La configuración SAML en Buk permite conectar la plataforma con el proveedor de identidad del cliente para que los usuarios inicien sesión con sus credenciales corporativas.
Cuando se habilita SSO vía SAML en Buk, se deben completar ciertos datos que permiten conectar Buk con el proveedor de identidad (IdP) del cliente, como Microsoft Entra ID, Okta, Google u otro.
La lógica es simple:
el IdP autentica al usuario y Buk confía en esa validación para permitir el acceso.
¿Por qué el cliente debe crear una aplicación en su IdP para SAML?
Porque el proveedor de identidad del cliente necesita reconocer a Buk como una aplicación confiable dentro de su ecosistema de acceso.
Al crear esa aplicación SAML en su IdP, el cliente puede:
- Definir que Buk será un servicio autorizado para autenticación.
- Configurar qué usuarios o grupos podrán ingresar.
- Generar los datos técnicos de integración, como la URL de SSO y el certificado.
- establecer reglas de seguridad, como firma de respuestas, logout o métodos de autenticación.
Es decir, sin esa aplicación, el IdP no sabe que debe autenticar usuarios para Buk ni cómo hacerlo.
Configuración SAML en Buk: qué define Buk y qué entrega el cliente.
En una integración SAML, la configuración se reparte entre dos partes:
- Buk (Service Provider / SP): define algunos valores propios de la plataforma.
- Cliente (Identity Provider / IdP): entrega los datos de su proveedor de identidad, normalmente desde un archivo XML.
Campos definidos por Buk.
Estos campos corresponden a valores propios de la plataforma o a decisiones funcionales de configuración en Buk.
Dominios a autenticar vía SAML: Define qué dominios de correo usarán inicio de sesión por SAML.
Ejemplo: buk.cl, prueba.com
Para qué sirve: Permite indicar que los usuarios con ese dominio deben autenticarse a través del IdP del cliente y no con un login local tradicional.
Quién lo define: configuración funcional en Buk, según el dominio que use el cliente.
SAML: Authentication context: Es un parámetro que indica el contexto o método de autenticación esperado en la respuesta SAML.
Para qué sirve: Permite validar o solicitar cierto nivel de autenticación desde el IdP. Por ejemplo, puede usarse para exigir que la autenticación haya ocurrido bajo un método específico.
Importante: Este campo no siempre se utiliza. Depende de cómo se quiera implementar la validación entre Buk y el IdP.
Quién lo define: Buk, porque corresponde a una expectativa de validación o comportamiento desde la plataforma receptora.
SAML: Issuer/Audience URL: Es el identificador de Buk dentro de la relación SAML.
Para qué sirve: Permite validar que la respuesta SAML emitida por el IdP está efectivamente dirigida a Buk como servicio esperado.
Importante: Aunque conceptualmente se contrasta con lo que envía el IdP, este valor suele ser parte de la definición de la aplicación del lado de Buk o del acuerdo de integración.
Quién lo define: Buk.
Campos que normalmente entrega el cliente desde su IdP.
Estos datos suelen obtenerse desde el archivo XML de metadata que genera el proveedor de identidad del cliente, o bien desde la configuración manual de su aplicación SAML.
SAML: URL del IdP para SSO: Es la URL de login del proveedor de identidad.
Para qué sirve: Es la dirección a la que Buk redirige al usuario para autenticarse.
Quién lo entrega: Cliente / IdP, normalmente desde el XML de metadata.
SAML: URL del IdP para SLO: Es la URL de logout del proveedor de identidad.
Para qué sirve: Permite gestionar el cierre de sesión centralizado, si el cliente tiene configurado Single Logout.
Quién lo entrega: Cliente / IdP, normalmente desde el XML de metadata, si aplica.
SAML: Certificado de IdP: Es el certificado público del proveedor de identidad.
Para qué sirve: Buk lo usa para validar la firma de la respuesta SAML y asegurar que proviene realmente del IdP configurado.
Quién lo entrega: Cliente / IdP, normalmente dentro del XML de metadata.
SAML: Hash del certificado de IdP: Es la huella digital o fingerprint del certificado del IdP.
Para qué sirve: Permite identificar y validar el certificado configurado.
Quién lo entrega: Cliente / IdP, aunque en algunos casos puede derivarse del certificado.
SAML: Url IdP Logout forzada: Es una URL especial de logout, usada en implementaciones donde se requiere forzar el cierre de sesión en el IdP.
Para qué sirve: Se utiliza cuando el flujo estándar de logout no basta y se necesita un redireccionamiento específico para cerrar sesión correctamente en el proveedor de identidad.
Quién lo entrega: Cliente / IdP, si su configuración lo requiere.
SAML: Algoritmo del hash del certificado: Es el algoritmo con el que se interpreta o valida el hash del certificado.
Ejemplo habitual: SHA-256
Para qué sirve: Asegura que la validación del fingerprint del certificado se haga con el algoritmo correcto.
Quién lo entrega / define: Generalmente se alinea con el certificado entregado por el cliente/IdP, aunque en Buk se selecciona como parte de la configuración.
Manuales dinámicos:
SAML con Google
SAML con Microsoft
SAML con otros Proveedores de Autenticación