Inicio de sesión único con SAML

El sitio Datadog for Government solo admite el inicio de sesión SAML.

Información general

La configuración de SAML (Security Assertion Markup Language) para tu cuenta de Datadog te permite a ti y a todos tus compañeros iniciar sesión en Datadog mediante credenciales almacenadas en el Active Directory de tu organización, LDAP, u otro almacén de identidades que haya sido configurado con un proveedor de identidades SAML.

Notas:

Configuración de SAML

  1. Para comenzar la configuración, consulta la documentación de tu IdP:

  2. En la aplicación de Datadog, pasa el ratón sobre tu nombre de usuario en la esquina inferior izquierda y selecciona Organization Settings (Configuración de la organización). Selecciona Login Methods (Métodos de inicio de sesión) y haz clic en Configure (Configurar) debajo de SAML.

  3. Carga los metadatos del IdP desde tu proveedor de identidades de SAML al hacer clic en el botón Choose File (Elegir archivo). Después de elegir el archivos, haz clic en Upload File (Cargar archivo).

Nota: Los metadatos del IdP deben contener solamente caracteres ASCII.

  1. Descarga los metadados del proveedor de servicio de Datadog para configurar tu IdP para reconocer a Datadog como proveedor de servicios.

  2. Después de cargar los metadatos del IdP y configurarlo, activa SAML en Datadog haciendo clic en el botón Upload and Enable (Cargar y activar).

    Configurar SAML cargando tus metadatos del IdP

  3. Después de cargar los metadatos del IdP, vuelva a la página Login Methods (Métodos de inicio de sesión) y activa SAML on por defecto.

  4. Una vez activado SAML en Datadog y el IdP configurado para aceptar solicitudes desde Datadog, los usuarios pueden iniciar sesión:

    • Si usan el inicio de sesión iniciado por SP (proveedor de servicios o inicio de sesión iniciado desde Datadog): mediante la URL Single Sign-on presente en la casilla Status (Estado) en la parte superior de la página de configuración de SAML. La URL Single Sign-on también se muestra en la página Equipo. Al cargar esta URL, se inicia una autenticación SAML para tu IdP. Nota: Esta URL no se muestra a menos que SAML esté activado para tu cuenta y que estés utilizando el inicio de sesión iniciado por SP.

      Confirmación de que SAML está activado

    • Si utilizan el inicio de sesión iniciado por IdP (proveedor de identidades o inicio de sesión iniciado desde el portal de tu aplicación): al hacer clic en el ícono de aplicación en tu portal de aplicación, por ejemplo, en la caja de Google App o el portal de Okta App. En algunos escenarios, si los usuarios inician sesión con la URL de inicio de sesión iniciado por SP también podrán hacerlo con las experiencias de inicio de sesión iniciado por IdP, pero esto depende de la configuración y compatibilidad de tu proveedor de identidad.

Nota: Si deseas configurar SAML para una organización múltiple, consulta Gestión de cuentas de múltiples organizaciones.

Afirmaciones y atributos

Cuando sucede un inicio de sesión, se envía una afirmación de SAML que contiene una autorización de usuario desde el proveedor de identidad a Datadog.

Capacidades

  • Datadog admite la vinculación de HTTP-POST para SAML2: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.
  • Datadog especifica urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress para el formato de NameIDPolicy en las solicitudes de afirmación.

Requisitos

Atributos compatibles

Los atributos pueden incluirse en una afirmación SAML. Datadog busca tres atributos en un AttributeStatement:

  1. eduPersonPrincipalName: si se especifica, eduPersonPrincipalName debe corresponderse con el nombre de usuario de Datadog del usuario. El nombre de usuario suele ser la dirección de correo electrónico del usuario.
  2. sn: esto es opcional y debe establecerse al apellido del usuario.
  3. givenName: esto es opcional y debe establecerse al nombre del usuario.
Para el IdP de Azure Entra ID, utiliza el atributo `surname` en lugar de `sn` en la afirmación.

Datadog espera que los atributos utilicen el URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri o el NameFormat básico urn:oasis:names:tc:SAML:2.0:attrname-format:basic. El nombre utilizado para cada atributo depende del NameFormat que utilice tu IdP.

Si tu IdP está configurado para utilizar el URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri:

  1. eduPersonPrincipalName: el IdP debe establecer urn:oid:1.3.6.1.4.1.5923.1.1.1.6 como nombre del atributo.
  2. sn: el IdP debe establecer urn:oid:2.5.4.4 como nombre del atributo.
  3. givenName: el IdP debe establecer urn:oid:2.5.4.42 como nombre del atributo.

