Skip to main content

Comandos permitidos

LogicalDOC se basa en un conjunto de comandos externos para implementar funciones como vista previa de documentos u OCR. También puede ejecutar cualquier comando externo desde la Automatización.

Para mejorar la seguridad, solo se pueden ejecutar los comandos enumerados en el archivo <LDOC_HOME>/conf/allowed-commands.txt. Ese es un archivo de texto que puede editar fácilmente y el formato es muy simple: cada línea representa la ruta completa de un comando permitido.

Un simple allowed-commands se ve así:

C:\LogicalDOC\imagemagick\convert.exe
C:\LogicalDOC\ghostscript\bin\gs.exe
C:\LogicalDOC\openssl\bin\openssl.exe
C:\LogicalDOC\clamav\clamscan.exe
C:\LogicalDOC\tesseract\tesseract.exe

Si desea permitir todos los comandos posibles, puede colocar la línea especial *:

*
C:\LogicalDOC\imagemagick\convert.exe
C:\LogicalDOC\ghostscript\bin\gs.exe
C:\LogicalDOC\openssl\bin\openssl.exe
C:\LogicalDOC\clamav\clamscan.exe
C:\LogicalDOC\tesseract\tesseract.exe

Single Sign-On SAML

El Single Sign-On (SSO) es una forma para que los usuarios inicien sesión en múltiples aplicaciones con una única identificación de usuario y contraseña sin tener que volver a ingresar sus credenciales. El estándar SAML permite a los proveedores de identidad pasar credenciales a los proveedores de servicios. LogicalDOC se puede configurar para actuar como Proveedor de Servicios (SP) SAML 2.0.

El Security Assertion Markup Language (SAML) es un estándar abierto que permite a los Proveedores de Identidad (IdP), como Okta, pasar credenciales de autorización a proveedores de servicios (SP), como LogicalDOC.

En términos más simples, significa que puede utilizar un conjunto de credenciales para iniciar sesión en muchos sitios diferentes. Con una cuenta de proveedor de identidad SAML, puede iniciar sesión en LogicalDOC y otros sitios de forma segura con la misma cuenta.

El principal beneficio es que ayuda a los administradores a centralizar la gestión de usuarios al controlar a qué sitios tienen acceso los usuarios con sus credenciales de proveedor de identidad SAML.

LogicalDOC permite el uso de un único archivo de metadatos para recuperar información de configuración para el proveedor de identidad. El archivo XML de metadatos contiene el certificado del IdP, el ID de entidad y la URL de redireccionamiento.

La integración de inicio de sesión único SAML ofrece los siguientes beneficios:

  • Single Sign-On. Los usuarios pueden iniciar sesión en LogicalDOC con sus credenciales SAML.
  • Single Logout (SLO). Como opción, un usuario que cierra sesión en LogicalDOC cerrará sesión en todas las demás aplicaciones en las que inició sesión con las mismas credenciales.
  • Gestión de identidad centralizada. Las cuentas de LogicalDOC extraen automáticamente los atributos del usuario de SAML al iniciar sesión, como el nombre completo, el correo electrónico y el nombre de usuario.
  • Aprovisionamiento automático de cuentas. Las cuentas de usuario de LogicalDOC se crean automáticamente la primera vez que un usuario inicia sesión con sus credenciales SAML.

Al momento de escribir este artículo, LogicalDOC se probó con Okta, JumpCloud y Microsoft ADFS como Proveedores de Identidad (IDP). Consulte los enlaces a continuación para obtener más detalles sobre cómo configurar SAML con estos proveedores.

Además de estos proveedores de identidades, también puede configurar SAML para un IdP personalizado. Es importante que pruebe nuevas versiones de LogicalDOC en un entorno de prueba para confirmar que funcionará con su Proveedor de Identidad.

Info

Incluso si habilita el Single Sign-On, la página de inicio de sesión estándar continúa estando disponible y funciona como siempre.

