Autenticar usuarios de Studio mediante el inicio de sesión único

En este tema, aprenderá cómo se puede configurar Studio para autenticar usuarios mediante el inicio de sesión único.

El inicio de sesión único (SSO) es un servicio de autenticación de usuario y sesión que permite a un usuario utilizar un conjunto de credenciales de inicio de sesión (por ejemplo, nombre de usuario y contraseña) para acceder a múltiples aplicaciones. El servicio autentica al usuario final para todas las aplicaciones a las que se le han otorgado derechos y elimina más avisos cuando el usuario cambia de aplicación durante la misma sesión.

El soporte de inicio de sesión único basado en SAML está disponible para Video Cloud Studio, que brinda a los editores acceso a Studio a través de SSO a través de un proveedor de identidad (IdP) de su elección. Algunas de las características incluyen:

  • Video Cloud Studio admite el protocolo SSO SAML 2.0
  • El mapeo de identidad se basa en el nombre de usuario (dirección de correo electrónico completa) en lugar de en un solo dominio de correo electrónico. Esto proporciona más flexibilidad para los editores que desean que algunos usuarios estén habilitados para SSO y que otros pasen por el inicio de sesión habitual de Video Cloud Studio.
  • Una vez que una cuenta y sus usuarios existentes están configurados para SSO, los nuevos usuarios que se agregan a la cuenta a través de la interfaz de usuario de Video Cloud Studio heredarán la configuración de SSO del usuario que los agrega.
  • Video Cloud Studio admite el inicio de sesión iniciado por el proveedor de servicios para SSO. No admitimos el inicio de IdP directo en este momento, pero podemos proporcionar una URL para omitir la pantalla de inicio de sesión de Video Cloud Studio a la que se puede vincular desde su portal de proveedor de identidad.

Para obtener más información sobre cómo habilitar su cuenta para SSO, comuníquese con su Gerente de Éxito del Cliente.

Beneficios

Algunos de los beneficios de agregar SSO para el inicio de sesión de Video Cloud Studio incluyen:

  • Inicio de sesión único para todas las aplicaciones - Recordar varios nombres de usuario y contraseñas se vuelve difícil de administrar y es un dolor de cabeza para los equipos de TI (o administradores de cuentas de las herramientas). Al habilitar SSO y agregarle un inicio de sesión de Video Cloud Studio, los administradores de cuentas de Brightcove ya no tienen que lidiar con estos problemas y los usuarios de la herramienta no tienen que recordar un nombre de usuario / contraseña por separado para Video Cloud Studio.
  • Requisitos de seguridad y contraseña - Las empresas tienen diferentes requisitos de contraseña de usuario, es decir, longitud, duración y complejidad. El uso de SSO permite a Brightcove cumplir con estos requisitos sin tener que cambiar la gestión de seguridad integrada de Video Cloud Studio para adaptarse a cada conjunto de requisitos individuales.
  • Deshabilite el acceso de usuarios de forma rápida y sencilla - El inicio de sesión único permite a TI administrar de forma centralizada a los usuarios y eliminar el acceso de los usuarios tan pronto como un empleado deja la empresa. SSO evita que los usuarios descontentos modifiquen o eliminen medios, reproductores, tokens, etc. de Brightcove.

Limitaciones

  • Actualmente, no se admite el aprovisionamiento de usuarios justo a tiempo para SAML. Aún será necesario agregar usuarios a las cuentas a través de Studio, y los permisos / control de acceso al módulo se configurarán a través de la IU de administración de usuarios de Studio. Cuando se agregan nuevos usuarios a una cuenta, heredarán la configuración de SSO del usuario que los agrega.
  • SSO no se puede habilitar para cuentas de prueba.

Preguntas más frecuentes

Sé que se admite el SSO basado en SAML, pero ¿qué pasa con la autenticación de dos factores (2FA) o la autenticación de múltiples factores? ¿Eso es compatible?

No, no tenemos ningún plan para admitir 2FA en inicios de sesión regulares de Studio en este momento. Puede habilitar el inicio de sesión para SSO basado en SAML y agregar 2FA a la configuración de su IdP, pero eso lo configuraría su equipo de TI en su propio IdP.

¿Hay planes para admitir otros protocolos SSO como CAS o Kerberos?

No en este momento.

Tenemos algunos usuarios en nuestra cuenta que no deberían pasar por SSO y otros que necesitan pasar por SSO. ¿Es esto compatible?

Si. SSO se habilita por usuario, por lo que algunos usuarios pueden habilitar el inicio de sesión SSO y otros pueden habilitarse para el inicio de sesión regular de Studio. Una cosa a tener en cuenta es que no hay forma en la IU de administración de usuarios de Studio para seleccionar qué ruta de autenticación debe seguir un usuario cuando se agrega un nuevo usuario a la cuenta. Actualmente, el usuario heredará cualquier ruta de autenticación para la que esté configurado el administrador que los está agregando. Planeamos exponer una opción para seleccionar esto en Studio en una fecha posterior. La solución alternativa por ahora para los flujos de autenticación mixtos es tener un administrador configurado para SSO y otro configurado para el inicio de sesión regular de Studio. El administrador debe iniciar sesión en la cuenta de usuario adecuada al agregar nuevos usuarios según el método de autenticación para el que deben configurarse.

Si bien apoyamos la flexibilidad de tener diferentes usuarios configurados para diferentes proveedores de identidad, también tenemos clientes que desean que un solo IdP y cada usuario siempre esté configurado para ese único IdP. Esa configuración también está disponible.

¿Se admite la capacidad de configurar múltiples proveedores de identidad para usuarios en una sola cuenta?

Si. Podemos configurar varios proveedores de identidad para una organización determinada (cliente) y podemos asignar usuarios a cualquiera de los IdP. Consulte la pregunta anterior sobre la herencia de las rutas de autenticación al agregar un nuevo usuario a una cuenta.

¿Se permite el inicio de sesión local (nombre de usuario / contraseña de autenticación de Studio) directamente en Brightcove cuando SAML SSO está activado para un usuario?

No. Una vez que un usuario está habilitado para SSO, esa es la única forma en que puede autenticarse en su cuenta.

¿Brightcove es compatible con SAML v2.0 con SSO iniciado por SP?

  • El inicio de sesión iniciado por SP se admite a través de una URL de inicio de sesión de dominio directo especial que se verá así:
    https://signin.brightcove.com/login/ext/saml?behavior=xxxxxxxxx
  • También es posible que los usuarios accedan a la signin.brightcove.com página. Cuando escriban nombre de usuario / contraseña en la página de inicio de sesión de Brightcove, serán redirigidos a su IdP para iniciar sesión (si aún no lo ha hecho). Tenga en cuenta que el campo de contraseña se ignora en la página de inicio de sesión de Brightcove; solo inspeccionamos la dirección de correo electrónico para ver si el usuario está habilitado para SSO.
¿Brightcove admite el uso del parámetro RelayState en SAMLRequest / SAMLResponse para el acceso directo al video después de SSO?

No. Después de iniciar sesión a través de SSO, los usuarios siempre serán dirigidos al panel de inicio de Studio.

¿La integración SSO admite el cierre de sesión único?

No.

¿Qué proveedores de identidad son compatibles?

Aunque Brightcove no ha realizado pruebas con todos los proveedores de identidad de SSO, estamos seguros de que mientras su proveedor de identidad sea compatible con SAML 2.0, no debería haber ningún problema. Algunos de los más comunes de los que hemos hablado con los clientes incluyen: Okta, Ping Federated, Ping Identity, Microsoft Active Directory, OneLogin y Auth0.