Administradores de SaaS: aquí encontrarán la información.
Administradores de implementaciones alojadas en el servidor del usuario final y Managed Hosting: consulten Información de SAML específica para las implementaciones alojadas.

Acerca del lenguaje de marcado de aserción de seguridad (SAML)

EL lenguaje de marcado de aserción de seguridad (SAML) es un formato de datos basado en XML que puede utilizarse para autenticar y autorizar usuarios de distintos sistemas. El SAML se utiliza comúnmente como una solución de inicio de sesión único (SSO), incluso para Blackboard Learn. Si se instala y configura correctamente, SAML permite que los usuarios de Blackboard Learn inicien sesión con su nombre de usuario y contraseña de otra institución o aplicación. Gracias al inicio de sesión único (Single Sing-On, SSO), los administradores y los usuarios ahorran tiempo, ya que se les proporciona una integración sin inconvenientes para el inicio de sesión.

La información del usuario se transmite de un sistema a otro en una aserción SAML. El proveedor de identidades es el host externo de la cuenta del usuario, y su instancia de Blackboard Learn actúa como el proveedor de servicios. El proveedor de identidades envía los atributos que utiliza Blackboard Learn para crear o actualizar una cuenta de usuario. Estos atributos incluyen información, como el nombre de usuario, el nombre de pila, el apellido y la dirección de correo electrónico, y se incluyen en un paquete dentro de un token de seguridad, como una aserción SAML. Cuando el usuario introduce sus datos mediante el inicio de sesión único, el proveedor de identidades envía esta aserción SAML a Blackboard Learn. Si el nombre de usuario no coincide con la información del sistema, Blackboard Learn crea una cuenta nueva con los atributos de usuario incluidos en la aserción SAML.

El Building Block SAML simplifica la configuración del SSO. Una vez activado el Building Block, aparecerá un nuevo tipo de autenticación en la lista Crear proveedor de Panel de administración > Autenticación, donde podrá configurar el servicio correctamente.

El Building Block SAML se incluye con Blackboard Learn SaaS y Blackboard Learn 9.1 del segundo trimestre de 2016 y versiones posteriores.

Este Building Block SAML establece una conexión única entre Blackboard Learn y un proveedor de identidades. Puedes crear varias entradas del proveedor de la autenticación SAML para conectarse a diversos proveedores de identidades. Además, SAML no reemplaza al flujo de trabajo del inicio de sesión de Blackboard Learn por completo. Si lo prefieren, los usuarios pueden iniciar sesión en Blackboard Learn con las credenciales como de costumbre.


Activar el Building Block SAML

Si utiliza Blackboard Learn en una implementación de SaaS, no necesita instalar el Building Block, ya que ya está instalado en el sistema.

  1. Vaya al Panel del administrador.
  2. En la sección Integraciones, seleccione Building Blocks.
  3. Seleccione Herramientas instaladas
  4. Localice Proveedor de autenticación: SAML en la lista y establezca su estado como disponible.
  5. En el Panel de administración, en Integraciones, seleccione Autenticación.
  6. SAML aparecerá en la lista Crear un proveedor en la página Proveedor de la autenticación.

Configuración

Puede realizar ajustes para solucionar problemas o garantizar la seguridad de su conexión SAML.

  1. Vaya al Panel del administrador.
  2. En Integraciones, seleccione Building Blocks.
  3. Seleccione Herramientas instaladas.
  4. Busque la opción Proveedor de la autenticación: SAML en la lista. Abra el menú y seleccione Ajustes. Tiene estas opciones:
    • Volver a generar el certificado: seleccione Volver a generar para generar nuevamente el certificado SAML. Es posible que deba volver a generar un certificado para mantener la seguridad de la conexión o en caso de que el certificado haya vencido.

      Después de volver a generar el certificado, deberá cargar nuevamente los metadatos del proveedor de servicios en el proveedor de identidades. Cuando seleccione Volver a generar, el sistema le pedirá que confirme este paso.

