Dominio de autenticación: cómo iniciar sesión y se gestiona su usuario

Para administrar su usuario, la organización New Relic puede configurar uno o más dominios de autenticación, que controlan cómo se agregan los usuarios a una cuenta de New Relic, cómo se autentican y más.

Dominio de autenticación

Un authentication domain es una agrupación de usuarios de New Relic regidos por la misma configuración de gestión de usuarios, como cómo se aprovisionan (añadidos y actualizados) y cómo se autentican (inician sesión).

Cuando crea una organización New Relic, la configuración de autenticación predeterminada es:

• Método de aprovisionamiento de usuarios: Manual
  • Los usuarios se añaden a través de nuestra Interfaz de usuario de gestión de usuarios o nuestra API de Nerdgraph
• Método para administrar el tipo de usuario: Administrar con New Relic
  • El tipo de usuario de los usuarios es administrado por usted a través de nuestra Interfaz de usuario de administración de usuarios o nuestra API de Nerdgraph
• Método de autenticación de usuarios: Nombre de usuario / contraseña
  • Los usuarios inician sesión en New Relic directamente utilizando una dirección de correo electrónico y una contraseña

Esas configuraciones predeterminadas estarían bajo un dominio de autenticación. Si agregó un dominio de autenticación adicional, podría configurarlo de esta manera:

• Método de aprovisionamiento de usuarios: SCIM
  • Los usuarios se agregan y administran a través del aprovisionamiento SCIM de un proveedor de identidad de terceros como Okta, OneLogin, Azure/Entra o a través de nuestra API SCIM
• Método de autenticación de usuarios: SAML SSO
  • Los usuarios inician sesión mediante el inicio de sesión único (SSO) SAML desde un proveedor de identidad como Okta, OneLogin, Azure/Entra

Cuando agrega usuarios a New Relic, siempre se agregan a un dominio de autenticación específico. Normalmente, las organizaciones tienen uno o dos dominios de autenticación: uno con los métodos manuales y otro para los métodos asociados con un proveedor de identidad.

Requisitos

Para gestionar el dominio de autenticación:

• Su organización debe ser Pro o edición Enterprise para tener un dominio de autenticación editable.

• Para ver o editar el dominio de autenticación, un usuario debe:

  • Tener un tipo de usuario de usuario principal o usuario de plataforma completa.
  • Estar en un grupo con la configuración de administraciónAuthentication domain .

• El aprovisionamiento SCIM, también conocido como gestión automatizada de usuarios, requiere Pro o edición Enterprise. Obtenga más información sobre los requisitos.

• SAML SSO requiere una edición paga. Nuestro soporte SAML SSO incluye:

  • Active Directory Federation Services (ADFS)

  • Auth0

  • Azure AD (Microsoft Azure Active Directory)

  • Google

  • Okta

  • OneLogin

  • Ping Identity

  • Salesforce

  • Soporte genérico para sistemas SSO que utilizan SAML 2.0

Crear y configurar un dominio de autenticación

Si cumple con los requisitos, puede agregar y administrar el dominio de autenticación.

Para ver y configurar el dominio de autenticación: desde el menú de usuario, vaya a Administration > Authentication domains.

Si ya tienes un dominio, aparecerá en la tabla. Tenga en cuenta que la mayoría de las organizaciones tendrán, como máximo, dos o tres dominios: uno con la configuración manual predeterminada y uno o dos para la configuración asociada al proveedor de identidad.

Para crear un nuevo dominio desde la página de UI del dominio de autenticación, haga clic en Create authentication domain. Para gestionar o eliminar un dominio de autenticación, seleccione el elemento de menú para cada dominio de autenticación.

Cambiar a un dominio diferente

Si tiene registros de usuario en más de un dominio de autenticación, puede cambiar entre dominios.

Método de aprovisionamiento de usuarios: cómo se agregan y administran sus usuarios

Desde la interfaz de usuario del dominio de autenticación, puede establecer una de dos opciones para el 'Método de aprovisionamiento de usuarios':

• SCIM: Nuestra función de administración de usuarios automatizada le permite usar el aprovisionamiento SCIM de un proveedor de identidad de terceros.
• Manual: Esto significa que sus usuarios se agregan manualmente a New Relic a través de la Interfaz de usuario de administración de usuarios o nuestra API de Nerdgraph

Notas sobre estas configuraciones:

• No puede alternar Method of provisioning users. Esto significa que si desea cambiar esto para un dominio de autenticación que ya se ha configurado, deberá crear un nuevo dominio de autenticación.
• Cuando habilita SCIM por primera vez, el token de portador se genera y solo se muestra una vez. Si necesita ver un token de portador más tarde, la única forma de hacerlo es generar uno nuevo, lo que invalidará el anterior y cualquier integración que use el token anterior ya no podrá aprovisionar correctamente

Para saber cómo configurar SCIM, consulte Gestión automatizada de usuarios.

