SAML SSO

Configuración SAML 2.0 para Microsoft Entra ID / Azure (Gigantics SP)

Puedes habilitar el método de autenticación SAML Single Sign-On en Gigantics. Se puede configurar desde el archivo de configuración al iniciar o desde los ajustes globales de la aplicación.

Parámetros (Gigantics)

Entry Point (Login URL) — URL del IdP que inicia el flujo SAML.
Issuer (Entity ID) — Identificador del IdP.
IdP Signing Certificate — Certificado X.509 (PEM/Base64) para validar firmas.
Logout URL (opcional) — Endpoint de Single Logout del IdP.

Configuración por fichero (`config/custom.yaml`)

saml:
  entryPoint: 'https://login.my-idp-server.com'
  issuer: 'my-gigantics-app'
  cert: |
    -----BEGIN CERTIFICATE-----
    MIIC8D....ToVa6q
    -----END CERTIFICATE-----
  logoutUrl: 'https://login.my-idp-server.com'

Configuración por UI (Global Settings → Authentication → SAML Configuration)

Campo UI	Clave config	Descripción
SAML Entry Point	`saml.entryPoint`	URL de login del IdP
Issuer	`saml.issuer`	Entity ID del IdP
IdP Signing Certificate	`saml.cert`	PEM completo en Base64 (BEGIN/END)
Logout URL (opcional)	`saml.logoutUrl`	Endpoint SLO del IdP

Flujo (vista general)

Usuario → Gigantics (/auth/saml) → IdP → Respuesta SAML → /auth/saml/callback → sesión
Logout: /auth/saml/logout → IdP SLO (RelayState) → /sso-logout

Pasos en Gigantics (SP)

Definir Entry Point, Issuer y certificado del IdP (UI o YAML).
(Opcional) Definir Logout URL si el IdP soporta SLO.
Guardar y reiniciar el servidor.
Probar en https://my-gigantics-instance/auth/saml.

Pasos en el IdP (genérico)

Crear app SAML (SP-initiated).
Entity ID = issuer configurado en Gigantics.
ACS/Reply URL = https://my-gigantics-instance/auth/saml/callback.
(Opcional) Sign-on URL = https://my-gigantics-instance/signin.
Respuestas firmadas (respuesta o respuesta+assertion).
Exportar el certificado de firma (Base64) y pegar en Gigantics.
(Opcional) RelayState/post-logout = https://my-gigantics-instance/sso-logout.

Entra ID / Azure AD (IdP)

Navegación inicial
Azure dashboard

App registrations → {App Name} → Authentication (Preview) → Enterprise applications.
Ir a Single sign-on → SAML.

Certificados y firma
Certificados SAML en Azure
Configurar firma como “Sign SAML response” o “Sign SAML response and assertion.”

URLs clave
Configuración básica SAML en Azure

Identifier (Entity ID): p.ej. my-gigantics-app (debe coincidir con issuer).
Reply URL: https://my-gigantics-instance/auth/saml/callback.
Sign-on URL: https://my-gigantics-instance/signin (opcional).

Login URL / Entry Point
Login URL en Azure
Copiar el Login URL y usarlo como Entry Point en Gigantics.

Set up AppName
Set up en Azure
Usar esta sección para obtener Login URL y certificados; no requiere más cambios.

Mapeo UI de Gigantics (SP) con Azure

Página de autenticación de Gigantics
Campos SAML en Gigantics

Entry Point ↔ Login URL (Azure).
Issuer ↔ Identifier (Entity ID).
Reply/ACS URL ↔ https://my-gigantics-instance/auth/saml/callback.
Sign-on URL (opcional) ↔ https://my-gigantics-instance/signin.
IdP Signing Cert ↔ Certificado Base64 (SAML Certificates).
Logout URL (opcional) ↔ Front-channel logout URL.

Inserción de certificado (PEM)

Ejemplo de cómo debe verse el bloque PEM en Gigantics:

-----BEGIN CERTIFICATE-----
MIIC9DDD....
TylNaWNyb3....
STNaFw0yN....
U1NPIENlc....
S7o3oJ3li....
-----END CERTIFICATE-----

Resolución de problemas

Certificado: usar PEM completo (BEGIN/END) sin espacios adicionales.
Entity ID: debe coincidir exactamente entre IdP y Gigantics.
Firmas: las respuestas sin firma se rechazan.
Logout: configurar RelayState/post-logout a https://my-gigantics-instance/sso-logout si se requiere retorno.
Azure “Signout failed… not a participant”: asegurarse de que login/logout usen la misma app y que la sesión provenga de esa app.

Tabla de Contenidos