Configuración del inicio de sesión único (SSO)

En este artículo se describen las funciones del inicio de sesión único (SSO) de la plataforma y cómo tu organización puede habilitarlo. Si deseas obtener más información sobre cómo configurar el SSO para tu organización, ponte en contacto con tu representante de éxito del cliente.

Descripción general

SAML 2.0 es compatible con el inicio de sesión único (SSO). Security Assertion Markup Language (SAML) crea puntos finales que ofrecen a los usuarios de una organización una única URL para iniciar sesión y seleccionar las aplicaciones que están autorizados a utilizar. De este modo, se proporciona un nivel de seguridad adicional y se simplifica la autenticación de usuarios al eliminar solicitudes de inicio de sesión cuando se cambia de aplicación durante una sesión concreta.

Utilizar el SSO tiene las siguientes ventajas:

  • Una experiencia de usuario mejorada
  • Un menor coste operativo interno
  • Una gestión centralizada de usuarios
  • Una seguridad de los sistemas empresariales mejorada
  • El cumplimiento de normativas (SOX, HIPPA)

Compatibilidad con estándares

  • Somos compatibles con el estándar OASIS Security Assertion Markup Language (SAML) v2.0 de inicio de sesión único
  • La compatibilidad con SAML v2.0 admite la integración con muchos de los proveedores de identidad más habituales, como Microsoft Active Directory (a través de ADFS), Tivoli Federated Identity Manager, Okta y otras plataformas de autenticación federada

Supuestos generales

  • Desempeñaremos el papel de SP (proveedor de servicios) en la relación de confianza con SAML v2.0
  • Necesitamos archivos de metadatos de proveedores de identidad (IdP) compatibles con SAML v2.0 del IdP. El archivo de metadatos del IdP debe contener:
    • La ubicación del punto final de SingleSignOnService
    • El certificado público X509 que se utiliza para firmar las aserciones (si corresponde)
  • Proporcionaremos un archivo de metadatos de SP que contendrá lo siguiente:
    • El punto final de SP

Proceso de desarrollo

El flujo de trabajo de integración habitual es el siguiente:

  • Consulta con tu representante de cuenta asignado para ver qué opciones de configuración se utilizarán
  • Proporcionamos una URL de archivo de metadatos de SP
  • Proporcionas el archivo de metadatos de IdP
  • Las pruebas de integración y las correcciones se realizan hasta que las partes interesadas designadas confirman que la integración se ha realizado correctamente. Deben probarse tanto los tipos de acceso iniciados por el IdP como los iniciados por el SP. En este punto, se acuerda un plazo de producción.

Configuraciones admitidas

Actualmente, admitimos las siguientes configuraciones de SAML:

  • Cierre de sesión único (SLO)
    • Deshabilitado: actualmente, no admitimos el SLO
  • Formato NameID
    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (PREDETERMINADO)
    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
  • Las aserciones están firmadas
    • No/Sí (PREDETERMINADO)
  • Las solicitudes de autenticación están firmadas
    • No
  • Aprovisionamiento de usuarios nuevos
    • Deshabilitado (PREDETERMINADO)/Habilitado
  • Actualización de los atributos de usuarios existentes
    • Deshabilitado (PREDETERMINADO)/Habilitado
  • Vinculación de solicitud de autenticación preferida
    • Posterior (PREDETERMINADO)/Redireccionamiento

Preparación para la configuración

El primer paso para comenzar con el SSO es reunirte con tu representante de éxito del cliente para tratar los siguientes temas relativos a la instalación y configuración del SSO:

  1. ¿Qué identificador único utilizarás para los usuarios en tu sistema?
    • Nuestra plataforma es compatible con una dirección de correo electrónico o un identificador único global externo (GUID).
    • La configuración más común es utilizar un GUID externo en lugar de una dirección de correo electrónico para evitar problemas si la dirección de correo electrónico cambia en el futuro. Además, el ID de empleado del empleado es lo que más se utiliza como GUID externo.
  2. ¿Deseas actualizar la información de usuario en el momento de la autenticación?
    • En caso afirmativo, ¿qué campos deseas incluir? ¿Todos están disponibles en el sistema SSO? Además, ¿cómo les llamarás en la aserción de SAML y cómo se relacionarán con los de la plataforma?
  3. ¿Deseas crear usuarios nuevos en la plataforma en el momento de la autenticación si el usuario aún no tiene una cuenta en la plataforma?
    • En caso afirmativo, ¿qué campos deseas incluir? ¿Todos están disponibles en el sistema SSO? Además, ¿cómo les llamarás en la aserción de SAML y cómo se relacionarán con los de la plataforma?
  4. ¿Todos los usuarios que quieran acceder a la plataforma podrán usar tu solución SSO?
    • De no ser así, ¿necesitarás un inicio de sesión doble que admita el formulario de nombre de usuario y contraseña, así como las opciones de inicio de sesión SSO?

Configuración del inicio de sesión único (SSO)

Una vez que comprendamos tus requisitos de SSO, podremos avanzar y comenzar la configuración. En los siguientes pasos:

  1. Facilitaremos el XML de metadatos de SP.
  2. Configurarás el SSO en tu extremo y facilitarás a nuestro equipo el XML de metadatos de IdP.
  3. Aplicaremos tu XML de metadatos de IdP para completar la configuración.
  4. Realizarás pruebas de usuario y validarás el entorno.
  5. Una vez que se haya validado, acordaremos con tu equipo la fecha de la puesta en funcionamiento de la producción.

Artículos relacionados

Ponte en contacto con nosotros