Si tu IdP está configurado para utilizar el NameFormat básico urn:oasis:names:tc:SAML:2.0:attrname-format:basic:

  1. eduPersonPrincipalName: el IdP debe establecer urn:mace:dir:attribute-def:eduPersonPrincipalName como nombre del atributo.
  2. sn: el IdP debe establecer urn:mace:dir:attribute-def:sn como nombre del atributo.
  3. givenName: el IdP debe establecer urn:mace:dir:attribute-def:givenName como nombre del atributo.

Si eduPersonPrincipalName existe en el AttributeStatement, el valor de este atributo se utiliza para el nombre de usuario. Si eduPersonPrincipalName no está incluido en el AttributeStatement, el nombre de usuario se toma del NameID en el Subject. El NameID debe utilizar el formato urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Si se proporcionan sn y givenName, se utilizan para actualizar el nombre del usuario en su perfil de Datadog.

Funciones adicionales

Para asignar atributos en la respuesta de tu proveedor de identidad a los roles y equipos de Datadog, consulta asignación de grupo SAML.

Las siguientes funciones pueden activarse a través del cuadro de diálogo de configuración de SAML:

Nota: Debes tener permisos de administrador para ver el cuadro de diálogo de configuración de SAML.

Suministro justo a tiempo (JIT)

Con el suministro JIT, un usuario se crea en Datadog la primera vez que intenta iniciar sesión. Esto elimina la necesidad de que los administradores creen manualmente las cuentas de usuario una a la vez. En este caso, no se envía el correo electrónico de invitación.

Es posible que algunas organizaciones no deseen invitar a todos sus usuarios a Datadog. Si deseas realizar cambios en el funcionamiento de SAML para tu cuenta, ponte en contacto con el soporte de Datadog. Depende de la organización configurar que su IdP no envíe afirmaciones a Datadog si no desea que un usuario concreto acceda a Datadog.

Los administradores pueden establecer la función por defecto de los nuevos usuarios JIT. El rol por defecto es Standard (Estándar), pero puedes elegir añadir nuevos usuarios JIT como Read-Only (Solo lectura), Administrators (Administradores) o cualquier rol personalizado.

saml JIT por defecto

Inicio de sesión iniciado por IdP

Cuando se carga la URL de Datadog, el navegador es redirigido al IdP del cliente donde el usuario introduce sus credenciales, después el IdP lo redirige de nuevo a Datadog. Algunos IdP tienen la capacidad de enviar una afirmación directamente a Datadog sin obtener primero una AuthnRequest (inicio de sesión iniciado por el IdP).

Tras activar la función de inicio de sesión iniciado por el IdP y guardar tu configuración, puedes descargar la última versión de los metadatos del proveedor de servicio (SP) para tu proveedor de identidades. Tus nuevos metadatos SP contienen un endpoint AssertionConsumerService diferente y específico de la organización al que enviar las afirmaciones.

Si no utilizas los metadatos del SP actualizados, Datadog no podrá asociar la afirmación con tu organización y mostrará una página de error con el mensaje de que a la respuesta SAML le falta el atributo “InResponseTo”.

SAML estricto

Puedes hacer que tu organización sea SAML Strict deshabilitando otros tipos de métodos de inicio de sesión en la interfaz de usuario Login Methods (Métodos de inicio de sesión). Cuando se configura esta opción, todos los usuarios deben, por defecto, iniciar sesión con SAML. Un nombre de usuario/contraseña existente o un inicio de sesión Google OAuth no funcionan. Esto garantiza que todos los usuarios con acceso a Datadog deben tener credenciales válidas en el servicio de proveedor/directorio de identidad de tu empresa para acceder a tu cuenta Datadog. Los administradores de la organización pueden establecer overrides (anulaciones) por usuario para permitir que determinados usuarios estén exentos de SAML Strict.

Metadatos del SP de Datadog autoactualizables

Algunos proveedores de identidades (como ADFS de Microsoft) pueden configurarse para obtener los últimos metadatos del proveedor de servicio SAML de Datadog. Después de configurar SAML en Datadog, puedes obtener la URL de metadatos para tu organización de la página configuración de SAML y utilizarla con tu Proveedor de identidades para obtener los últimos metadatos del proveedor de servicio cada vez que se publiquen cambios.

URL de metadatos de SAML

Referencias adicionales

Más enlaces, artículos y documentación útiles: