¿Cómo configuro proveedores externos de autentificación para una cuenta de Canvas?
Canvas soporta la autenticación con una variedad de proveedores de identidad externos, que puede ser configurado en la interfaz de Canvas. Cada proveedor requiere que la administración defina un atributo para ser asociado a la cuenta, como un ID de usuario, correo electrónico o inicio de sesión. Entre las integraciones admitidas actualmente, se incluyen Apple, Facebook, Github, LinkedIn, Twitter, Google Apps, Microsoft (Office 365), Clever, CAS, LDAP, OpenID y SAML. Algunos proveedores requieren componentes personalizados para la configuración. Todos los proveedores admiten la autenticación de Single Sign On (SSO).
Los proveedores de autenticación externos también pueden usarse para la autenticación de Canvas.
Credenciales del usuario
Una vez que un proveedor ha sido guardado en Canvas, las credenciales de inicio de sesión para la autentificación del proveedor deben agregarse a cada cuenta de usuario de Canvas a través de archivos de SIS CSV o la API de los proveedores de autentificación. (Actualmente no hay soporte para agregar las credenciales del usuario a través de la interfaz de Canvas). Cada proveedor de autenticación soporta específicamente reconocidos parámetros; algunos proveedores pueden reconocer parámetros adicionales. No se admiten parámetros desconocidos.
Para obtener ayuda adicional con los sistemas de autenticación, incluida la ayuda con Single Sign On (SSO), vea los documentos de integración en la Comunidad de Canvas.
Aprovisionamiento justo a tiempo
Como parte del proceso de autenticación, los administradores pueden aplicar aprovisionamiento "Justo a tiempo", que le dice a Canvas que cree automáticamente una cuenta de usuario si no existe una. Actualmente, cuando un usuario inicia sesión en Canvas con un sistema de autenticación de terceros, Canvas busca usuarios de la cuenta buscando un parámetro de usuario correspondiente para ese servicio. Si no se encuentra un parámetro coincidente, Canvas devuelve el usuario al portal del proveedor de autenticación con un mensaje de que el usuario no fue encontrado. Cuando está habilitado el aprovisionamiento Justo a tiempo (JIT, por sus siglas en inglés), Canvas crea automáticamente el usuario mediante un identificador que coincide con el nombre de usuario utilizado con el proveedor de autenticación.
El aprovisionamiento JIT debe configurarse a través de API para el proveedor de autenticación específico (ver la API de proveedores de autenticación). No necesita configurarse para los usuarios individuales mediante API o SIS.
Atributos federados
Como complemento al aprovisionamiento JIT, todos los proveedores de autenticación son compatibles con los atributos federados. Cuando los usuarios inician sesión en Canvas, más información más allá de simplemente el ID se pasa a Canvas, y esa información es asociada con sus cuentas de usuario existentes. Puede encontrar más información en la API de proveedores de autenticación.
Abrir cuenta (Open Account)
En la Navegación Global (Global Navigation), haga clic en el enlace Administrador (Admin) [1] y luego en el nombre de la cuenta [2].
Abrir autenticación
En la navegación de la cuenta, haga clic en el enlace de Autenticación (Authentication).
Elegir proveedor
En el menú desplegable de Autenticación, seleccione un servicio de autenticación.
Nota: Si su cuenta forma parte de una cuenta de confianza establecida, puede seleccionar la instancia de Trusted Canvas en el menú desplegable del Proveedor de identidad (Identity Provider). Más información sobre la configuración de la autenticación de la instancia de Trusted Canvas..
Guardar datos del proveedor
Introduzca los datos requeridos por el servicio [1]. Algunos proveedores requieren componentes personalizados para la configuración.
Para habilitar el aprovisionamiento Justo a tiempo, haga clic en la casilla de Aprovisionamiento Justo a tiempo (Just in Time Provisioning) [2].
Establecer los atributos federados
Para utilizar un atributo federado, seleccione un atributo del proveedor de Canvas en el menú desplegable [1]. Este es el atributo que desea utilizar Canvas. Los atributos disponibles incluyen roles de administrador, nombre, dirección de correo electrónico, nombre dado, ID de integración, lugar, nombre, identificación de usuario del sis, nombre clasificable, apellido y zona horaria.
Haga clic en el botón Agregar atributo (Add attribute) [2].
En el menú desplegable de Atributo de proveedor, seleccione el valor del atributo que coincidirá con el atributo de Canvas seleccionado. Los valores disponibles incluyen correo electrónico, apellido, primer nombre, localidad, nombre y sub (identificador de sujeto; es decir, una identificación de usuario que suele usarse con especificaciones de Open ID Connect, Google y Microsoft).
Tenga en cuenta que no todos los valores coincidirán exactamente con el atributo de Canvas. Por ejemplo, si establece el correo electrónico como un atributo en Canvas, las opciones de valor del atributo del proveedor también incluyen correo electrónico, lo que significa que la dirección de correo electrónico del proveedor también se actualizará para la dirección de correo electrónico en Canvas. Sin embargo, algunos atributos de Canvas no pueden alinearse con los valores del atributo del proveedor disponible.
Requiere Autenticación de múltiples factores
La opción Canvas aplica la MFA es funcionalmente equivalente a la casilla de verificación MFA obligatoria activada en la IU anterior; todas las cuentas que tenían activada la casilla de verificación anterior MFA obligatoria tienen esta opción seleccionada.
Para que Canvas aplique la MFA, seleccione la opción Canvas aplica MFA (Canvas enforces MFA) [1]. Para que los proveedores de telefonía móvil de SMS envíen códigos de acceso de un solo uso, haga clic en la casilla de verificación Enviar códigos de acceso de un solo uso a través de SMS (solo proveedores de telefonía móvil de EE. UU.) [2].
Para que el proveedor aplique la MFA, seleccione la opción El proveedor aplica la MFA (Provider enforces MFA) [3].
Para que el usuario opte por la opción MFA, seleccione El usuario puede optar por la opción MFA (User can opt in to MFA) [4].
Nota: El Gerente de Éxito del Cliente de su institución puede configurar la MFA de la siguiente manera: Desactivada, Opcional, Obligatoria para administradores y Obligatoria.
Guardar datos
Haga clic en el botón Guardar (Save).
Administrar el proveedor
Para cambiar la posición de los proveedores de autenticación, haga clic en el menú de posición [1] y elija el número de colocación de la nueva posición. Las posiciones afectan la URL de Discovery cuando una cuenta tiene Configuraciones SSO ajustadas.
Para borrar al proveedor, haga clic en el botón Eliminar (Delete) [2].
Administrar autenticación SAML
Si utiliza la autenticación SAML, puede actualizar manualmente los metadatos SAML haciendo clic en el botón de Actualizar metadatos (Refresh Metadata).
Eliminar autenticación
Para quitar todos los proveedores de autenticación previamente configurados, haga clic en el botón de Eliminar todas las autenticaciones (Remove All Authentication).
Nota: El botón de Remover no afecta la configuración SSO o autenticación de Canvas.
Confirmar eliminación
La eliminación de todos los métodos de autenticación puede afectar la capacidad de sus estudiantes para iniciar una sesión en Canvas. Para confirmar, haga clic en el botón OK.