Administradores de SaaS: aquí encontrarán la información.
Administradores de implementaciones alojadas en el servidor del usuario final y Managed Hosting: consulten Información de SAML específica para las implementaciones alojadas.

Acerca del lenguaje de marcado de aserción de seguridad (SAML)

El lenguaje de marcado para confirmaciones de seguridad (SAML) es un formato de datos basado en XML que puede utilizarse para autenticar y autorizar a usuarios de distintos sistemas. El SAML se utiliza comúnmente como una solución de inicio de sesión único (SSO), incluso para Blackboard Learn. Si se instala y configura correctamente, SAML permite que los usuarios de Blackboard Learn inicien sesión con su nombre de usuario y contraseña de otra institución o aplicación. Gracias al SSO, los administradores y los usuarios ahorran tiempo, ya que se les proporciona una integración sin inconvenientes para el inicio de sesión.

La información del usuario se transmite de un sistema a otro en una aserción SAML. El proveedor de identidades es el host externo de la cuenta del usuario, y su instancia de Blackboard Learn actúa como el proveedor de servicios. El proveedor de identidades envía los atributos que utiliza Blackboard Learn para crear o actualizar una cuenta de usuario. Estos atributos incluyen información, como el nombre de usuario, el nombre de pila, el apellido y la dirección de correo electrónico, y se incluyen en un paquete dentro de un token de seguridad, como una aserción SAML. Cuando el usuario introduce sus datos mediante el inicio de sesión único, el proveedor de identidades envía esta aserción SAML a Blackboard Learn. Si el nombre de usuario no coincide con la información del sistema, Blackboard Learn crea una cuenta nueva con los atributos de usuario que se incluyen en la aserción SAML.

El Building Block SAML simplifica la configuración del SSO. Una vez activado el Building Block, aparecerá un nuevo tipo de autenticación en la lista Crear proveedor del Panel de administración > Autenticación, donde podrá configurar el servicio correctamente.

El Building Block SAML se incluye con Blackboard Learn SaaS y Blackboard Learn 9.1del segundo trimestre de 2016 y versiones posteriores.

Este Building Block SAML establece una conexión única entre Blackboard Learn y un proveedor de identidades. Puedes crear varias entradas del proveedor de la autenticación SAML para conectarse a diversos proveedores de identidades. Además, SAML no reemplaza al flujo de trabajo del inicio de sesión de Blackboard Learn por completo. Si lo prefieren, los usuarios pueden iniciar sesión en Blackboard Learn con las credenciales como de costumbre.


Activar el Building Block SAML

Si utiliza Blackboard Learn en una implementación de SaaS, no necesita instalar el Building Block, ya que ya está instalado en el sistema.

  1. Vaya al Panel del administrador.
  2. En la sección Integraciones, seleccione Building Blocks.
  3. Seleccione Herramientas instaladas
  4. Localice Proveedor de autenticación: SAML en la lista y establezca su estado como disponible.
  5. En el Panel de administración, en Integraciones, seleccione Autenticación.
  6. SAML aparecerá en la lista Crear un proveedor en la página Proveedor de la autenticación.

Configuración

Puede realizar ajustes para solucionar problemas o garantizar la seguridad de su conexión SAML.

  1. Vaya al Panel del administrador.
  2. En la sección Integraciones, seleccione Building Blocks.
  3. Seleccione Herramientas instaladas.
  4. Busque la opción Proveedor de la autenticación: SAML en la lista. Abra el menú y seleccione Ajustes. Tiene estas opciones:
    • Volver a generar el certificado:seleccione Volver a generar para generar nuevamente el certificado SAML. Es posible que deba volver a generar un certificado para mantener la seguridad de la conexión o en caso de que el certificado haya vencido.

      Después de volver a generar el certificado, deberá cargar nuevamente los metadatos del proveedor de servicios en el proveedor de identidades. Cuando seleccione Volver a generar, el sistema le pedirá que confirme este paso.

      Si genera un certificado nuevo con la configuración de B2, debe alternar SAML B2 entre Inactivo y Activo para forzar el cambio. Luego, puede volver a la configuración del proveedor y generar los metadatos nuevos para importarlos al IdP. Si no alterna la configuración, es posible que aún se incluya el certificado anterior al generar metadatos nuevos. El IdP no se actualizará, y la próxima vez que se reinicie Learn, presentará el certificado nuevo. La autenticación de SAML se interrumpirá debido a esta discrepancia.

