El complemento de inicio de sesión único (SSO) de WordPress OAuth y OpenID Connect permite iniciar sesión de forma segura en WordPress utilizando ADFS como proveedor de OAuth y OpenID Connect. También puede configurar el complemento utilizando diferentes proveedores personalizados e IDP estándar. Admite funciones avanzadas de inicio de sesión único (SSO), como mapeo de atributos de perfil de usuario, mapeo de roles, etc. Aquí revisaremos una guía para configurar SSO entre WordPress y ADFS. Al final de esta guía, los usuarios deberían poder iniciar sesión en WordPress desde ADFS. Para saber más sobre otras funciones que ofrecemos en el complemento WP OAuth Single Sign-On (OAuth & OpenID Connect Client), puede haga clic aquí.

Requisitos previos: descarga e instalación

• Inicie sesión en su instancia de WordPress como administrador.
• Ir a WordPress Panel de control -> Complementos y haga clic en Añadir nuevo.
• Buscar un Inicio de sesión único (SSO) de WordPress OAuth complemento y haga clic en <>Instalar ahora.
• Una vez instalado, haga clic en Activar.

Pasos para configurar el inicio de sesión único (SSO) de ADFS en WordPress

1. Configure ADFS como proveedor de OAuth

• Para realizar SSO con ADFS como proveedor, su aplicación debe estar habilitada para https.
• Navegue hasta Panel de control del Administrador del servidor->Herramientas->Administración de ADFS.

• Navegue hasta ADFS->Grupos de aplicaciones. Haga clic derecho en Grupos de aplicaciones & haga clic en Agregar grupo de aplicaciones a continuación, introduzca Nombre de la aplicación. Seleccione Aplicación de servidor & haga clic en Next.

• Copiar Identificador de cliente. Esta es tu ID de cliente. Añadir URL de devolución de llamada in URL a redirigir. puedes conseguir esto URL de devolución de llamada del complemento de inicio de sesión único (SSO) del cliente miniOrange OAuth. Haga clic en Next.

• Haga clic en Generar secreto compartido. Copia el Valor secreto. Esta es tu Secreto del cliente. Hacer clic en Siguiente.

• En Resumen Pantalla, haga clic en Siguiente. Por Solución Pantalla, haga clic en Cerrar.
• Ahora, haga clic derecho en el grupo de aplicaciones recién agregado y seleccione Propiedades.
• Haga clic en Agregar aplicación en Propiedades de la aplicación.
• Haga clic en el Agregar aplicación. Luego seleccione API web y haga clic Siguiente.

• En Configurar API web pantalla, ingrese la dirección del nombre de dominio en el Identificador sección. Hacer clic Añada. Hacer clic Siguiente.

• En Elija la política de control de acceso pantalla, seleccionar Permitir a todos y haga clic Siguiente.

• En Configurar el permiso de la aplicación, por defecto abierto se selecciona como alcance. Puedes elegir email y, perfiles también, luego haga clic en Next.

• En Resumen Pantalla, haga clic en Siguiente. Por Solución Pantalla, haga clic en Cerrar.
• En Propiedades de la aplicación de ejemplo clic OK.

Has configurado correctamente ADFS como proveedor de OAuth para lograr iniciar sesión con ADFS en su sitio de WordPress.

2. Configure WordPress como cliente OAuth

• Gratuito
• Premium

• Ve a Configurar OAuth pestaña y clic Agregar nueva aplicación para agregar una nueva aplicación cliente a su sitio web.

• Elija su aplicación de la lista de proveedores de OAuth/OpenID Connect, aquí ADFS

• Copia el URL de devolución de llamada para ser utilizado en la configuración del proveedor OAuth. Hacer clic Siguiente.


• Debes ingresar el Nombre de la aplicación y puntos finales aquí, para eso consulte la siguiente tabla y haga clic en Siguiente.

Nota: Una vez que cree la cuenta ADFS, encontrará el URL del dominio y deberá agregar lo mismo en los puntos finales siguientes.