    • Ajustes del vencimiento de la aserción: en esta sección, puede ajustar el tiempo de vencimiento (ResponseSkew) y la duración límite de la sesión SAML. Es posible que deba editar el valor de ResponseSkew si su servidor de Blackboard Learn está en un huso horario y el servidor del proveedor de identidades se encuentra en otro. La diferencia horaria puede causar que las aserciones SAML se venzan antes de que los usuarios se autentiquen de forma correcta. Las sesiones de SAML expiran según la duración límite de la sesión de SAML. Seleccione No limitar la duración de la sesión si desea que nunca expiren.
    • Ajustes del algoritmo de firma: elija un tipo de algoritmo de firma que satisfaga sus necesidades de seguridad o conforme a los proveedores de identidades. Después de seleccionar la opción Tipo de algoritmo de firma, reinicie el Building Block SAML para que se apliquen los nuevos ajustes.
  5. Seleccione Enviar para guardar los cambios.

Crear y configurar un proveedor de la autenticación SAML

  1. Haga clic en el botón Crear un proveedor y seleccione el tipo de proveedor de la autenticación SAML.
  2. Escriba un nombre y una descripción opcional para el proveedor.
  3. Establezca el estado de la Disponibilidad del proveedor de la autenticación en Activo.
  4. Establezca el Método de búsqueda de usuarios en Nombre de usuario o UID de lote.
  5. Establezca la opción Restringir por nombre de host en Usar este proveedor para cualquier nombre de host.
    • Si lo desea, puede seleccionar Restringir este proveedor solo para el nombre de host especificado. Escriba el nombre de host en el campo Nombres de host restringidos siguiente.
  6. En el campo Texto del enlace, escriba el título del enlace que usted desea que aparezca en la página de inicio de sesión de Blackboard Learn.
  7. También puede agregar un ícono a esta página. Seleccione Examinar para cargar un ícono en la página de inicio de sesión.
  8. Haga clic en Guardar y configurar.

En la página de ajustes de la autenticación SAML, puede configurar el proveedor de servicios y el proveedor de identidades para que estos establezcan una conexión de confianza. El proveedor de identidades es el host de terceros de la cuenta del usuario, y su instancia de Blackboard Learn actúa como el proveedor de servicios.

Ajustes del proveedor de servicios

  1. En el campo URL de ACS, se muestra la URL del servicio de consumidor de aserciones. Puede que un proveedor de identidades solicite esta URL para completar las configuraciones por su parte.
  2. Escriba un nombre para la ID de la entidad. Esta ID se rellenará en los metadatos del proveedor de servicios.
  3. Marque la casilla Activar el SSO automático para permitir que los usuarios omitan la pantalla de inicio de sesión de Blackboard Learn si ya han accedido a un proveedor de identidades de confianza.
  4. In the Single Logout Service Type section, there are three checkboxes. Select Post and Allow ADFS LogoutResponse if ADFS is the Identity Provider. When Allow ADFS LogoutResponse is selected, a user’s Blackboard Learn session ends when they log out of the Identity Provider.
  5. Para configurar una conexión de confianza, debe compartir sus metadatos con el proveedor de identidades. Haga clic en el botón Generar junto a los metadatos del proveedor de servicios.
  6. Comparta los metadatos con el proveedor de identidades. Después de que el proveedor guarde los metadatos, se establece la conexión de confianza.
  7. Seleccione un origen de datos para el proveedor de la autenticación. El origen de datos es el origen de las cuentas que este proveedor de la autenticación proporciona. El valor predeterminado es Interno. Le recomendamos que cree un origen de datos específico que se utilice con un proveedor de la autenticación SAML.

    Más información sobre los orígenes de datos

    Encontrará este tema en la sección Implementaciones alojadas en el servidor del usuario final y Managed Hosting. Cuando haya terminado, use la función de retroceso del navegador para volver aquí.

  8. En la lista Orígenes de datos compatibles, seleccione los orígenes de datos con los que este proveedor de la autenticación debe ser compatible. Esto es importante cuando el proveedor de la autenticación incluye cuentas compartidas con fuentes de datos existentes. Si el usuario existe y está asociado a una fuente de datos que no está seleccionada, no se lo autenticará correctamente.
  9. Marque la casilla de verificación para que el sistema cree automáticamente una cuenta nueva para el usuario si no se encuentra su información.
  10. En el cuadro de texto Mensaje del error, puede escribir un mensaje personalizado que recibirán los usuarios si la autenticación SAML no funciona según lo previsto.