    • Ajustes del vencimiento de la aserción:en esta sección, puede ajustar el Tiempo de caducidad (ResponseSkew) y el Límite de tiempo de la sesión de SAML. Es posible que deba editar el valor de ResponseSkew si su servidor de Blackboard Learn está en un huso horario y el servidor del proveedor de identidades se encuentra en otro. La diferencia horaria puede causar que las aserciones SAML se venzan antes de que los usuarios se autentiquen de forma correcta. Las sesiones de SAML expiran según la duración límite de la sesión SAML.Seleccione No limitar el tiempo de la sesión si desea que nunca expiren.
    • Ajustes del algoritmo de firma: elija un tipo de algoritmo de firma que satisfaga sus necesidades de seguridad o conforme a los proveedores de identidades. Después de seleccionar la opción Tipo de algoritmo de firma, reinicie el Building Block SAML para que se apliquen los nuevos ajustes.
  5. Seleccione Enviar para guardar los cambios.

Crear y configurar un proveedor de la autenticación SAML

  1. Haga clic en el botón Crear un proveedor y seleccione el tipo de proveedor de la autenticación SAML.
  2. Escriba un nombre y una descripción opcional para el proveedor.
  3. Establezca el estado de la Disponibilidad del proveedor de la autenticación en Activo.
  4. Establezca el Método de búsqueda de usuarios en Nombre de usuario o UID de lote.
  5. Establezca la opción Restringir por nombre de host en Usar este proveedor para cualquier nombre de host.
    • Si lo desea, puede seleccionar Restringir este proveedor solo para el nombre de host especificado. Escriba el nombre de host en el campo Nombres de host restringidos siguiente.
  6. En el campo Texto del enlace, escriba el título del enlace que usted desea que aparezca en la página de inicio de sesión de Blackboard Learn.
  7. También puede agregar un ícono a esta página. Seleccione Examinar para cargar un ícono en la página de inicio de sesión.
  8. Haga clic en Guardar y configurar.

En la página de ajustes de la autenticación SAML, puede configurar el proveedor de servicios y el proveedor de identidades para que estos establezcan una conexión de confianza. El proveedor de identidades es el host externo de la cuenta del usuario, y su instancia de Blackboard Learn actúa como el proveedor de servicios.

Ajustes del proveedor de servicios

  1. En el campo URL de ACS, se muestra la URL del servicio de consumidor de aserciones. Puede que un proveedor de identidades solicite esta URL para completar las configuraciones por su parte.
  2. Escriba un nombre para la ID de la entidad. Esta ID se rellenará en los metadatos del proveedor de servicios.
  3. Marque la casilla Activar el SSO automático para permitir que los usuarios omitan la pantalla de inicio de sesión de Blackboard Learn si ya han accedido a un proveedor de identidades de confianza.
  4. En la sección Tipo de servicio de cierre de sesión único, hay tres casillas de verificación.Seleccione Publicar y Permitir respuesta de cierre de sesión de ADFS si ADFS es el proveedor de identidades. Si selecciona la opción Permitir respuesta de cierre de sesión de ADFS, se cerrará la sesión del proveedor de identidades del usuario cuando salga de Blackboard Learn.
  5. Para configurar una conexión de confianza, debe compartir sus metadatos con el proveedor de identidades. Haga clic en el botón Generar junto a los metadatos del proveedor de servicios.
  6. Comparta los metadatos con el proveedor de identidades. Después de que el proveedor guarde los metadatos, se establece la conexión de confianza.
  7. Seleccione un origen de datos para el proveedor de la autenticación. El origen de datos es el origen de las cuentas que este proveedor de la autenticación proporciona. El valor predeterminado es Interno. Le recomendamos que cree un origen de datos específico que se utilice con un proveedor de la autenticación SAML.

    Más información sobre los orígenes de datos

    Encontrará este tema en la sección Implementaciones alojadas en el servidor del usuario final y Managed Hosting. Cuando haya terminado, use la función de retroceso del navegador para volver a esta página.

