Ir al contenido principal

Integrarse con un proveedor de identidad e iniciar sesión con SAML SSO

Inicie sesión en su espacio de trabajo Fin con SAML SSO usando Okta, OneLogin u otro proveedor de identidad.

Integrar su espacio de trabajo Fin con su proveedor de identidad facilita y asegura el inicio de sesión para su equipo.

Siga los pasos de este artículo para configurar su proveedor de identidad, para requerir SAML SSO (Inicio de sesión único) de todos sus compañeros de equipo, o para ofrecerlo como una de sus opciones de inicio de sesión.

Configuración de su proveedor de identidad

Para habilitar SAML SSO, vaya a Configuración > Seguridad y active SAML SSO en “Métodos de autenticación”:

Captura de pantalla de la página Configuración > Seguridad mostrando la sección Métodos de autenticación con el interruptor de SAML SSO activado

Una vez que lo active, verá que aparece la sección SAML SSO 👇

Captura de pantalla mostrando la sección de configuración de SAML SSO que aparece después de habilitar el interruptor, con campos de configuración del proveedor de identidad

Lo primero que verá es la URL SAML única para su espacio de trabajo:

Captura de pantalla mostrando la URL SAML única para el espacio de trabajo mostrada en la parte superior de la sección de configuración de SAML SSO

Necesitará incluir esto para configurar SAML SSO con su proveedor de identidad. Si configura SAML con la aplicación Intercom Okta o OneLogin, solo necesita <SAML URL>.

  • URL de inicio de sesión único: <SAML URL>/consume

  • URL del receptor: <SAML URL>/consume

  • Restricción de audiencia/ID de entidad: <SAML URL>

  • NameID: Dirección de correo electrónico

  • Aserciones firmadas:

  • Atributos mapeados

    • firstName (primer nombre del usuario)

    • lastName (apellido del usuario)

  • Cifrado: AES256_CBC con este certificado:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Para integrar, también necesitará agregar la siguiente información en su espacio de trabajo Fin desde su proveedor de identidad:

  • URL de inicio de sesión único del proveedor de identidad — Esta es la URL que se usa para iniciar el proceso de inicio de sesión.

  • Certificado público — Esto permite que su espacio de trabajo Fin valide las solicitudes SAML de su proveedor de identidad. Debe ser un certificado X.509.

    Captura de pantalla de la configuración de SAML SSO en Intercom mostrando el campo URL de inicio de sesión único del proveedor de identidad y el campo Certificado público donde se pega el certificado X.509

Si su proveedor de identidad lo admite, también puede definir una duración de sesión en la configuración de su proveedor de identidad, que establece el tiempo antes de que expire la sesión de un compañero de equipo y deba iniciar sesión nuevamente en el espacio de trabajo Fin. Si no se establece, la duración predeterminada es de 3.5 días.

A continuación, especifique los domains que están permitidos para autenticarse con SAML SSO. Ingrese un domain en “Domains permitidos” y haga clic en Agregar domain. Al configurar domains, asegúrese de que estén alineados con la región seleccionada de su espacio de trabajo (por ejemplo, UE u otras regiones geográficas) en la página de inicio de sesión SP para evitar errores de autenticación.

Captura de pantalla de la sección Domains permitidos mostrando un campo de entrada de domain y el botón Agregar domain

Para asegurarse de que todo su equipo pueda iniciar sesión con éxito con SAML SSO antes de deshabilitar otros métodos de inicio de sesión, debe dejar estas opciones activadas:

Captura de pantalla de la sección Métodos de autenticación mostrando los interruptores de Google Sign-On y Correo electrónico y contraseña que deben permanecer habilitados durante las pruebas de SAML SSO

Importante: Para desmarcar esta opción y hacer que SAML SSO sea el método de inicio de sesión requerido, debe haber iniciado sesión con SAML SSO. Puede hacer esto después de guardar su configuración.

Luego, debe verificar que es propietario del domain agregando un registro TXT en la configuración DNS con los valores que se muestran aquí:

Captura de pantalla mostrando la sección de verificación DNS con el nombre y valor del registro TXT que se debe agregar a la configuración DNS del domain

Si no tiene acceso a su proveedor DNS, puede necesitar ayuda de alguien de su equipo.

