Te ofrecemos esta traducción automática para facilitar la lectura.
In the event of any inconsistency between the English version and the translated version, the English versionwill take priority. Please visit this page for more information.
El inicio de sesión único (SSO) permite a un usuario de computadora log sesión en múltiples sistemas a través de un único portal. Si es propietario de una cuenta New Relic y configura la integración de SSO para su organización, debe obtener un certificado SAML que identifique la URL de inicio de sesión de SSO (y posiblemente la URL de cierre de sesión) para su organización. Los otros tipos de información necesarios para la integración de SSO variarán según el proveedor de servicios SAML que se utilice.
Requisitos
Los requisitos incluyen:
Estos documentos se aplican para administrar usuarios en nuestro modelo de usuario original. Para habilitar SSO para usuarios en nuestro modelo de usuario más nuevo, consulte Dominio de autenticación.
Para encontrar la página de configuración de SSO de New Relic: en el menú de usuario, haga clic en Account settings, luego haga clic en Security and authentication y luego haga clic en Single sign-on.
Para saber cómo configurar SAML SSO de manera óptima, consulte las instrucciones y consejos a continuación.
Proveedores apoyados por New Relic
Los usuarios de nuestro modelo de usuario original pueden encontrar una lista de los proveedores de servicios SAML que New Relic admite actualmente para la integración de SSO: en el menú New Relic, seleccione Account settings > Security and authentication > Single sign-on. Si no ve esa UI, puede deberse a que está en nuestro modelo de usuario más nuevo: en ese caso, utilizará un método diferente para configurar SAML SSO.
El proveedor de servicios SAML que brindamos soporte para los usuarios en nuestro modelo de usuario original incluye:
Soporte genérico para sistemas SSO que utilizan SAML 2.0
Para saber cómo obtener Google SSO para los usuarios de su modelo de usuario original, mire este breve vídeo (aprox. 3:10 minutos).
Información SAML en la cuenta New Relic
Para integrarse con un proveedor SAML, el proveedor necesitará información suya sobre su cuenta New Relic. La mayor parte de la información que necesitará está visible en la página UI de configuración de SSO de New Relic:
URL de metadatos: contiene varios fragmentos de información en un único mensaje XML
Versión SAML: 2.0
URL del consumidor de aserción: el extremo de New Relic SSO (por ejemplo, https://rpm.newrelic.com/accounts/ACCOUNTID/sso/saml/finalize)
Enlace del consumidor: el método de transmisión es HTTP-POST
Formato de NameID: dirección de correo electrónico
Atributo: No se requiere ninguno
ID de entidad: URL de la cuenta (el valor predeterminado es rpm.newrelic.com)
Implementación de SAML New Relic
Para que los proveedores de SAML y los proveedores de servicios (como New Relic) puedan trabajar juntos, sus procesos deben alinearse de ciertas maneras. A continuación se muestran algunos aspectos de cómo New Relic implementa SSO. Esto será útil si está verificando que un proveedor SAML específico podrá trabajar con New Relic o si está resolviendo problemas de implementación.
SSO considerations
New Relic functions and preferences
Alcance de las credenciales de usuario (IdP)
Debería ser todo usuario.
Tipo de conexión
Debe ser iniciado tanto por el IdP como por el SP.
Perfil SAML esperado
New Relic utiliza un enlace POST para solicitudes iniciadas por SP.
Formato de valor de NameID esperado
Debe ser una dirección de correo electrónico.
¿Se intercambia información confidencial en la afirmación SAML?
No, sólo se envía la dirección de correo electrónico.
Gestión de sesión y cierre de sesión
¿Su organización utiliza una URL de redireccionamiento para cerrar sesión? De lo contrario, New Relic puede proporcionar una página de inicio de sesión.
Plan para usuarios que ya no necesitan acceso
Normalmente, la eliminación manual la realiza el propietario o administrador de la cuenta.
Sincronización del reloj
Asegúrese de que NTP mantenga los relojes del proveedor de identidad SAML.