  8. En la lista Orígenes de datos compatibles, seleccione los orígenes de datos con los que este proveedor de la autenticación debe ser compatible. Esto es importante cuando el proveedor de la autenticación incluye cuentas compartidas con fuentes de datos existentes. Si el usuario existe y está asociado a una fuente de datos que no está seleccionada, no se lo autenticará correctamente.
  9. Marque la casilla de verificación para que el sistema cree automáticamente una cuenta nueva para el usuario si no se encuentra su información.
  10. En el cuadro de texto Mensaje del error, puede escribir un mensaje personalizado que recibirán los usuarios si la autenticación SAML no funciona según lo previsto.

Ajustes del proveedor de identidades

  1. Si selecciona Señalar un proveedor de identidades, cargue el archivo de metadatos del proveedor de identidades que se compartió con usted. Puede escribir la URL de los metadatos del proveedor de identidades, pero se recomienda que cargue el archivo de metadatos. Solo una de estas versiones de metadatos se conserva en el sistema.
  2. Si selecciona Federación de identidades, aparecerá un campo en el que podrá escribir la URL del servicio de detección.

Después de la configuración, deberá además registrar los metadatos del proveedor de servicios en la comunidad de federaciones, como InCommon, UK Federation, etc.

Asignar los atributos de SAML

  1. Configure los atributos de SAML de modo que se ajusten adecuadamente a las definiciones de atributos del proveedor de identidades. Si un atributo se deja en blanco, el Building Block SAML lo omitirá cuando analice la respuesta SAML.
  2. Seleccione Enviar para guardar la información.

Roles institucionales

El rol de la institución de un usuario en el sistema de Blackboard Learn se determina conforme a la información recibida del proveedor de identidades. Los roles se asignan de acuerdo con lo siguiente:

Rol de la institución principal (SAML) Rol de la institución de Blackboard Learn
Alumno Alumno
Personal Personal
Personal docente Personal docente

Roles del curso

El rol de un usuario en un curso se determina conforme a la información recibida del proveedor de identidades. Los roles se asignan de acuerdo con lo siguiente:

Afiliaciones a los cursos (SAML) Rol del curso de Blackboard Learn
Alumno Alumno
Profesor Profesor
Desarrollador de contenido Desarrollador del curso
Miembro Alumno
Administrador Alumno
Administrador Alumno
Profesor asistente Profesor asistente
Consejero Profesor

Múltiples valores para los atributos

Si espera que la respuesta del proveedor de identidad incluya varios valores para un atributo, formatee su respuesta de SAML de la siguiente manera.


Learner@batchUid:TEST_COURSE_003

Learner@batchUid:TEST_COURSE_004


Probar la conexión

Pruebe la conexión para asegurarse de que funcione correctamente. Salga de Learn y vuelva a iniciar sesión con el enlace de SAML. Introduzca las credenciales de la cuenta para iniciar sesión en el sitio externo. Se lo dirigirá nuevamente a Blackboard Learn cuando haya iniciado sesión correctamente.

Al cerrar sesión en Blackboard Learn, aparece un mensaje que le pregunta si quiere cerrar todas las sesiones relacionadas o continuar. Si no hace nada, el sistema cierra todas las sesiones al cabo de dos minutos. Si desea continuar en la sesión, deberá iniciar sesión nuevamente por motivos de seguridad.

Solución de problemas

Si usted o sus usuarios experimentan errores, consulte estos consejos para solucionar problemas.

  • Si se produce un error antes que usted sea redirigido a la página de inicio de sesión del proveedor de identidades, es posible que los metadatos del proveedor no sean válidos.
  • Si en cambio el error se produce después de que usted inicia sesión en la página del proveedor de identidades, estos podrían ser los motivos:
    • La asignación de los atributos entre el proveedor de servicios y el proveedor de identidades no es correcta o el proveedor de identidades no devolvió una ID del usuario remoto válida.
    • El proveedor de servicios no validó la respuesta de SAML del proveedor de identidades. Esto podría deberse a lo siguiente:
      • El proveedor de identidades firma la respuesta de SAML con un certificado que no fue emitido por una autoridad válida, y este certificado no está incluido en el almacén de claves del proveedor de servicios.
      • El reloj del sistema del proveedor de servicios no es correcto.
  • Para obtener más información sobre los errores, abra el archivo bb-services-log.txt o el panel de registro visual y busque palabras clave, como unsuccessfulAuthentication o BbSAMLExceptionHandleFilter.
  • Para encontrar una respuesta de SAML, puede usar la consola de desarrollador de Chrome, el complemento SAML Tracer para Firefox o SAML Message Decoder para Firefox.