Después de agregar el registro TXT en la configuración DNS, haga clic en “Verificar registro DNS”:

Captura de pantalla mostrando el botón Verificar registro DNS junto al domain pendiente de verificación

Nota: Si acaba de crear el registro DNS, puede que aún se esté propagando, en este caso verá el siguiente mensaje de advertencia: “No se puede verificar el registro DNS. Por favor, inténtelo de nuevo más tarde.”

Una vez que el registro DNS esté verificado, verá un mensaje de éxito y el domain aparecerá aquí:

Captura de pantalla de la sección Domains permitidos mostrando un domain verificado con éxito con un mensaje de confirmación

Si necesita agregar más de un domain, repita este proceso para los demás. 👌

Iniciar sesión con SAML SSO

Una vez que SAML SSO esté habilitado, los compañeros de equipo podrán iniciar sesión usándolo.

Correo electrónico no registrado para una cuenta SAML

Si el correo electrónico ingresado en la página de inicio de sesión SAML no coincide con ningún compañero de equipo que pertenezca a un espacio de trabajo con SAML SSO habilitado, entonces el compañero de equipo verá un mensaje de error.

Correo electrónico registrado para una cuenta SAML

Si el correo electrónico coincide con un espacio de trabajo con SAML SSO, entonces el usuario es redirigido directamente al proveedor de identidad que usa y se le solicita iniciar sesión.

Correo electrónico registrado para múltiples cuentas SAML

Si el correo electrónico coincide con múltiples espacios de trabajo con SAML SSO, entonces verá el selector de espacio de trabajo donde puede seleccionar el espacio de trabajo al que desea iniciar sesión.

Captura de pantalla de la pantalla del selector de espacio de trabajo que se muestra cuando el correo electrónico de un compañero de equipo está registrado en múltiples espacios de trabajo con SAML SSO habilitado, listando los espacios de trabajo disponibles para elegir

Dependiendo del proveedor de identidad que el compañero de equipo tenga para cada espacio de trabajo, el compañero de equipo es redirigido a la experiencia de inicio de sesión del proveedor de identidad correcto. Después de iniciar sesión, el usuario es llevado de vuelta al espacio de trabajo correcto y se inicia sesión.

Soporte SAML al cambiar de cuentas

SAML SSO es compatible al cambiar entre workspaces.

Cuando el compañero quiere cambiar a un workspace donde ya ha iniciado sesión, el cambio ocurre sin fricciones. Si no, el compañero es redirigido al selector de workspace y se le pide iniciar sesión una vez.

Escenario:

  • Cuando un compañero ha iniciado sesión en dos workspaces usando proveedores SAML SSO similares, no es necesario volver a autenticarse para cambiar entre workspaces.

  • Si el compañero tiene acceso a un tercer workspace con contraseña como método de autenticación, y no ha iniciado sesión, entonces lo redirigimos al selector de workspace para que inicie sesión una vez con contraseña.

Solución de problemas de Google Workspace SSO

Si usas Google Workspace como tu proveedor SSO y ves un mensaje de error que indica que no tienes acceso (similar a la imagen abajo), puedes activar mensajes de remediación para entender mejor la razón del error.

Captura de pantalla de un mensaje de error de acceso SSO de Google Workspace que indica que el usuario no tiene acceso

Una vez activado, podrás ver información más detallada en el mensaje de error.

Por ejemplo, el siguiente error podría indicar que el dispositivo que se está usando no está gestionado por Google endpoint management:

Captura de pantalla de un mensaje de error detallado de Google Workspace SSO que indica que el dispositivo no está gestionado por Google endpoint management

Invitaciones a workspace

SAML SSO también es compatible con invitaciones a workspace. Al canjear la invitación, falla si el correo de la invitación no coincide con el correo devuelto por los proveedores de identidad. De lo contrario, la invitación puede ser canjeada.

Elige habilitar la provisión Just-in-Time (JIT)

La provisión Just-in-Time añadirá automáticamente compañeros a tu workspace Fin la primera vez que inicien sesión con SAML SSO, si aún no tienen una cuenta Fin.

Para habilitar esto, ve a Configuración > Seguridad, asegúrate de que SAML SSO esté activado y haz clic en Provisioning.

Captura de pantalla de la página de configuración de SAML SSO mostrando la sección de Provisioning con opciones de provisión Just-in-Time

Luego habilita la provisión Just-in-Time.

