habilitar esta configuración, su dominio de autenticación Source of users debe tener SCIM habilitado.

Actualmente, tenemos instrucciones para Okta y Azure. Para otros servicios de proveedor de identidad, puede configurar su proveedor de identidad para que nos envíe información de tipo de usuario utilizando nuestras especificaciones de tipo de usuario de API SCIM.

Cómo se manejan las solicitudes de actualización de los usuarios:

Cuando habilita
Manage user type with SCIM
, la opción predeterminada es que a los usuarios con acceso limitado por tipo de usuario se les muestra un mensaje indicándoles que deben comunicarse con su gerente o departamento de TI para actualizar y desbloquear más acceso.
Opcionalmente, puede personalizar ese mensaje y agregar un enlace a una página personalizada. Por ejemplo, puede agregar un mensaje personalizado que explique cómo comunicarse con una persona o departamento específico. O puede utilizar nuestras especificaciones de API SCIM para configurar una implementación que maneje mediante programación las solicitudes de actualización de los usuarios y cambie automáticamente su tipo de usuario.

Tenga en cuenta que si utiliza nuestro modelo de usuario original, las actualizaciones funcionan de manera diferente.

Autenticación: cómo log sesión su usuario

El método de autenticación es la forma en que el usuario de New Relic log sesión en New Relic. Todos los usuarios de un dominio de autenticación tienen un único método de autenticación. Hay dos opciones de autenticación:

Nombre de usuario/contraseña (predeterminado): sus usuarios log sesión mediante correo electrónico y contraseña.
SAML SSO: su usuario log sesión a través del inicio de sesión único (SSO) de SAML utilizando su proveedor de identidad. Para aprender cómo configurarlo, sigue leyendo.

Configurar la autenticación SAML SSO

Antes de habilitar SAML SSO siguiendo las instrucciones a continuación, aquí hay algunas cosas que debe comprender y considerar:

Considere leer una introducción a New Relic SSO y SCIM.
Considere revisar los requisitos de SSO de SAML.
Considere ver un video sobre cómo configurar SAML SSO.
Tenga en cuenta que su usuario habilitado para SSO no recibirá una notificación de verificación por correo electrónico de New Relic porque la información de inicio de sesión y contraseña la maneja su proveedor de identidad.
Consulte los documentos del servicio de su proveedor de identidad porque pueden tener instrucciones específicas de New Relic.

