Autenticación

Descubre las opciones para permitir a los usuarios acceder a Workplace.

Contenido

Información general

Información general

El inicio de sesión único (SSO) permite a los usuarios acceder a Workplace a través de un proveedor de identidad (IdP) que tú controlas. Ofrece beneficios a ti y a tu equipo:

  • Es más seguro: proporciona un nivel adicional de seguridad y gobernanza (no se guardan credenciales fuera de los sistemas controlados por tu empresa ni se transmiten por la red).
  • Es más fácil para los usuarios finales: inicia sesión en Workplace usando las mismas credenciales de inicio de sesión único que usas en otros sistemas (p. ej., computadora portátil o apps internas), entonces, tus usuarios no tendrán que recordar otra contraseña.

Workplace es compatible con varios proveedores de identidad, incluido Azure AD, G Suite, Okta, OneLogin, Ping Identity, que ofrecen conectores directos para facilitar la configuración.

?
Workplace admite SAML (Lenguaje de marcado de aserción de seguridad) 2.0 para el SSO. Es un estándar del sector, así que esto nos permite integrarnos de manera fácil con cualquier proveedor de identidad compatible con SAML 2.0, incluso si no está incluido en esta página, o hasta puedes crear tu propia implementación de SSO.

Activación del SSO para Workplace

Una vez que hayas completado correctamente la siguiente configuración de SSO, los usuarios aprovisionados en Workplace se podrán autenticar a través de tu proveedor de identidad seleccionado.

Requisitos previos

Requisitos previos

Para activar la autenticación de SSO en Workplace, deberás:

  • Tener acceso a la configuración de tu proveedor de identidad.
  • Tener asignado un rol de administrador del sistema en Workplace.
  • Tener una cuenta correspondiente en el proveedor de identidad con el mismo correo electrónico que el usuario de Workplace con el que iniciaste sesión (es decir, el que tiene la misma dirección de correo electrónico para autenticación tanto en Workplace como en el proveedor de identidad). Esto es esencial para probar el SSO y completar correctamente la configuración de Workplace.
?
Workplace admite un proveedor de identidad para SSO en cada cuenta. Esto significa que, para activar el SSO para cada usuario, deber contar con un proveedor de identidad global para SSO. Como alternativa, admitimos una situación de autenticación combinada donde algunos usuarios realizarán la autenticación usando el SSO y otros, usando las credenciales de nombre de usuario y contraseña de Workplace.

Instrucciones generales

La activación de SSO requiere algunos cambios en tu proveedor de identidad y en Workplace. Según tu proveedor de identidad, la configuración puede variar, pero los pasos que debes seguir se resumen a continuación:

1
Configura el proveedor de identidad (IdP) para activar el SSO para Workplace.

2
Configura Workplace para autenticar a los usuarios a través del SSO.

3
Activa el SSO para tus usuarios.

Esta es una descripción detallada de cada paso:

Configuración del IdP para el SSO con Workplace

1. Configura el IdP para activar el SSO para Workplace

Sigue las instrucciones del proveedor de identidad que se detallan a continuación para configurar el SSO para Workplace. Todos los proveedores de identidad basados en la nube que admitimos ofrecen una app configurada previamente para facilitar la configuración de Workplace:

G-Suite
Azure AD
Okta
OneLogin
Ping
Duo

Workplace también admite ADFS como un proveedor de SSO. Obtén más información sobre cómo configurar ADFS como un proveedor de SSO para Workplace.

Todas las configuraciones anteriores proporcionarán al menos una URL de SAML, una URL del emisor de SAML y un certificado X.509 que usaremos en los próximos pasos para configurar Workplace. Toma nota.

?
En el caso del certificado X.509, es posible que tengas que abrir, en un editor de texto, el certificado que descargaste para usarlo en los próximos pasos.
Configuración de Workplace para autenticar a los usuarios a través del SSO

2. Configura Workplace para autenticar a los usuarios a través del SSO

Una vez que hayas revisado la configuración de tu proveedor de identidad:

1
Ve al panel para administradores y accede a la sección Seguridad.

2
Ve a la pestaña Autenticación.

3
Marca la casilla Inicio de sesión único (SSO).

4
Escribe los valores de tu proveedor de identidad en los campos correspondientes:
  • URL de SAML
  • URL del emisor de SAML
  • Redireccionamiento de cierre de sesión de SAML (opcional)
  • Certificado SAML

5
En función de tu proveedor de identidad, es posible que tengas que copiar los valores para la URL de "Audience", la URL de "Recipient" y la URL de ACS (Assertion Consumer Service) que se enumeran en la sección Configuración de SAML y configura tu proveedor de identidad según corresponda.

6
Desplázate hasta el final de la sección y haz clic en el botón Probar SSO. Aparecerá una ventana emergente que mostrará la página de inicio de sesión de tu proveedor de identidad. Escribe tus credenciales para autenticarte.

?
Solución de problemas: asegúrate de que la dirección de correo electrónico de tu IdP que se usa para autenticar sea la misma que la de la cuenta de Workplace con la que iniciaste sesión.