Captura de pantalla mostrando el interruptor de provisión Just-in-Time en estado activado

También puedes configurar permisos para nuevos compañeros añadidos vía provisión JIT o cuando la provisión de roles basada en SCIM está deshabilitada. Para establecer permisos predeterminados para compañeros, haz clic en Editar.

Captura de pantalla de la configuración de permisos predeterminados para nuevos compañeros añadidos vía provisión Just-in-Time

Finalmente, guarda tu configuración y prueba tu configuración autenticándote con tu proveedor de identidad.

Una vez que tu workspace tenga SAML SSO habilitado con cualquier proveedor, los compañeros no podrán editar su propia dirección de correo desde su página de Seguridad de la cuenta. El campo de correo será de solo lectura.

Configurando SAML con OneLogin

Es fácil configurar SAML SSO con OneLogin. Solo usa la app Intercom en la tienda OneLogin.

Ve a “Aplicaciones” en tu página de administrador y haz clic en “Agregar app”:

Captura de pantalla del panel de administración de OneLogin en la página de Aplicaciones con el botón Agregar app

Luego, busca la app “Intercom SAML 2.0” y agrégala:

Captura de pantalla de los resultados de búsqueda de la app OneLogin mostrando la aplicación Intercom SAML 2.0

Después de agregar la app Intercom, abre la pestaña Configuración e ingresa el nombre SAML para tu workspace:

Captura de pantalla de la pestaña Configuración de la app Intercom OneLogin mostrando el campo de nombre SAML donde se ingresa el nombre SAML del workspace

En la pestaña SSO, copia la URL "SAML 2.0 Endpoint" y pégala en la configuración SAML de tu workspace:

Captura de pantalla de la pestaña SSO de la app Intercom OneLogin mostrando la URL SAML 2.0 Endpoint para copiar en la configuración SAML de Intercom

Finalmente, haz clic en “Ver detalles” bajo el certificado y cópialo también en tu workspace Fin:

Captura de pantalla de la vista de detalles del certificado OneLogin mostrando el certificado para copiar y pegar en el campo de certificado público de Intercom

Ahora puedes autenticarte con OneLogin y guardar tu configuración en tu workspace Fin, y estarás listo para comenzar. 👌

Nota: Si tu workspace está alojado en la UE o AU, contacta al equipo de OneLogin para asegurarte de que tu integración sea compatible.

Configurando SAML SSO con Okta

Configura fácilmente SAML SSO con la app Intercom en la tienda de aplicaciones Okta.

Ve a “Agregar aplicación” en tu página de administrador y busca Intercom. Haz clic en “Agregar”:

Captura de pantalla de la tienda de aplicaciones Okta mostrando el resultado de búsqueda de la aplicación Intercom con un botón Agregar


Procede al paso 2 y revisa las instrucciones de configuración:

Captura de pantalla de las instrucciones de configuración de la app Intercom Okta mostrando la URL del emisor del proveedor de identidad y los campos de certificado público


Estas instrucciones están adaptadas a tu cuenta Okta y contienen lo siguiente:

  • URL del emisor del proveedor de identidad.

  • Certificado público.

Debes copiar y pegar estos valores en la configuración SAML de tu workspace.

Después de agregar la URL y el certificado, regresa a Okta e ingresa el nombre SAML de tu workspace en “Configuración avanzada de inicio de sesión”:

Captura de pantalla del campo Configuración avanzada de inicio de sesión de la app Intercom Okta donde se ingresa el nombre SAML del workspace

Vea arriba las instrucciones sobre cómo encontrar su nombre SAML.


Luego, guarde el Certificado de Encriptación proporcionado por Okta como intercom.pem y cárguelo aquí:

Captura de pantalla del campo de carga del Certificado de Encriptación de Okta donde se sube el archivo del certificado intercom.pem

Ahora puede guardar sus configuraciones en Okta y luego confirmar la autenticación en su espacio de trabajo Fin, y ya está todo listo. 👌

Artículos relacionados
Configuración de tu espacio de trabajoPreguntas frecuentes para empezar
Desplegar Copilot en Zendesk
Protege tu cuenta con 2FA, Google Sign-On o SAML SSO
¿Ha quedado contestada tu pregunta?