Integración de autenticación con CyberArk

Para poder autenticar usuarios en Betterez usando el sistema CyberArk, necesitamos hacer algunas configuraciones tanto en CyberArk como en Betterez.

Configuración de CyberArk

Si ya tienes una aplicación OpenId Connect creada, ve directamente a 2. Configurar la integración de CyberArk en Betterez

1. Configurar la aplicación OpenId Connect (OIDC)

Cuando inicias sesión en el Portal de Usuario de CyberArk Identity, verás un panel con tus aplicaciones y elementos seguros.

Para gestionar las integraciones, debes hacer clic en Admin Portal en el menú lateral izquierdo.

Una vez dentro del Admin Portal, ve a la sección Apps & Widgets en el menú lateral izquierdo y luego haz clic en Web Apps.

Aquí es donde puedes gestionar tus aplicaciones OpenID Connect y otros elementos de seguridad.

Haz clic en el botón Add Web Apps ubicado en la esquina superior derecha de la pantalla.

En la pantalla de creación, necesitarás seleccionar el tipo OpenID Connect Web en el menú desplegable. También puedes buscar "OpenID Connect" para encontrarlo más rápidamente.

Ingresa un nombre descriptivo para tu aplicación en el campo Name y opcionalmente agrega una descripción.

Una vez creada la aplicación, serás redirigido a la página de configuración de la aplicación. En esta pantalla podrás encontrar información importante como:

• Application ID: El identificador de tu aplicación
• Name: El nombre que asignaste a tu aplicación
• Description: La descripción de la aplicación
• App key: La clave de la aplicación (Client ID)
• Widget ID: El identificador del widget

En el menú lateral izquierdo, encontrarás varias opciones de configuración:

• Settings: Configuración general de la aplicación
• Trust: Configuración de confianza y URLs de callback
• Tokens: Configuración de tokens y tiempos de expiración
• Scope: Permisos y alcances de la aplicación
• Permissions: Permisos específicos
• Policy: Políticas de acceso
• Account Mapping: Mapeo de cuentas de usuario

Recuerda el nombre de tu aplicación y toma nota del App key y Widget ID ya que necesitarás esta información para completar la configuración en Betterez

Configurar Trust y URLs de callback

Haz clic en la opción Trust en el menú lateral izquierdo. En esta sección encontrarás:

Identity Provider Configuration:

• OpenID Connect client ID: El identificador del cliente (también llamado App key)
• OpenID Connect metadata URL: La URL de metadatos de OpenID Connect
• OpenID Connect client secret: El secreto del cliente (guárdalo de forma segura)
• OpenID Connect issuer URL: La URL del emisor

Service Provider Configuration:

• Login initiated by: Puedes elegir entre "the relying party (RP)" o "CyberArk Identity"
• Relying party application URL: La URL de tu aplicación Betterez
• Authorized redirect URIs: Aquí debes agregar las URLs de callback autorizadas

Para agregar una URL de callback, haz clic en el botón Add en la sección de Authorized redirect URIs e ingresa la URL de callback que obtuviste desde Betterez (por ejemplo: https://sandbox.betterez.com/accounts/sso/openid/embussandhov/callback).

Asegúrate de marcar la casilla Show in user app list si quieres que la aplicación aparezca en la lista de aplicaciones del usuario.

Haz clic en Save para guardar los cambios.

2. Configurar la integración de CyberArk en Betterez

Ve a /admin/integrations y selecciona Open Id, una vez allí necesitarás completar el formulario.

• Provider: Selecciona cyberark
• Issuer: La URL del Issuer, algo como "https://acc4461.id.cyberark.cloud/Betterez/"
• Client Id: Esta es una clave pública emitida por el sistema externo (el App key que obtuviste en CyberArk)
• Client secret: Esta es una clave requerida para intercambiar información con el sistema externo (el OpenID Connect client secret de la sección Trust)
• Default role: Si el usuario no existe en Betterez, será creado con el rol seleccionado
• Disable email and password login: Si es Sí, los usuarios solo serán autenticados por CyberArk
• Callback URL: La URL de retorno a configurar en CyberArk (copia esta URL y úsala en la configuración de Trust)
• Enable: Si es Sí, el inicio de sesión único con CyberArk está habilitado

Encontrar la información para completar en Betterez

Casi toda la información necesaria para completar el formulario en Betterez se encuentra en la sección Trust de CyberArk:

• Issuer: Lo encuentras en Trust, en el campo OpenID Connect issuer URL
• Client ID: Lo encuentras en Trust, en el campo OpenID Connect client ID
• Client secret: Lo encuentras en Trust, en el campo OpenID Connect client secret

Configurar la URL de callback en CyberArk

Una vez que hayas guardado la configuración en Betterez, necesitarás copiar la Callback URL que aparece en el formulario de Betterez y agregarla en CyberArk:

1. Ve a la sección Trust de tu aplicación en CyberArk
2. En Authorized redirect URIs, haz clic en Add
3. Pega la URL de callback que copiaste desde Betterez
4. Haz clic en Save para guardar los cambios

Una vez completado el formulario, haz clic en Save para guardar la configuración.

3. Asignar usuarios

Una vez que todo esté configurado, tienes que asignar los usuarios que quieres que sean autenticados en Betterez en CyberArk. Para hacerlo:

1. Ve al Admin Portal de CyberArk
2. Navega a Core Services → Users en el menú lateral izquierdo
3. Verás la lista de usuarios disponibles en tu organización

4. Localiza el usuario que deseas asignar a la aplicación
5. Haz clic en el usuario para ver sus detalles
6. Ve a la pestaña de aplicaciones o permisos
7. Asigna la aplicación OpenID Connect que creaste anteriormente

De esta manera, el usuario podrá ver y utilizar la aplicación para autenticarse en Betterez.

4. Iniciar sesión con CyberArk

Si tu dominio soporta SSO con CyberArk, verás la siguiente pantalla de inicio de sesión:

Los usuarios podrán hacer clic en el botón Iniciar sesión con CyberArk para ser redirigidos al portal de autenticación de CyberArk. Una vez autenticados exitosamente en CyberArk, serán redirigidos automáticamente de vuelta a Betterez con su sesión iniciada.

Si habilitaste la opción Disable email and password login, los campos de correo electrónico y contraseña no estarán disponibles y los usuarios solo podrán autenticarse a través de CyberArk.