Si está configurando el aprovisionamiento SCIM:
- Si usa Azure, Okta o OneLogin, primero siga estos procedimientos: Azure | OneLogin | Okta.
- Si utiliza un proveedor de identidad diferente, siga los procedimientos SAML a continuación y use nuestra API SCIM para habilitar SCIM.
Si only desea habilitar SAML SSO y no SCIM, y si usa Azure, Okta o OneLogin, siga estas instrucciones para configurar la aplicación correspondiente:
Azure AD proporciona una galería de aplicaciones, que incluye varias integraciones para Azure AD, incluidas las que ofrece New Relic. Agregue la aplicación New Relic SCIM/SSO a su lista de aplicaciones.
Vaya al centro de administración de Azure Active Directory e inicie sesión si es necesario. aad.portal.azure.com/
Haga clic en
All services
en el menú de la izquierda.
En el panel principal, haga clic en
Enterprise applications
.
Haga clic en
+New application
.
Encuentre nuestra aplicación SCIM/SSO ingresando
New Relic
en el cuadro de búsqueda de nombre y haga clic en la aplicación
New Relic by organization
(no en
New Relic by account
).
Haga clic en
Add
.
Agregue la aplicación New Relic SCIM/SSO a sus aplicaciones Okta.
Vaya a okta.com/ e inicie sesión con una cuenta que tenga permisos de administrador.
Desde la página de inicio de Okta, haga clic en
Admin
.
Desde el administrador de Okta
Dashboard
, elija la página
Applications
.
Haga clic en
Browse app catalog
, luego busque y seleccione "New Relic por organización".
Desde la página New Relic por Organización, haga clic en
Add
.
Desde la página Agregar New Relic por organización, marque las dos casillas de verificación
Application visibility "Do not display..."
y haga clic en
Done
. Haremos que la aplicación sea visible más adelante, una vez que se complete la configuración y haya comenzado el aprovisionamiento.
Abra la aplicación recién creada en Okta y vaya a la pestaña
Assignments
. Aquí es donde puede agregar usuarios y grupos para la autenticación.
Desde allí, vaya a la pestaña
Sign On
. Debajo de
Advanced Sign-on Settings
, verá
Authentication Domain ID
, que deberá editar este campo en el Paso 9 de las instrucciones generales a continuación. A la derecha, haga clic en
View SAML setup instructions
. En
Step 7
de estas instrucciones, puede encontrar las URL necesarias para los pasos 6 y 7 en las instrucciones generales a continuación.
Agregue la aplicación New Relic SCIM/SSO a sus aplicaciones OneLogin.
Vaya al sitio web OneLogin e inicie sesión con una cuenta que tenga permisos de administrador.
Desde la página de inicio de OneLogin, haga clic en
Administration
.
En la página de administración de OneLogin, elija el menú
Applications
.
Desde la página de la aplicación OneLogin, haga clic en
Add app
.
En el campo de búsqueda de la página Buscar aplicaciones de OneLogin, ingrese "New Relic por organización" (no "New Relic por cuenta") y luego haga clic en la aplicación cuando aparezca en los resultados de búsqueda.
Desde la página
Add New Relic by organization
, haga clic en
Save
.
- Si está implementando SAML utilizando un proveedor de identidad diferente que no se menciona anteriormente, deberá intentar realizar la integración utilizando las instrucciones de SAML que aparecen a continuación. Tenga en cuenta que su proveedor de identidad debe utilizar el protocolo SAML 2.0 y debe requerir aserciones SAML firmadas.
A continuación, accederá a UI de nuestro dominio de autenticación. En el menú de usuario, haga clic en Administration y luego haga clic en Authentication domains. Si aún no tiene uno, cree un nuevo dominio para usarlo con su usuario de autenticación SAML.
En Authentication, haga clic en Configure. En Method of authenticating users, seleccione SAML SSO.
Si usa la aplicación Okta, OneLogin o Azure AD, puede omitir este paso. En Provided by New Relic, tenemos información específica de New Relic. Deberá colocarlos en los campos correspondientes de su servicio de proveedor de identidad. Si no está seguro de adónde van, consulte los documentos de su proveedor de identidad.
En Provided by you, ingrese Source of SAML metadata. Esta URL la proporciona su proveedor de identidad y puede tener otro nombre. Debe cumplir con los estándares de metadatos SAML V2.0. Si su proveedor de identidad doesn't admite la configuración dinámica, puede hacerlo utilizando Upload a certificate. Debe ser un certificado x509 codificado con PEM.
En Provided by you, configure el SSO target URL proporcionado por su proveedor de identidad. Puede encontrarlo yendo a Source of SAML metadata y buscando la URL de enlace POST. Parece: https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml.
Si su proveedor de identidad tiene una URL de redireccionamiento para cerrar sesión, ingrésela en Logout redirect URL; de lo contrario, déjelo en blanco.
Si está utilizando una aplicación de proveedor de identidad, deberá ingresar el ID del dominio de autenticación en la aplicación. Esa identificación se encuentra en la parte superior de la página UI del dominio de autenticación de New Relic.
Opcional: en UI de usuario del dominio de autenticación de New Relic, puede ajustar otras configuraciones, como la duración de la sesión browser y el método de actualización del usuario. Puede ajustar esta configuración en cualquier momento.
Si solo habilita SAML, deberá crear grupos. (Si habilitó SCIM, ya completó este paso). Los grupos son los que le dan a su usuario acceso a las cuentas de New Relic. Sin estar asignado a grupos, su usuario está aprovisionado en New Relic pero no tiene acceso a cuentas ni roles. Para aprender cómo hacer esto:

Solo Okta: regrese a la aplicación New Relic de Okta y, desde la página
Add New Relic by organization
, desmarque las dos casillas de verificación
Application visibility "Do not display..."
y haga clic en
Done
.

Para verificar que se haya configurado correctamente, vea si su usuario puede log sesión en New Relic a través de su proveedor de identidad y asegurarse de que tenga acceso a sus cuentas.

Otras configuraciones relacionadas con el usuario

Para administrar la configuración relacionada con la sesión y si el usuario puede actualizarse automáticamente o no:

En la UI
User management
, seleccione un dominio de autenticación del conmutador.
Haga clic en el ícono de ajustes
.
Edite la configuración, que se describe con más detalle a continuación.

Configuraciones relacionadas con la sesión

Las configuraciones relacionadas con la sesión incluyen:

Tiempo que el usuario puede permanecer conectado
Cantidad de tiempo de inactividad antes de que caduque la sesión de un usuario (más información sobre los límites de sesión)

Configuración de actualización de usuario

Las configuraciones relacionadas con cómo los usuarios actualizan a un tipo de usuario superior incluyen:

Automatic approval
: Esto permite que los usuarios puedan actualizar inmediatamente a un tipo de usuario superior por su cuenta, sin aprobación. Esto permite que estos usuarios puedan responder más rápidamente a los problemas.
Require review
: Con esta opción, el usuario administrador con la configuración de administración
Authentication domain
recibe un correo electrónico cuando un usuario solicita una actualización y puede aprobar o rechazar esas solicitudes en la UI
User management
.
- Un usuario está limitado a 6 solicitudes de actualización en un período móvil de 24 horas. Por ejemplo, si realiza sus 6 solicitudes de actualización entre las 8 a. m. y las 10 a. m., deberá esperar hasta las 8 a. m. del día siguiente antes de realizar otra solicitud de actualización.

Te ofrecemos esta traducción automática para facilitar la lectura.

Dominio de autenticación: cómo iniciar sesión y se gestiona su usuario

Importante