Información general
El inicio de sesión único (SSO) permite a los usuarios acceder a Workplace a través de un proveedor de identidad (IdP) que tú controlas. Ofrece beneficios a ti y a tu equipo:
- Es más seguro: proporciona un nivel adicional de seguridad y gobernanza (no se guardan credenciales fuera de los sistemas controlados por tu empresa ni se transmiten por la red).
- Es más fácil para los usuarios finales: inicia sesión en Workplace usando las mismas credenciales de inicio de sesión único que usas en otros sistemas (p. ej., computadora portátil o apps internas), entonces, tus usuarios no tendrán que recordar otra contraseña.
Workplace es compatible con varios proveedores de identidad, incluido Azure AD, G Suite, Okta, OneLogin, Ping Identity, que ofrecen conectores directos para facilitar la configuración.
Activación del SSO para Workplace
Una vez que hayas completado correctamente la siguiente configuración de SSO, los usuarios aprovisionados en Workplace se podrán autenticar a través de tu proveedor de identidad seleccionado.
Requisitos previosRequisitos previos
Para activar la autenticación de SSO en Workplace, deberás:
- Tener acceso a la configuración de tu proveedor de identidad.
- Tener asignado un rol de administrador del sistema en Workplace.
- Tener una cuenta correspondiente en el proveedor de identidad con el mismo correo electrónico que el usuario de Workplace con el que iniciaste sesión (es decir, el que tiene la misma dirección de correo electrónico para autenticación tanto en Workplace como en el proveedor de identidad). Esto es esencial para probar el SSO y completar correctamente la configuración de Workplace.
Instrucciones generales
La activación de SSO requiere algunos cambios en tu proveedor de identidad y en Workplace. Según tu proveedor de identidad, la configuración puede variar, pero los pasos que debes seguir se resumen a continuación:
Esta es una descripción detallada de cada paso:
Configuración del IdP para el SSO con Workplace1. Configura el IdP para activar el SSO para Workplace
Sigue las instrucciones del proveedor de identidad que se detallan a continuación para configurar el SSO para Workplace. Todos los proveedores de identidad basados en la nube que admitimos ofrecen una app configurada previamente para facilitar la configuración de Workplace:
Workplace también admite ADFS como un proveedor de SSO. Obtén más información sobre cómo configurar ADFS como un proveedor de SSO para Workplace.
Todas las configuraciones anteriores proporcionarán al menos una URL de SAML, una URL del emisor de SAML y un certificado X.509 que usaremos en los próximos pasos para configurar Workplace. Toma nota.
2. Configura Workplace para autenticar a los usuarios a través del SSO
Una vez que hayas revisado la configuración de tu proveedor de identidad:
- URL de SAML
- URL del emisor de SAML
- Redireccionamiento de cierre de sesión de SAML (opcional)
- Certificado SAML

3. Activa el inicio de sesión único para los usuarios
Activa el inicio de sesión único para los usuariosSegún la configuración de autenticación que elegiste para la cuenta:
Activa el SSO para un usuario. Para activar el SSO para un usuario, inicia sesión como administrador con el permiso para agregar y eliminar cuentas asignado. Luego, sigue estos pasos para cambiar la configuración del SSO para un usuario:
1Ve al panel para administradores y accede a la sección Personas.2Busca el usuario para el que quieres cambiar la configuración de autenticación.3Haz clic en el botón ... y selecciona Editar información de la persona.4Cambia el campo Iniciar sesión con a SSO.Activa el SSO para todos tus usuarios de Workplace. Para activar el SSO para todos los usuarios, inicia sesión como administrador con el rol de administrador del sistema. Una vez que inicies sesión como administrador con este permiso, puedes realizar estos pasos para cambiar la configuración del SSO para todos los usuarios de Workplace.
1Ve al panel para administradores y accede a la sección Seguridad.2Ve a la pestaña Autenticación.3Si quieres cambiar todos los usuarios a SSO, desmarca la casilla Contraseña.Activa el SSO para parte de tus usuarios. Puedes usar diferentes enfoques para activar de manera selectiva el SSO solo para un par de usuarios.
El método de inicio de sesión está entre los campos que admitimos para la edición masiva. Puedes configurar el método de inicio de sesión en SSO para un conjunto de usuarios usando la función importar
csv
. Puedes obtener más información en Administración masiva de cuentas.Como alternativa, puedes usar nuestra API de administración de cuentas para actualizar automáticamente el método de inicio de sesión para un par de usuarios. Puedes obtener más información en API de administración de cuentas.
Redireccionamiento de cierre de sesión de SAML (opcional)
De manera opcional, puedes elegir configurar una URL de cierre de sesión de SAML en la página de configuración del SSO, que se puede usar para direccionar a la página de cierre de sesión de tu proveedor de identidad. Si esta configuración está activada y establecida, ya no se redirigirá al usuario a la página de cierre de sesión de Workplace. En su lugar, se lo redirigirá a la URL que se haya agregado en la configuración "Redireccionamiento de cierre de sesión de SAML".
Frecuencia de reautenticaciónFrecuencia de reautenticación
Puedes configurar Workplace para que solicite una comprobación SAML cada día, cada tres días, cada dos semanas, cada mes o nunca. También puedes forzar un restablecimiento de SAML para todos los usuarios mediante el botón Forzar reautenticación ahora.
Arquitectura del inicio de sesión único de Workplace
Workplace admite SAML 2.0 para el SSO, ya que ofrece a los administradores la opción de gestionar el acceso a la plataforma mediante un proveedor de identidad (IdP) que ellos controlan. Workplace recibe y acepta las aserciones basadas en SAML del IdP y funciona como proveedor del servicio de SAML en el siguiente flujo de autenticación:
- Completa el nombre de usuario y hace clic en el botón Continuar. O
- Hace clic en el botón Iniciar sesión con SSO.
<samlp:AuthnRequest>
pasado en la solicitud contiene datos, como Issuer
, que incluyen el identificador de la cuenta de Workplace y NameIDPolicy
, como se acordó entre el IdP y el proveedor de servicio de antemano, especifica los límites sobre el identificador de nombre que se debe usar para representar el tema solicitado. Workplace exige que el id. de nombre incluya la dirección de correo electrónico del usuario (nameid-format:emailAddress
). /work/saml.php
extremo- Si hay una respuesta asignada con el certificado emitido por el IdP.
- Si el código
emailAddress
devuelto en las aserciones SAML coincide con el que se usó para iniciar el flujo del SSO. - Si la autenticación se realizó correctamente (
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
).