Método de gestión del tipo de usuario.

En el Authentication Domain UI, si ha seleccionado SCIM para el método de aprovisionamiento de usuarios, tiene dos opciones para la forma en que se administra el tipo de usuario de sus usuarios:

• Manage user type in New Relic: Esta es la opción por defecto. Le permite administrar el tipo de usuario de sus usuarios desde New Relic.
• Manage user type with SCIM:Habilitar esta opción significa que ya no podrá gestionar el tipo de usuario desde New Relic. Sólo podrás cambiarlo y gestionarlo desde tu proveedor de identidad.

Más sobre estas dos opciones:

Autenticación: cómo log sesión su usuario

El método de autenticación es la forma en que el usuario de New Relic log sesión en New Relic. Todos los usuarios de un dominio de autenticación tienen un único método de autenticación. Hay dos opciones de autenticación:

• Nombre de usuario/contraseña (predeterminado): sus usuarios log sesión mediante correo electrónico y contraseña.
• SAML SSO: su usuario log sesión a través del inicio de sesión único (SSO) de SAML utilizando su proveedor de identidad. Para aprender cómo configurarlo, sigue leyendo.

Configurar la autenticación SAML SSO

Antes de habilitar SAML SSO siguiendo las instrucciones a continuación, aquí hay algunas cosas que debe comprender y considerar:

• Considere leer una introducción a New Relic SSO y SCIM.
• Considere revisar los requisitos de SSO de SAML.
• Considere ver un video sobre cómo configurar SAML SSO.
• Tenga en cuenta que su usuario habilitado para SSO no recibirá una notificación de verificación por correo electrónico de New Relic porque la información de inicio de sesión y contraseña la maneja su proveedor de identidad.
• Consulte los documentos del servicio de su proveedor de identidad porque pueden tener instrucciones específicas de New Relic.

1. Si está configurando el aprovisionamiento SCIM:

   • Si usa Azure, Okta o OneLogin, primero siga estos procedimientos: Azure | Un inicio de sesión | Okta.
   • Si utiliza un proveedor de identidad diferente, siga los procedimientos SAML a continuación y use nuestra API SCIM para habilitar SCIM.

2. Si only desea habilitar SAML SSO y no SCIM, y si usa Azure, Okta o OneLogin, siga estas instrucciones para configurar la aplicación correspondiente:

   Aplicación Azure

   Azure AD proporciona una galería de aplicaciones, que incluye varias integraciones para Azure AD, incluidas las que ofrece New Relic. Agregue la aplicación New Relic SCIM/SSO a su lista de aplicaciones.

   1. Vaya al centro de administración de Azure Active Directory e inicie sesión si es necesario. aad.portal.azure.com/
   2. Haga clic en All services en el menú de la izquierda.
   3. En el panel principal, haga clic en Enterprise applications.
   4. Haga clic en +New application.
   5. Encuentre nuestra aplicación SCIM/SSO ingresando New Relic en el cuadro de búsqueda de nombre y haga clic en la aplicación New Relic by organization (no en New Relic by account).
   6. Haga clic en Add.

   Aplicación Okta

   Agregue la aplicación New Relic SCIM/SSO a sus aplicaciones Okta.

   1. Vaya a okta.com/ e inicie sesión con una cuenta que tenga permisos de administrador.
   2. Desde la página de inicio de Okta, haga clic en Admin.
   3. Desde el administrador de Okta Dashboard, elija la página Applications .
   4. Haga clic en Browse app catalog, luego busque y seleccione "New Relic por organización".
   5. Desde la página New Relic por Organización, haga clic en Add.
   6. Desde la página Agregar New Relic por organización, marque las dos casillas de verificación Application visibility "Do not display..." y haga clic en Done. Haremos que la aplicación sea visible más adelante, una vez que se complete la configuración y haya comenzado el aprovisionamiento.
   7. Abra la aplicación recién creada en Okta y vaya a la pestaña Assignments . Aquí es donde puede agregar usuarios y grupos para la autenticación.
   8. Desde allí, vaya a la pestaña Sign On . Debajo de Advanced Sign-on Settings, verá Authentication Domain ID, que deberá editar este campo en el Paso 9 de las instrucciones generales a continuación. A la derecha, haga clic en View SAML setup instructions. En Step 7 de estas instrucciones, puede encontrar las URL necesarias para los pasos 6 y 7 en las instrucciones generales a continuación.

   Aplicación OneLogin

   Agregue la aplicación New Relic SCIM/SSO a sus aplicaciones OneLogin.

   1. Vaya al sitio web OneLogin e inicie sesión con una cuenta que tenga permisos de administrador.
   2. Desde la página de inicio de OneLogin, haga clic en Administration.
   3. En la página de administración de OneLogin, elija el menú Applications .
   4. Desde la página de la aplicación OneLogin, haga clic en Add app.
   5. En el campo de búsqueda de la página Buscar aplicaciones de OneLogin, ingrese "New Relic por organización" (no "New Relic por cuenta") y luego haga clic en la aplicación cuando aparezca en los resultados de búsqueda.
   6. Desde la página Add New Relic by organization , haga clic en Save.
   • Si está implementando SAML utilizando un proveedor de identidad diferente que no se menciona anteriormente, deberá intentar realizar la integración utilizando las instrucciones de SAML que aparecen a continuación. Tenga en cuenta que su proveedor de identidad debe utilizar el protocolo SAML 2.0 y debe requerir aserciones SAML firmadas.

3. A continuación, accederá a UI de nuestro dominio de autenticación. En el menú de usuario, haga clic en Administration y luego haga clic en Authentication domains. Si aún no tiene uno, cree un nuevo dominio para usarlo con su usuario de autenticación SAML.

4. En Authentication, haga clic en Configure. En Method of authenticating users, seleccione SAML SSO.

5. Si usa la aplicación Okta, OneLogin o Azure AD, puede omitir este paso. En Provided by New Relic, tenemos información específica de New Relic. Deberá colocarlos en los campos correspondientes de su servicio de proveedor de identidad. Si no está seguro de adónde van, consulte los documentos de su proveedor de identidad.

6. En Provided by you, ingrese Source of SAML metadata. Esta URL la proporciona su proveedor de identidad y puede tener otro nombre. Debe cumplir con los estándares de metadatos SAML V2.0. Si su proveedor de identidad doesn't admite la configuración dinámica, puede hacerlo utilizando Upload a certificate. Debe ser un certificado x509 codificado con PEM.

7. En Provided by you, configure el SSO target URL proporcionado por su proveedor de identidad. Puede encontrarlo yendo a Source of SAML metadata y buscando la URL de enlace POST. Parece: https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml.

8. Si su proveedor de identidad tiene una URL de redireccionamiento para cerrar sesión, ingrésela en Logout redirect URL; de lo contrario, déjelo en blanco.

9. Si está utilizando una aplicación de proveedor de identidad, deberá ingresar el ID del dominio de autenticación en la aplicación. Esa identificación se encuentra en la parte superior de la página UI del dominio de autenticación de New Relic.

10. Opcional: en UI del dominio de autenticación de New Relic, puede ajustar otras configuraciones, como la duración de la sesión browser y el método de actualización del usuario. Puede ajustar esta configuración en cualquier momento.

11. Si solo habilita SAML, deberá crear grupos. (Si habilitó SCIM, ya completó este paso). Los grupos son los que le dan a su usuario acceso a las cuentas de New Relic. Sin estar asignado a grupos, su usuario está aprovisionado en New Relic pero no tiene acceso a cuentas ni roles. Para aprender cómo hacer esto:

• Descubra cómo funciona el acceso al grupo de usuarios
• Lea el tutorial de gestión de usuarios.

12. Solo Okta: regrese a la aplicación New Relic de Okta y, desde la página Add New Relic by organization , desmarque las dos casillas de verificación Application visibility "Do not display..." y haga clic en Done.

Para verificar que se haya configurado correctamente, vea si su usuario puede log sesión en New Relic a través de su proveedor de identidad y asegurarse de que tenga acceso a sus cuentas.

Otras configuraciones relacionadas con el usuario

Para administrar la configuración relacionada con la sesión y si el usuario puede actualizarse automáticamente o no:

1. En la UIUser management , seleccione un dominio de autenticación del conmutador.
2. Haga clic en el icono del engranaje .
3. Edite la configuración, que se describe con más detalle a continuación.

Configuraciones relacionadas con la sesión

Las configuraciones relacionadas con la sesión incluyen:

• Tiempo que el usuario puede permanecer conectado
• Cantidad de tiempo de inactividad antes de que caduque la sesión de un usuario (más información sobre los límites de sesión)

Configuración de actualización de usuario

Las configuraciones relacionadas con cómo los usuarios actualizan a un tipo de usuario superior incluyen:

• Automatic approval: Esto permite que los usuarios puedan actualizar inmediatamente a un tipo de usuario superior por su cuenta, sin aprobación. Esto permite que estos usuarios puedan responder más rápidamente a los problemas.
• Require review: Con esta opción, el usuario administrador con la configuración de administraciónAuthentication domain recibe un correo electrónico cuando un usuario solicita una actualización y puede aprobar o rechazar esas solicitudes en la UIUser management .
  • Un usuario está limitado a 6 solicitudes de actualización en un período móvil de 24 horas. Por ejemplo, si realiza sus 6 solicitudes de actualización entre las 8 a. m. y las 10 a. m., deberá esperar hasta las 8 a. m. del día siguiente antes de realizar otra solicitud de actualización.