7
Después de completar la prueba correctamente, desplázate hasta la parte inferior de la página y haz clic en el botón Guardar.

3. Activa el inicio de sesión único para los usuarios

Activa el inicio de sesión único para los usuarios

Según la configuración de autenticación que elegiste para la cuenta:

  • Activa el SSO para un usuario. Para activar el SSO para un usuario, inicia sesión como administrador con el permiso para agregar y eliminar cuentas asignado. Luego, sigue estos pasos para cambiar la configuración del SSO para un usuario:

    1
    Ve al panel para administradores y accede a la sección Personas.

    2
    Busca el usuario para el que quieres cambiar la configuración de autenticación.

    3
    Haz clic en el botón ... y selecciona Editar información de la persona.

    4
    Cambia el campo Iniciar sesión con a SSO.
  • Activa el SSO para todos tus usuarios de Workplace. Para activar el SSO para todos los usuarios, inicia sesión como administrador con el rol de administrador del sistema. Una vez que inicies sesión como administrador con este permiso, puedes realizar estos pasos para cambiar la configuración del SSO para todos los usuarios de Workplace.

    1
    Ve al panel para administradores y accede a la sección Seguridad.

    2
    Ve a la pestaña Autenticación.

    3
    Si quieres cambiar todos los usuarios a SSO, desmarca la casilla Contraseña.
  • Activa el SSO para parte de tus usuarios. Puedes usar diferentes enfoques para activar de manera selectiva el SSO solo para un par de usuarios.

    El método de inicio de sesión está entre los campos que admitimos para la edición masiva. Puedes configurar el método de inicio de sesión en SSO para un conjunto de usuarios usando la función importar csv. Puedes obtener más información en Administración masiva de cuentas.

    Como alternativa, puedes usar nuestra API de administración de cuentas para actualizar automáticamente el método de inicio de sesión para un par de usuarios. Puedes obtener más información en API de administración de cuentas.

Redireccionamiento de cierre de sesión de SAML

Redireccionamiento de cierre de sesión de SAML (opcional)

De manera opcional, puedes elegir configurar una URL de cierre de sesión de SAML en la página de configuración del SSO, que se puede usar para direccionar a la página de cierre de sesión de tu proveedor de identidad. Si esta configuración está activada y establecida, ya no se redirigirá al usuario a la página de cierre de sesión de Workplace. En su lugar, se lo redirigirá a la URL que se haya agregado en la configuración "Redireccionamiento de cierre de sesión de SAML".

Frecuencia de reautenticación

Frecuencia de reautenticación

Puedes configurar Workplace para que solicite una comprobación SAML cada día, cada tres días, cada dos semanas, cada mes o nunca. También puedes forzar un restablecimiento de SAML para todos los usuarios mediante el botón Forzar reautenticación ahora.

Arquitectura del inicio de sesión único de Workplace

Arquitectura del inicio de sesión único de Workplace

?
Esta sección ofrece información más detallada del flujo de SSO compatible con Workplace. Las soluciones de SSO basadas en SAML deben respetar las guías detalladas anteriormente para integrarse con Workplace para la autenticación.

Workplace admite SAML 2.0 para el SSO, ya que ofrece a los administradores la opción de gestionar el acceso a la plataforma mediante un proveedor de identidad (IdP) que ellos controlan. Workplace recibe y acepta las aserciones basadas en SAML del IdP y funciona como proveedor del servicio de SAML en el siguiente flujo de autenticación:

1
SSO iniciado por el proveedor de servicio. Un usuario con SSO activado llega a la página de inicio de sesión de Workplace; entonces:
  • Completa el nombre de usuario y hace clic en el botón Continuar. O
  • Hace clic en el botón Iniciar sesión con SSO.

2
Workplace realiza un enlace de redirección HTTP de SP a IdP. El objeto <samlp:AuthnRequest> pasado en la solicitud contiene datos, como Issuer, que incluyen el identificador de la cuenta de Workplace y NameIDPolicy, como se acordó entre el IdP y el proveedor de servicio de antemano, especifica los límites sobre el identificador de nombre que se debe usar para representar el tema solicitado. Workplace exige que el id. de nombre incluya la dirección de correo electrónico del usuario (nameid-format:emailAddress).

3
Workplace espera un enlace HTTP POST de IdP a SP. Se devuelve un token SAML que contiene las aserciones de nombre, incluido el estado de autenticación. La URL de devolución de Workplace (también llamada URL del Servicio de consumidor de aserciones) se configura en el nivel del IDP y dirige al /work/saml.phpextremo
de la cuenta de Workplace de la empresa.

4
Antes de permitir la entrada a un usuario, Workplace verifica lo siguiente:
  • Si hay una respuesta asignada con el certificado emitido por el IdP.
  • Si el código emailAddress devuelto en las aserciones SAML coincide con el que se usó para iniciar el flujo del SSO.
  • Si la autenticación se realizó correctamente (<samlp:​StatusCode Value="urn:​oasis:​names:​tc:​SAML​:2.0:​status:Success"/>).