Validación

Podes opcionalmente proveer una rutina de automatización que se invoca cada vez que un usuario está a punto de ser autenticado a través de SAML para decidir si debe autenticarse o no, o para realizar más elaboraciones sobre el propio usuario. La rutina de automatización recibirá la variable samlUser, use la bandera booleana samlUser.valid para marcar al usuario como autorizado o no.

Dictionary available for the Automation in this context

CONTEXTO DE AUTOMATIZACIÓN: SINGLE SIGN-ON SAML
VariableClase JavaDescripción
samlUser

SamlUser

el usuario siendo autenticado

Read the Automation manual for more information.

Configurar SAML con JumpCloud

Antes de que empieces

Antes de comenzar, debe generar certificados digitales para cifrar la conexión SAML y cargarlos en LogicalDOC.

  1. Puede utilizar el script Bash del repositorio logicaldoc/scripts en GitHub, o cualquier otro método adecuado.
  2. Guarde los dos archivos que se generan. Son la clave privada y la clave pública. En el panel de configuración de SAML, se los denomina Clave privada del SP y Certificado del SP, respectivamente.

Preparar LogicalDOC

  1. Habilite el Single Sign-On SAML en Administración > Seguridad > Single Sign-On SAML.
  2. En el campo Entity ID del SP, coloque un identificador único (puede colocar aquí la misma URL que usa normalmente para conectarse a LogicalDOC, por ejemplo, http://localhost:8080).
  3. Habilite tanto la firma de los mensajes AuthnRequest como el cifrado de las aserciones recibidas.
  4. Elija SHA-256 como Algoritmo de la firma.
  5. Cargue el Certificado del SP y la Clave privada del SP generados antes, en los campos correspondientes.
  6. En el formulario Asignaciones de atributos, prepare las siguientes asignaciones:
    • En Nombre usuario, escriba username
    • En Nombre, escriba firstName
    • En Apellido, escriba lastName
    • En Email, escriba email
    • En Grupos, escriba groups

    Haga clic en Guardar para confirmar toda la configuración.

    SAML Panel
  7. Exporte el archivo de metadatos del Proveedor de Servicios haciendo clic en la URL que se muestra en el campo Metadatos del SP. Luego utilizará este archivo en JumpCloud más adelante.

Ahora ha completado la configuración de LogicalDOC y puede abordar la configuración de JumpCloud.

Configurar una aplicación SSO para el Single Sign-On de LogicalDOC

  1. Ingrese JumpCloud como administrador.

  2. Vaya a SSO Applications > Add New Application.

  3. Seleccione Custom Application y haga click en Next.

    JumpCloud Panel

  4. Elija solo la función Manage Single Sign-On (SSO) y luego Configure SSO with SAML.

    JumpCloud Panel

  5. Ingrese información general para la aplicación, incluyendo la etiqueta de visualización y el logotipo (opcional). Se recomienda mostrar el ícono de la aplicación a los usuarios. Si desea utilizar un logotipo de LogicalDOC para la aplicación, puede descargar uno desde nuestra página.

    JumpCloud Panel

  6. En la siguiente pantalla, seleccione Configure Application.

  7. Cargue los metadatos del proveedor de servicios que obtuvo en el paso 7 de la preparación de LogicalDOC.

    JumpCloud Panel

  8. Un IdP Entity ID único.

    JumpCloud Panel

  9. Marque la opción Sign Assertion.

    JumpCloud Panel

  10. En la sección de atributos, haga clic en add attribute e inserte las siguientes asignaciones de atributos:

    • Asigne Service Provider Attribute Name username a JumpCloud Attribute Name username
    • Asigne Service Provider Attribute Name firstName a JumpCloud Attribute Name firstname
    • Asigne Service Provider Attribute Name lastName a JumpCloud Attribute Name lastname
    • Asigne Service Provider Attribute Name email a JumpCloud Attribute Name email
    JumpCloud Panel

  11. Habilite Include group attribute y ponga groups

  12. Asignar los grupos de usuarios a esta nueva aplicación.

    JumpCloud Panel

  13. Seleccione Save para completar.

Exportar metadatos del proveedor de identidad

A continuación, exporte los metadatos del proveedor de identidad, que luego se cargarán en LogicalDOC para finalizar la configuración de SAML.