Características y procedimientos de SAML SSO
A continuación se muestran algunos procedimientos importantes para administrar SAML SSO para usuarios en nuestro modelo de usuario original:
Si su organización está en Pro o edición Enterprise, puede solicitar que su(s) nombre(s) de dominio se incluyan en nuestra lista de 'permitidos', lo que agilizará el proceso de habilitación de SAML SSO. Cuando la dirección de correo electrónico de su usuario tiene un dominio que coincide con el dominio que ha reclamado, New Relic lo agrega automáticamente como Active usuario y conserva su tipo de usuario actual.
Los beneficios de reclamar su dominio incluyen:
Lo hace más fácil para sus administradores porque no tendrán que ajustar el tipo de usuario de sus usuarios.
Hace que sea más fácil para sus usuarios comenzar a usar New Relic porque no necesitan confirmar su registro de usuario por correo electrónico.
Mantiene la seguridad al agregar usuarios fuera de su organización.
Después de obtener su certificado de proveedor de identidad SAML, que debe ser un certificado x509 codificado con PEM y una URL, el propietario de la cuenta puede configurar, probar y habilitar la configuración de inicio de sesión único (SSO) en New Relic. Ninguna otra función de la cuenta puede editar la configuración de SSO en la cuenta.
Sugerencia
El acceso a esta característica depende de su nivel de suscripción. Si su cuenta está configurada bajo una asociación de clientes, el acceso a esta característica también dependerá de la configuración para ese nivel de suscripción de asociación.
Requisitos
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Cuentas para padres e hijos
Si su cuenta tiene cuentas infantiles, normalmente configurará la configuración de SSO solo en el nivel de la cuenta principal. El usuario de la cuenta secundaria aún podrá log sesión a través de SSO porque heredará la configuración SAML SSO de la cuenta principal. Si necesita configurar varias cuentas con identidades SAML separadas (por ejemplo, con cuentas asociadas), utilice la característica ID de entidad personalizada.
Configurar SSO
Para ayudar a garantizar la seguridad y tener en cuenta la hora de la red y los desfases del reloj, configure las respuestas de validación de su proveedor de identidad SAML en el período de tiempo más corto que sea práctico (por ejemplo, cinco minutos). New Relic permite un máximo de treinta minutos.
Vaya a: user menu > Account settings > Security and authentication > Single sign-on.
En la página SAML single sign-on , revise los detalles de su proveedor de servicios SAML de New Relic.
Para cargar su certificado de proveedor de identidad SAML, seleccione Choose file y luego siga los procedimientos estándar para seleccionar y guardar el archivo.
Especifique el Remote login URL que su usuario utilizará para el inicio de sesión único.
Si la integración SAML de su organización proporciona una URL de redireccionamiento para cerrar sesión, copie y pegue (o escriba) el Logout landing URL; de lo contrario déjelo en blanco.
Guarde sus cambios.
Sugerencia
Si su organización no utiliza una URL de redireccionamiento específica, New Relic proporciona una página de inicio de sesión de forma predeterminada.
Prueba SSO
Después de configurar y guardar correctamente la configuración de SSO, la página Test aparece automáticamente. Después de cada prueba, New Relic lo regresa a la página SAML SSO con resultados de diagnóstico.
Para regresar y cambiar sus ajustes de configuración, seleccione 1 CONFIGURE.
Habilitar SSO
Cuando la prueba se completa con éxito, aparece un enlace que puede utilizar en la página de inicio de su empresa para un inicio de sesión único sencillo con New Relic. A menos que haya reclamado su dominio con New Relic, su usuario no puede iniciar sesión hasta que complete la confirmación por correo electrónico que New Relic envía automáticamente. Después de que sus usuarios seleccionen el enlace en su correo electrónico de confirmación, podrán iniciar sesión de forma segura con el nombre de usuario y la contraseña asignados a su organización. Desde allí pueden seleccionar cualquier aplicación que estén autorizados a utilizar, incluida New Relic.
Advertencia
Si desactiva SAML SSO, New Relic marca automáticamente a todos sus usuarios Pending como Active. Si decide volver a habilitar SAML SSO más adelante, New Relic marca automáticamente a todos los usuarios excepto al Propietario como Pending y deberán confirmar el acceso a su cuenta por correo electrónico.