Autorizar punto final:	https://{Domain URL}/adfs/oauth2/authorize
Punto final del token de acceso:	https://{Domain URL}/adfs/oauth2/token
Obtener punto final de información del usuario:	https://{Domain URL}/adfs/oauth2/userinfo


• Ingrese las credenciales del cliente como ID de cliente & Secreto del cliente como se muestra en el cuadro de diálogo de configuración, abierto ya está lleno. Hacer clic Siguiente.

• Haga clic en Acabado para guardar la configuración.

Has configurado correctamente WordPress como cliente OAuth para lograr la autenticación de usuario con el inicio de sesión único (SSO) de ADFS en su sitio de WordPress.

• Ve a Configurar OAuth y busque el nombre de su aplicación para agregar una nueva aplicación cliente a su sitio web, aquí ADFS.

• Inserte aquí su dominio ADFS y configúrelo ID de cliente y Secreto del cliente recibido de Configuración de ADFS y haga clic en Guardar configuración

• Consulte la siguiente tabla para configurar el alcance y puntos finales para ADFS en el complemento.

  Nota: Una vez que cree la cuenta ADFS, encontrará el URL del dominio y deberá agregar lo mismo en los puntos finales siguientes.

  
  

  Alcance:	abierto
  Autorizar punto final:	https://{yourADFSDomain}/adfs/oauth2/authorize/
  Punto final del token de acceso:	https://{yourADFSDomain}/adfs/oauth2/token/

  
• Escoge tu Tipo de beca de la lista de opciones y haga clic en Guardar configuración para guardar la configuración.

Has configurado correctamente WordPress como cliente OAuth para lograr la autenticación de usuario con el inicio de sesión único (SSO) de ADFS en su sitio de WordPress.

3. Mapeo de atributos de usuario

• La asignación de atributos de usuario es obligatoria para permitir a los usuarios iniciar sesión correctamente en WordPress. Configuraremos los atributos del perfil de usuario para WordPress usando la siguiente configuración.

Encontrar atributos de usuario

• Ve a Configurar OAuth pestaña. Desplácese hacia abajo y haga clic en Configuración de prueba.

• Verá todos los valores devueltos por su proveedor de OAuth a WordPress en una tabla. Si no ve el valor de Nombre, Apellido, Correo electrónico o Nombre de usuario, realice las configuraciones necesarias en su proveedor de OAuth para devolver esta información.

• Una vez que vea todos los valores en Configuración de prueba, vaya a Mapeo de atributos/roles pestaña, obtendrá la lista de atributos en un menú desplegable de Nombre de usuario.

4: Mapeo de roles [Premium]

• Haga clic en “Configuración de prueba” y obtendrá la lista de nombres de atributos y valores de atributos enviados por su proveedor de OAuth.
• Desde la ventana Configuración de prueba, asigne los nombres de atributos en la sección Asignación de atributos del complemento. Consulte la captura de pantalla para obtener más detalles.

• Habilitar asignación de roles: Para habilitar la asignación de roles, debe asignar el atributo de nombre de grupo. Seleccione el nombre del atributo de la lista de atributos que devuelve los roles de su aplicación de proveedor.
  P.ej: Función


• Asigne el rol de WordPress al rol de Proveedor: Según su aplicación de proveedor, puede asignar la función de WordPress a sus funciones de proveedor. Puede ser estudiante, profesor, administrador o cualquier otro dependiendo de su aplicación. Agregue los roles de proveedor en Valor de atributo de grupo y asigne el rol de WordPress requerido delante de él en Rol de WordPress.
  
  Por ejemplo:, en la imagen de abajo. Al maestro se le ha asignado el rol de administrador y al estudiante el rol de suscriptor.

• Una vez que guarde la asignación, al rol de proveedor se le asignará el rol de administrador de WordPress después del SSO.
  Ejemplo: Según el ejemplo dado, los usuarios con el rol de "profesor" se agregarán como administradores en WordPress y el "estudiante" se agregará como suscriptor.

5. Pasos para recuperar grupos de usuarios como reclamos

• Obtener grupos de usuarios como reclamos
• Obtener grupos de usuarios específicos como reclamos

• Abra la Administración de ADFS herramienta ubicada debajo de la Herramientas menú en la parte superior derecha del Administrador del servidor.
• Seleccione Grupos de aplicaciones elemento de carpeta en la barra lateral izquierda.

