Inicio de sesión único con SAML

El sitio Datadog for Government sólo admite inicio de sesión SAML.

Información general

La configuración de SAML (Security Assertion Markup Language) para tu cuenta de Datadog te permite a ti y a todos tus compañeros de equipo iniciar sesión en Datadog utilizando las credenciales almacenadas en Active Directory, LDAP u otro almacén de identidades de tu organización que se haya configurado con un proveedor de identidades SAML.

Notas:

Configuración de SAML

  1. Para comenzar la configuración, consulta la documentación de tu IdP:

  2. En la aplicación Datadog, sitúa el cursor sobre tu nombre de usuario en la esquina inferior izquierda y selecciona Configuración de la organización. Selecciona Métodos de inicio de sesión y haz clic en Configurar en SAML.

    1. Carga los metadatos de IdP de tu proveedor de identidad SAML haciendo clic en el botón Seleccionar archivo. Después de elegir el archivo, haz clic en Cargar archivo.

Nota: Los metadatos de IdP deben contener únicamente caracteres ASCII.

  1. Descarga los metadatos del proveedor de servicios de Datadog para configurar tu IdP de modo que reconozca a Datadog como proveedor de servicios.

  2. Después de cargar los metadatos del IdP y configurar tu IdP, activa SAML en Datadog haciendo clic en el botón Cargar y activar.

    Configura SAML cargando los metadatos de tu IdP

  3. Después de cargar los metadatos del IdP, vuelva a la page (página) Métodos de inicio de sesión y activa SAML on en forma predeterminada.

Nota: Para configurar SAML para varias organizaciones, consulta Gestión de cuentas de varias organizaciones.

Uso de SAML

Una vez que SAML esté configurado en Datadog y que tu IdP esté configurado para aceptar solicitudes de Datadog, los usuarios pueden iniciar sesión.

Sesión iniciada por el SP

Sesión iniciada por SP o iniciada por el proveedor de servicios significa sesión iniciada desde Datadog. Los usuarios inician sesión a través de la URL de inicio de sesión única mostrada en el cuadro de estado en la parte superior de la Page (página) de configuración de SAML. La URL de inicio de sesión único también se muestra en la Page (página) del equipo. Al cargar esta URL se inicia una autenticación SAML contra tu IdP. Nota: Esta URL sólo se muestra si SAML está habilitado para tu cuenta y está utilizando el inicio de sesión por el SP.

Confirmación de que tu SAML está activado

Cuando un usuario inicia sesión a través de SAML iniciado por el SP y la organización no tiene un subdominio personalizado, Datadog requiere seguridad adicional. Los usuarios reciben un único código de verificación por correo electrónico que es necesario para iniciar sesión.

Inicio de sesión con IdP

Sesión iniciada por IdP iniciada por el proveedor de identidad significa iniciar sesión desde tu portal de aplicaciones. Los usuarios inician sesión haciendo clic en el icono de la aplicación en tu portal de aplicaciones, por ejemplo, en el cajón de aplicaciones de Google o en el portal de aplicaciones de Okta. Los usuarios que inician sesión por el SP también pueden utilizar el inicio de sesión por el IdP, en función de la configuración de tu proveedor de identidad.

Aserciones y atributos

Cuando se produce un inicio de sesión, el proveedor de identidad envía a Datadog una aserción SAML que contiene la autorización del usuario.

Capacidades

  • Datadog admite el enlace HTTP-POST para SAML2: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.
  • Datadog especifica urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress para el formato del NameIDPolicy en solicitudes de aserción.

Requisitos

  • Las aserciones deben estar firmadas.
  • Las aserciones pueden estar cifradas, pero se aceptan aserciones sin cifrar.
  • Consulta Metadatos del proveedor de servicios de Datadog para obtener más información. Debes iniciar sesión en Datadog para acceder al archivo.

Atributos admitidos

Se pueden incluir atributos en una aserción SAML. Datadog busca tres atributos en un AttributeStatement:

  1. eduPersonPrincipalName: Si se especifica, el eduPersonPrincipalName debe corresponder al nombre de usuario de Datadog del usuario. El nombre de usuario suele ser la dirección de correo electrónico del usuario.
  2. sn: Esto es opcional y debe configurar con el apellido del usuario.
  3. Nombre de pila: Es opcional y debe ser el nombre del usuario.
Para el IdP de Microsoft Entra ID, utiliza el atributo `surname` en lugar de `sn` en la aserción.

Datadog espera que los atributos utilicen el URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri o el NameFormat básico urn:oasis:names:tc:SAML:2.0:attrname-format:basic. El nombre utilizado para cada atributo depende del NameFormat que utilice tu IdP.

Si tu IdP está configurado para utilizar el URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri:

  1. eduPersonPrincipalName: el IdP debe establecer urn:oid:1.3.6.1.4.1.5923.1.1.1.6 como nombre del atributo.
  2. sn: el IdP debe establecer urn:oid:2.5.4.4 como nombre del atributo.
  3. givenName: el IdP debe establecer urn:oid:2.5.4.42 como nombre del atributo.