Agregue una URL de cierre de sesión para tiempos de espera de sesión
La característica Session configuration de New Relic requiere una URL de cierre de sesión para cuentas habilitadas para SAML SSO. Si ya configuró, probó y habilitó SAML SSO sin una URL de cierre de sesión, New Relic simboliza automáticamente al administrador de la cuenta para notificar al propietario de la cuenta. Además, si usted es el propietario de la cuenta, New Relic proporciona automáticamente un enlace desde Session configuration para ir directamente al inicio de sesión único de SAML y agregar una URL de cierre de sesión.
Importante
La URL de cierre de sesión cannot contiene newrelic.com en cualquier parte de la URL.
La característica Session configuration también incluye la opción de seleccionar un tiempo de espera automático para que las sesiones browser autenticadas por SAML se vuelvan a autenticar.
Para obtener una descripción general de nuestros documentos SAML SSO y SCIM, primero lea Introducción a SAML SSO y SCIM.
A menos que haya reclamado su dominio con New Relic (recomendado), su usuario no se agrega a New Relic hasta que complete la confirmación por correo electrónico que se envía automáticamente al habilitar SAML SSO. Esta es una medida de seguridad adicional. El usuario en estado pendiente (aún no confirmado) no recibirá una notificación (como una notificación de alerta).
Para la organización without SAML SSO habilitado, el propietario o administrador puede agregar un nuevo usuario sin requerir confirmación por correo electrónico.
Requisitos
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Agregar y confirmar usuario
Siga este proceso para agregar y confirmar usuarios en nuestro modelo de usuario original que se autentican a través de SAML SSO:
El propietario de la cuenta o un administrador agrega un nuevo usuario: Vaya a: user menu > Account settings > Account > Summary.
A menos que haya reclamado su dominio, su usuario se marca como Pending y recibe una confirmación por correo electrónico. (El usuario pendiente no recibirá la notificación del producto New Relic, como la notificación de alerta).
El usuario selecciona el enlace en el correo electrónico para confirmar su cuenta, que lo dirige a la URL de inicio de sesión del proveedor SAML.
Cuando el usuario inicia sesión correctamente en su punto final SAML SSO (Auth0, Okta, OneLogin, Ping Identity, Salesforce, etc.), New Relic marca al usuario como Active.
Advertencia
Si desactiva SAML SSO, New Relic marca automáticamente a todos sus usuarios Pending como Active. Si decide volver a habilitar SAML SSO más adelante, New Relic marca automáticamente a todos los usuarios excepto al Propietario como Pending y deberán confirmar el acceso a su cuenta por correo electrónico.
En el protocolo SAML, entity ID identifica de forma única al proveedor de servicios (New Relic) ante su proveedor SAML. El ID de entidad predeterminado de New Relic es rpm.newrelic.com. Esto es suficiente si solo tiene una cuenta habilitada para SAML.
Cuando configura varias cuentas de New Relic con SAML, su proveedor de SAML normalmente requiere que cada cuenta tenga una ID de entidad única. Si necesita configurar varias cuentas con identidades SAML separadas, utilice la característica de ID de entidad personalizada de New Relic.
Requisitos
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Seleccionar ID de entidad personalizados
La característica de ID de entidad personalizada de New Relic le permite habilitar una ID de entidad única para cada una de sus cuentas. Luego puede configurar SAML SSO para ellos como una aplicación distinta con su proveedor SAML. Esto le permite controlar de forma centralizada la autenticación de usuarios en cada una de sus cuentas de forma independiente.
Además, en la fila Entity ID de la página Step 1. Configure , seleccione Use custom entity ID.
Importante
Debe utilizar el mismo ID de entidad para configurar los ajustes de la aplicación con su proveedor SAML. Algunos proveedores de SAML requieren que cree una nueva configuración de aplicación al cambiar el ID de la entidad.
Después de configurar, probar y habilitar su inicio de sesión de SAML SSO, todos los usuarios de su cuenta de New Relic (incluidos el propietario y los administradores de la cuenta) deben usar la URL de SSO de su organización para iniciar sesión en New Relic. Su dirección de correo electrónico debe coincidir con la configurada en New Relic. Además, su capacidad para utilizar la URL de SSO para acceder a aplicaciones distintas a New Relic dependerá de los permisos establecidos en esas aplicaciones.
Requisitos
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Inicie sesión en New Relic utilizando su URL de inicio de sesión SAML SSO.
Vaya a: user menu > Account settings > Security and authentication > Single sign-on.
Para desactivar temporalmente la integración SAML con New Relic y actualizar su configuración, seleccione Disable SAML login.
Opcional: para cambiar su certificado SAML existente, seleccione Choose file. Siga los procedimientos estándar para seleccionar y guardar el archivo, luego guárdelo.
Opcional: para cambiar sus URL de SSO existentes, copie y pegue (o escriba) Remote login URL o Logout landing URL y luego guarde.
Correos electrónicos
Sugerencia
Owner or Admins
Los propietarios o administradores de cuentas deben asegurarse de que las direcciones de correo electrónico de los usuarios para iniciar sesión en New Relic coincidan con su correo electrónico de SSO. Los propietarios de cuentas, administradores y usuarios no pueden actualizar direcciones de correo electrónico en cuentas autenticadas SAML.
Para actualizar la información de usuario de la cuenta New Relic de su organización:
Vaya a: user menu > Account settings > Account > Summary.
En la lista Users , seleccione cualquiera de las opciones para agregar un nuevo usuario, editar el rol de usuario existente o eliminarlo.
Solucionar problemas de inicio de sesión SSO
Nadie que utilice la cuenta, incluidos el propietario y los administradores, puede iniciar sesión directamente en New Relic. Si se le bloquea el SSO y necesita desactivarlo o cambiar la configuración, obtenga asistencia en support.newrelic.com.
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Advertencia
Si elimina su integración SAML SSO con New Relic, no podrá restaurarla. Sin embargo, puede seguir los procedimientos estándar para configurar su configuración nuevamente.
Para los usuarios de nuestro modelo de usuario original, aquí se explica cómo eliminar completamente su configuración de SAML SSO:
Inicie sesión en New Relic utilizando su URL de inicio de sesión SAML SSO.
En la barra de menú New Relic , seleccione:
user menu > Account settings > Security and authentication > Single sign-on
.
Seleccione
Delete SAML Configuration
.
En el símbolo de confirmación, seleccione
OK
.
Con las cuentas de asociación, la autenticación para iniciar sesión en New Relic está controlada por la asociación. Para las cuentas en las que la asociación admite SSO, los usuarios pueden acceder a su UI de New Relic sin volver a autenticarse. Estas cuentas de socios podrían utilizar SAML SSO como método seguro alternativo para iniciar sesión en el sitio de New Relic.
Otras cuentas de socios, incluidas Heroku, AppDirect y Microsoft Azure, no permiten el inicio de sesión directo en New Relic. En esta situación, el SSO del socio no admite la integración SAML desde el sitio del socio. Si tiene preguntas, comuníquese con su representante de socios en New Relic.
Requisitos
Para conocer los requisitos, incluido a qué usuario de New Relic se aplica esta característica, consulte Requisitos.
Ejemplo
La estructura y configuración de su cuenta afectan si SAML está disponible y cómo se aplica a sus cuentas.
Este ejemplo muestra la jerarquía de las cuentas de New Relic Partner con cuentas principales y cuentas secundarias.
A continuación se muestra un ejemplo de cómo las cuentas y las cuentas secundarias heredan la configuración de SSO de SAML.
Account level
SAML SSO configuration
Camaradería
El nivel de asociación le permite controlar si las cuentas bajo la asociación pueden tener SAML habilitado. El propietario de la cuenta de asociación tiene ciertas funciones administrativas, pero otras cuentas de la asociación no heredan la configuración SAML en esta cuenta.
Cuentas principales
Las cuentas principales (también denominadas cuentas maestras) tienen una relación jerárquica directa con una o más cuentas secundarias. Normalmente, todas las cuentas secundarias heredan automáticamente la configuración SAML de una cuenta principal.
Cuentas infantiles
Las cuentas secundarias (también conocidas como subcuenta) heredan su configuración SAML SSO de su cuenta principal cuando la cuenta principal tiene SAML configurado. Si la cuenta principal no tiene SAML configurado, cada cuenta secundaria puede tener su propia configuración. Para obtener más información, consulte Configuración de SAML con varias cuentas.