  1. En JumpCloud, vaya a SSO Applications y aquí haga clic en la entrada LogicalDOC.

  2. Abra la pestaña SSO y haga clic en Export Metadata.

    JumpCloud Panel

  3. Vaya a LogicalDOC en Administración > Seguridad > Single Sign-On SAML y cargue el archivo de metadatos del proveedor de identidad en el campo de Metadatos del IdP.

    Haga clic en el botón Guardar para confirmar todo.

Pruebe el login

Para comprobar si todo estaba configurado correctamente, puede intentar iniciar sesión desde LogicalDOC actuando como proveedor de servicios.

  1. Vaya a LogicalDOC en Administración > Seguridad > Single Sign-On SAML y copie el enlace del campo Ingresar (es la URL base de LogicalDOC seguida de /saml/login).
  2. Abra un navegador diferente y pegue la URL y será redirigido a la página de inicio de sesión de JumpCloud.
  3. Aquí ingrese las credenciales de un usuario en su JumpCloudy debería iniciar sesión directamente en LogicalDOC.

 

Configurar SAML con Okta

Antes de que empieces

Antes de comenzar, debe generar certificados digitales para cifrar la conexión SAML y cargarlos en LogicalDOC.

  1. Puede utilizar el script Bash del repositorio logicaldoc/scripts en GitHub, o cualquier otro método adecuado.
  2. Guarde los dos archivos que se generan. Son la clave privada y la clave pública. En el panel de configuración de SAML, se los denomina Clave privada del SP y Certificado del SP, respectivamente.

Preparar LogicalDOC

  1. Habilite el Single Sign-On SAML en Administración > Seguridad > Single Sign-On SAML.
  2. En el campo Entity ID del SP, coloque un identificador único (puede colocar aquí la misma URL que usa normalmente para conectarse a LogicalDOC, por ejemplo, http://localhost:8080).
  3. Habilite tanto la firma de los mensajes AuthnRequest como el cifrado de las aserciones recibidas.
  4. Elija SHA-256 como Algoritmo de la firma.
  5. Cargue el Certificado del SP y la Clave privada del SP generados antes, en los campos correspondientes.
  6. En el formulario Asignaciones de atributos, prepare las siguientes asignaciones:
    • En Nombre usuario, escriba username
    • En Nombre, escriba firstName
    • En Apellido, escriba lastName
    • En Email, escriba email
    • En Grupos, escriba groups

    Haga clic en Guardar para confirmar toda la configuración.

    SAML Panel

Ahora ha completado la configuración de LogicalDOC y puede abordar la configuración de Okta.

Configurar un connection app para el Single Sign-On de LogicalDOC

  1. Inicie sesión en Okta como administrador.

  2. Vaya a Applications > Add Application.

  3. Seleccione Create New App, y luego elija SAML 2.0 como método de inicio de sesión.

    Okta Panel

  4. Ingrese General Settings de la aplicación, poniendo el nombre de la aplicación y el logotipo de la aplicación (opcional). Se recomienda mostrar el ícono de la aplicación a los usuarios, incluso en la aplicación Okta Mobile. Si desea utilizar un logotipo de LogicalDOC para la aplicación, puede descargar uno desde nuestra página.

    Okta Panel

  5. Ingrese a SAML Settings que incluye:

    • Single sign-on URL: https://your_logicaldoc_url/saml/acs donde https://your_logicaldoc_url normalmente debería coincidir con la URL de LogicalDOC.

    • Audience URI: el identificador que utilizó en el paso 2 de la preparación de LogicalDOC.