Si tu IdP está configurado para utilizar el NameFormat básico urn:oasis:names:tc:SAML:2.0:attrname-format:basic:

  1. eduPersonPrincipalName: el IdP debe establecer urn:mace:dir:attribute-def:eduPersonPrincipalName como nombre del atributo.
  2. sn: el IdP debe establecer urn:mace:dir:attribute-def:sn como nombre del atributo.
  3. givenName: el IdP debe establecer urn:mace:dir:attribute-def:givenName como nombre del atributo.

Si eduPersonPrincipalName existe en el AttributeStatement, el valor de este atributo se utiliza para el nombre de usuario. Si eduPersonPrincipalName no está incluido en el AttributeStatement, el nombre de usuario se toma del NameID en el Subject. El NameID debe utilizar el formato urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

Si se proporcionan sn y givenName, se utilizan para actualizar el nombre del usuario en su perfil de Datadog.

Funciones adicionales

Para asignar atributos en la respuesta de tu proveedor de identidad a los roles y equipos de Datadog, consulta asignación de grupo SAML.

Las siguientes funciones pueden activarse a través del cuadro de diálogo de configuración de SAML:

Nota: Debes tener permisos de administrador para ver el cuadro de diálogo de configuración de SAML.

Suministro justo a tiempo (JIT)

Con el suministro JIT, un usuario se crea en Datadog la primera vez que intenta iniciar sesión. Esto elimina la necesidad de que los administradores creen manualmente las cuentas de usuario una a la vez. En este caso, no se envía el correo electrónico de invitación.

Es posible que algunas organizaciones no deseen invitar a todos sus usuarios a Datadog. Si deseas realizar cambios en el funcionamiento de SAML para tu cuenta, ponte en contacto con el soporte de Datadog. Depende de la organización configurar que su IdP no envíe afirmaciones a Datadog si no desea que un usuario concreto acceda a Datadog.

Los administradores pueden establecer la función por defecto de los nuevos usuarios JIT. El rol por defecto es Standard (Estándar), pero puedes elegir añadir nuevos usuarios JIT como Read-Only (Solo lectura), Administrators (Administradores) o cualquier rol personalizado.

Importante: Si la asignación de roles está activada, tiene prioridad sobre los roles configurados durante el aprovisionamiento de JIT. Sin las sentencias de atributos de grupo adecuadas, los usuarios podrían quedarse sin roles and perder el acceso to Datadog. Para evitar que los usuarios queden bloqueados después del aprovisionamiento de JIT, asegúrate de revisar tus definiciones de asignación y check tus aserciones antes de activar las asignaciones y JIT.
saml JIT predeterminado

Inicio de sesión iniciado por IdP

Cuando se carga la URL de Datadog, el navegador es redirigido al IdP del cliente donde el usuario introduce sus credenciales, después el IdP lo redirige de nuevo a Datadog. Algunos IdP tienen la capacidad de enviar una afirmación directamente a Datadog sin obtener primero una AuthnRequest (inicio de sesión iniciado por el IdP).

Tras activar la función de inicio de sesión iniciado por el IdP y guardar tu configuración, puedes descargar la última versión de los metadatos del proveedor de servicio (SP) para tu proveedor de identidades. Tus nuevos metadatos SP contienen un endpoint AssertionConsumerService diferente y específico de la organización al que enviar las afirmaciones.

Si no utilizas los metadatos del SP actualizados, Datadog no podrá asociar la afirmación con tu organización y mostrará una página de error con el mensaje de que a la respuesta SAML le falta el atributo “InResponseTo”.

SAML estricto

Puedes hacer que tu organización sea SAML Strict deshabilitando otros tipos de métodos de inicio de sesión en la interfaz de usuario Login Methods (Métodos de inicio de sesión). Cuando se configura esta opción, todos los usuarios deben, por defecto, iniciar sesión con SAML. Un nombre de usuario/contraseña existente o un inicio de sesión Google OAuth no funcionan. Esto garantiza que todos los usuarios con acceso a Datadog deben tener credenciales válidas en el servicio de proveedor/directorio de identidad de tu empresa para acceder a tu cuenta Datadog. Los administradores de la organización pueden establecer overrides (anulaciones) por usuario para permitir que determinados usuarios estén exentos de SAML Strict.

Metadatos del SP de Datadog autoactualizables

Algunos proveedores de identidades (como ADFS de Microsoft) pueden configurarse para obtener los últimos metadatos del proveedor de servicio SAML de Datadog. Después de configurar SAML en Datadog, puedes obtener la URL de metadatos para tu organización de la página configuración de SAML y utilizarla con tu Proveedor de identidades para obtener los últimos metadatos del proveedor de servicio cada vez que se publiquen cambios.

URL de metadatos de SAML

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Configurar equipos y organizaciones con varias cuentasDOCUMENTACIÓN more more