• Haga doble clic en el grupo agregado anteriormente, luego haga doble clic en el API web .

• Seleccione la pestaña llamada Reglas de transformación de emisión. Haga clic en Agregar regla Botón en la parte inferior.

• Seleccione Enviar atributos LDAP como reclamos y haga clic en siguiente.

• Dale un nombre a la regla, por ejemplo. Roles y seleccionar "Directorio Activo" como el "Tienda de atributos".

• En la siguiente tabla, seleccione Nombres no calificados de grupos de tokens en la primera columna y escriba También soy miembro del cuerpo docente de World Extreme Medicine (WEM) y embajadora europea de igualdad para The Transformational Travel Council (TTC). En mi tiempo libre, soy una incansable aventurera, escaladora, patrona de día, buceadora y defensora de la igualdad de género en el deporte y la aventura. En XNUMX, fundé Almas Libres, una ONG nacida para involucrar, educar y empoderar a mujeres y niñas a través del deporte urbano, la cultura y la tecnología. en la segunda columna.

• Abra la Administración de ADFS herramienta ubicada debajo de la Herramientas menú en la parte superior derecha del Administrador del servidor.
• Seleccione Grupos de aplicaciones elemento de carpeta en la barra lateral izquierda.

• Haga doble clic en el grupo agregado anteriormente, luego haga doble clic en el API web .

• Seleccione la pestaña llamada Reglas de transformación de emisión. Elimine cualquier regla que ya haya agregado y haga clic en el Agregar regla Botón en la parte inferior.

• Seleccione Enviar reclamos usando una regla personalizada y haga clic en siguiente.

• Dale el nombre a la regla. StoreRoles y pega lo siguiente en el Regla personalizada campo:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("roles"), query = ";tokenGroups;{0}", param = c.Value);
• Haga clic en finalizar y agregue otra regla más.
• De nuevo, seleccione Enviar reclamos usando una regla personalizada y haga clic en siguiente.
• Dale a esta regla el nombre Roles de asunto y pega lo siguiente en el Regla personalizada campo:
c:[Type == "roles", Value =~ "^Prefix.+"] => issue(claim = c);
• La parte que contiene //"^Prefix.+"// es una expresión regular utilizada para filtrar los grupos de Windows enviados como parte de las reclamaciones. En este caso sólo aceptamos los grupos de Windows que comienzan con "Prefijo". Ajústelo para satisfacer sus necesidades.
• Haga clic en finalizar.

6. Configuración de inicio de sesión

• La configuración en la pestaña Configuración de inicio de sesión único (SSO) define la experiencia del usuario para el inicio de sesión único (SSO). Para agregar un widget de inicio de sesión de Okta en su página de WordPress, debe seguir los pasos a continuación.

Configuración de inicio de sesión para WordPress 5.7 y anteriores

• Ve a Panel izquierdo de WordPress > Apariencias > Widgets.
• Seleccione miniOrange OAuth. Arrastra y suelta en tu ubicación favorita y guarda.


Configuración de inicio de sesión para WordPress 5.8

• Ve a Panel izquierdo de WordPress > Apariencias > Widgets.
• Seleccione miniOrange OAuth. Arrastra y suelta en tu ubicación favorita y guarda.

• Abra su página de WordPress y podrá ver el botón de inicio de sesión de Okta SSO allí. Puede probar el inicio de sesión único (SSO) de Okta ahora.

Configuración de inicio de sesión para WordPress 5.9

• Asegúrese de que el "Mostrar en la página de inicio de sesión" La opción está habilitada para su aplicación. (Consulte la imagen a continuación)

• Ahora ve a tu Iniciar sesión en WordPress . (Por ejemplo, https://<su-dominio-wordpress>/wp-login.php)
• Verá un botón de inicio de sesión de Okta SSO allí. Una vez que haga clic en el botón de inicio de sesión, podrá probar el inicio de sesión único (SSO) de Okta.