    • Name ID format: unspecified

    • Application username: Okta username

    Okta Panel

  6. Para configurar el cifrado para su conexión SAML, seleccione Show Advanced Settings.

  7. Configure el Assertion Encryption como Encrypted, y luego cargue el certificado público del proveedor de servicios que generó anteriormente en el campo SP Certificate.

    Okta Panel

  8. Ingrese declaraciones de atributos utilizadas para asignar atributos entre Okta y LogicalDOC. Para obtener más información sobre qué atributos son configurables, consulte nuestra documentación sobre los ajustes de configuración de SAML. Se requieren atributos de correo electrónico y nombre de usuario.

    Okta Panel

Exportar metadatos del proveedor de identidad

A continuación, exporte los metadatos del proveedor de identidad, que luego se cargarán en LogicalDOC para finalizar la configuración de SAML.

  1. En Okta vaya a Applications y aquí haga clic en la entrada LogicalDOC.

  2. Abra la pestaña Sign On y copie el Metadata Url.

    Okta Panel

  3. Para recuperar los metadatos del IdP (proveedor de identidad), en un navegador, pegue la URL completa.

  4. Vaya a LogicalDOC en Administración > Seguridad > Single Sign-On SAML y cargue el archivo de metadatos del proveedor de identidad en el campo de metadatos del IdP.

    Haga clic en el botón Guardar para confirmar todo.

Pruebe el login

Para comprobar si todo estaba configurado correctamente, puede intentar iniciar sesión desde LogicalDOC actuando como proveedor de servicios.

  1. Vaya a LogicalDOC en Administración > Seguridad > Single Sign-On SAML y copie el enlace del campo Ingresar (es la URL base de LogicalDOC seguida de /saml/login).
  2. Abra un navegador diferente y pegue la URL y será redirigido a la página de inicio de sesión de Okta.
  3. Aquí, ingrese las credenciales de un usuario en su Okta y debería iniciar sesión directamente en LogicalDOC.

 

Configurar el Single Logout con Microsoft ADFS

El proveedor de identidad ADFS admite el cierre de sesión único, por lo que puede configurar el Single Logout (SLO) de SAML.

Cuando un usuario inicia un cierre de sesión, el proveedor de identidad cierra la sesión del usuario en todas las aplicaciones en la sesión de inicio de sesión actual del proveedor de identidad. El cierre de sesión podría ser iniciado por el proveedor de servicios o por el proveedor de identidad.

Preparar LogicalDOC

  1. Habilite el cierre de sesión único de SAML en Administración > Seguridad> Single Sign-On SAML 
  2. Habilite el cifrado de las solicitudes y respuestas de cierre de sesión

    Haga clic en Guardar para confirmar toda la configuración.

    SAML Panel

Ahora ha completado la configuración de LogicalDOC y puede abordar la configuración de ADFS.

Agregar el endpoint Logout

  1. Abra el complemento de administración de ADFS y luego seleccione AD FS > Relying Party Trusts. Aquí, haga clic derecho en LogicalDOC y elijaProperties, luego vaya a la pestaña Endpoints.

  2. Here, click on Add SAML...  para agregar un nuevo endpoint Logout, como Trusted URL coloque la URL base del LogicalDOC seguida del sufijo /saml/logout y como Response URL coloque la URL base del LogicalDOC seguida del sufijo /saml/slo suffix

  3. Ahora creó el nuevo punto final para el logout.

Haga clic en el botón OK para confirmar.

Pruebe el Logout

Para probar si todo estaba configurado correctamente, puede hacer esto:

  1. Inicie sesión en una de las aplicaciones conectadas al mismo ADFS
  2. Luego ingrese a la página de Single Sing-in de LogicalDOC
  3. Una vez dentro de LogicalDOC, presione el botón de cerrar sesión
  4. Ahora, verifique que también haya cerrado sesión en todas las demás aplicaciones.