Ajustes del proveedor de identidades

  1. Si selecciona Señalar un proveedor de identidades, cargue el archivo de metadatos del proveedor de identidades que se compartió con usted. Puede escribir la URL de los metadatos del proveedor de identidades, pero se recomienda que cargue el archivo de metadatos. Solo una de estas versiones de metadatos se conserva en el sistema.
  2. Si selecciona Federación de identidades, aparecerá un campo en el que podrá escribir la URL del servicio de detección.

Después de la configuración, deberá además registrar los metadatos del proveedor de servicios en la comunidad de federaciones, como InCommon, UK Federation, etc.

Asignar los atributos de SAML

  1. Configure los atributos de SAML de modo que se ajusten adecuadamente a las definiciones de atributos del proveedor de identidades. Si un atributo se deja en blanco, el Building Block SAML lo omitirá cuando analice la respuesta SAML.
  2. Seleccione Enviar para guardar la información.

Roles institucionales

El rol de la institución de un usuario en el sistema de Blackboard Learn se determina conforme a la información recibida del proveedor de identidades. Los roles se asignan de acuerdo con lo siguiente:

Rol de la institución principal (SAML)Rol de la institución de Blackboard Learn
AlumnoAlumno
PersonalPersonal
Personal docentePersonal docente

Roles del curso

El rol de un usuario en un curso se determina conforme a la información recibida del proveedor de identidades. Los roles se asignan de acuerdo con lo siguiente:

Afiliaciones a los cursos (SAML)Rol del curso de Blackboard Learn
AlumnoAlumno
InstructorInstructor
ContentDeveloperDesarrollador del curso
MiembroAlumno
GestorAlumno
AdministradorAlumno
TeachingAssistantProfesor asistente
ConsejeroInstructor

Múltiples valores para los atributos

Si espera que la respuesta del proveedor de identidad incluya varios valores para un atributo, formatee su respuesta de SAML de la siguiente manera.

<saml2:Attribute FriendlyName="bbuasqa3_cm" Name="urn:oid:1.3.6.1.4.1.5923.1.6.1.2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
<saml2:AttributeValue>[email protected]:TEST_COURSE_003
</saml2:AttributeValue>
<saml2:AttributeValue>[email protected]:TEST_COURSE_004
</saml2:AttributeValue>
</saml2:Attribute>


Probar la conexión

Pruebe la conexión para asegurarse de que funcione correctamente. Salga de Learn y vuelva a iniciar sesión con el enlace de SAML. Introduzca las credenciales de la cuenta para iniciar sesión en el sitio externo. Se lo dirigirá nuevamente a Blackboard Learn cuando haya iniciado sesión correctamente.

Al cerrar sesión en Blackboard Learn, aparece un mensaje que le pregunta si quiere cerrar todas las sesiones relacionadas o continuar. Si no hace nada, el sistema cierra todas las sesiones al cabo de dos minutos. Si quiere continuar en su sesión, necesitará iniciar sesión de nuevo por su seguridad.

Solución de problemas

Si usted o sus usuarios experimentan errores, consulte estos consejos para solucionar problemas.

  • Si se produce un error antes que usted sea redirigido a la página de inicio de sesión del proveedor de identidades, es posible que los metadatos del proveedor no sean válidos.
  • Si en cambio el error se produce después de que usted inicia sesión en la página del proveedor de identidades, estos podrían ser los motivos:
    • La asignación de los atributos entre el proveedor de servicios y el proveedor de identidades no es correcta o el proveedor de identidades no devolvió una ID del usuario remoto válida.
    • El proveedor de servicios no validó la respuesta de SAML del proveedor de identidades. Esto podría deberse a lo siguiente:
      • El proveedor de identidades firma la respuesta de SAML con un certificado que no fue emitido por una autoridad válida, y este certificado no está incluido en el almacén de claves del proveedor de servicios.
      • El reloj del sistema del proveedor de servicios no es correcto.
  • Para obtener más información sobre los errores, abra el archivo bb-services-log.txt o el panel de registros visuales y busque las palabras clave, como unsuccessfulAuthentication o BbSAMLExceptionHandleFilter.
  • Puede usar la consola del desarrollador de Chrome o el complemento SAML Tracer para Firefox para buscar una respuesta SAML.