Importante: Esta guía de configuración está dirigida a administradores de sistemas informáticos. Aunque podemos ayudarte a configurar el SSO para que funcione con nuestra plataforma, no podemos ofrecer asistencia para la configuración de tu proveedor de identidad SAML. |
El Hub proporciona la funcionalidad de inicio de sesión único (SSO) para clientes empresariales, lo que permite a los usuarios autorizados acceder a la plataforma a través de una única identidad, sin necesidad de inicios de sesión y contraseñas independientes. Esto permite a los administradores de TI gestionar mejor el acceso de los equipos y mantiene la información más segura.
En la actualidad, el SSO es una función que solo está disponible bajo demanda, por lo que si quieres que se active en tu cuenta, ponte en contacto con el servicio de asistencia haciendo clic en el enlace Contactar con el servicio de asistencia | Enviar una solicitud en la parte superior de la página y nuestro equipo se encargará de ello. Si ya tienes activada la función, vamos a ver cómo configurarla:
- Paso 1 | Cómo configurar el inicio de sesión único (SSO) con tu proveedor de identidades
- Paso 2 | Cómo configurar el Hub para utilizar el inicio de sesión único (SSO)
- Preguntas más frecuentes (FAQ)
Antes de empezar
Tendrás que cumplir ciertos criterios antes de poder configurar el SSO:
- Un proveedor de identidad compatible con el estándar SAML 2.0.
- Tenemos compatibilidad con los siguientes proveedores:
- Microsoft Azure AD (Active Directory)
- Okta
- Tenemos compatibilidad con los siguientes proveedores:
- Permisos de usuario que te permiten configurar aplicaciones dentro de tu proveedor de identidad.
- Credenciales de usuario de administrador para la cuenta principal del Hub.
Paso 1 | Configurar tu Proveedor de Identidad en SSO
Utilizamos SAML 2.0 (Security Assertion Markup Language), un estándar que permite a los Proveedores de Identidad (IdP) pasar de forma segura credenciales de autorización, como tu nombre de usuario y contraseña, a proveedores de servicios como el Hub.
1. El primer paso es crear una nueva aplicación SAML con tu IdP:
2. Configura la aplicación utilizando los siguientes ajustes:
● Para Microsoft Azure AD
MICROSOFT AZURE AD | |
URI de la audiencia (ID de la entidad SP) | https://hub.messagemedia.com |
URL de inicio de sesión único | https://hub.messagemedia.com/login/sso |
URL del Servicio al Consumidor de Afirmaciones (URL de respuesta) | https://api.messagemedia.com/v2/iam/sso/acs |
MICROSOFT AZURE AD | Reclamación | ||
NOMBRE | TIPO | VALOR |
Identificador único de usuario (Name ID) | SAML | user.userprincipalname |
MICROSOFT AZURE AD | Reclamación adicional | ||
NOMBRE | TIPO | VALOR |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | SAML | user.mail |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | SAML | user.userprincipalname |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
● Para Okta
OKTA | |
URI de la audiencia (ID de la entidad SP) | https://hub.messagemedia.com |
URL de inicio de sesión único (URL de servicio de consumidor de aserción (URL de respuesta)) | https://api.messagemedia.com/v2/iam/sso/acs |
OKTA | Atributos | ||
NOMBRE | FORMATO NOMBRE | VALOR |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Referencia URI | user.email |
http://schemas.microsoft.com/claims/authnmethodsreferences | Referencia URI | user.givenname |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | Referencia URI | user.firstName |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | Referencia URI | user.lastName |
3. Configura un logotipo (esto es opcional).
4. Asigna usuarios o grupos a la aplicación.
5. Copia o descarga los metadatos XML del IdP: Guárdalos en un lugar seguro, ya que los necesitarás para el Paso 5 al Configurar el Hub.
Paso 2 | Configurar el Hub
1. Accede a la cuenta principal en el Hub. Recuerda que tus credenciales de usuario necesitarán acceso de nivel de administrador para proceder a partir de aquí.
2. Una vez que hayas iniciado sesión en el Hub, ve al menú y haz clic en Ajustes y, a continuación, selecciona Cuenta:
Nota: Si no puedes ver la opción de inicio de sesión único (SSO), no te preocupes... No se ha movido, solo significa que la función no está activada en tu cuenta. Solo tienes que ponerte en contacto con el equipo de asistencia haciendo clic en el enlace Contactar con el servicio de asistencia | Enviar una solicitud en la parte superior de la página. |
3. Selecciona la pestaña Seguridad.
4. Configura los dominios de email que quieras habilitar para el SSO. Los dominios de email solo se pueden utilizar una vez por jerarquía de cuenta, de modo que si estableces un dominio de email a nivel de subcuenta, no podrás establecer el mismo dominio de email en otra subcuenta.
5. Utiliza la flecha desplegable para seleccionar tu proveedor de identidad (IdP): Okta o Azure AD.
Nota: Si tu IdP no aparece en la lista, puedes ponerte en contacto con el equipo de asistencia para charlar más sobre la ampliación del soporte de SSO a tu IdP. Solo tienes que hacer clic en el enlace Contactar con asistencia | Enviar una solicitud en la parte superior de la página. |
6. Introduce el XML proporcionado por tu IdP en el campo correspondiente.
7. Cuando alguien se conecta al Hub utilizando SSO pero todavía no tiene un perfil de usuario, puedes permitir que el Hub cree automáticamente un nuevo usuario con las credenciales proporcionadas por el IdP. Solo tienes que activar este interruptor.
8. Utiliza la flecha desplegable para establecer el rol de usuario por defecto que se asignará a estos perfiles recién creados.
9. Selecciona las cuentas y subcuentas a las que quieres permitir el acceso a estos nuevos usuarios.
10. Activar este interruptor significa que cualquier usuario que inicie sesión con credenciales que coincidan con tus dominios de email nominados se verá obligado a iniciar sesión en el Hub utilizando solo SSO.
Preguntas frecuentes
-
Mi organización utiliza un proveedor de servicios de identidad (IdP) que no está en la lista. ¿Será compatible?
Ponte en contacto con el equipo de asistencia con los datos del proveedor de identidad que deseas utilizar. -
¿Tenéis compatibilidad con Microsoft Active Directory local?
No, solo admitimos Azure Active Directory. -
¿Sois compatibles con el SSO iniciado por IdP?
Desgraciadamente, de momento no. Los usuarios tendrán que volver a introducir su dirección de email en la página de Inicio de sesión con SSO. -
¿La activación de SAML SSO desconecta a los usuarios?
No, las sesiones de usuario activas permanecen conectadas hasta que expiran. La próxima vez que un usuario necesite iniciar sesión, tendrá que hacerlo con SAML SSO. -
¿Qué versión de SAML soporta el Hub?
Actualmente somos compatibles con SAML v2.0. -
¿Puedo seguir accediendo al Hub si mi proveedor de identidad sufre una interrupción?
Si tienes activada la autenticación SAML obligatoria y tu IDP no funciona, debes ponerte en contacto con el equipo de asistencia y podremos desactivar SAML para que los administradores y usuarios que existían antes puedan volver a iniciar sesión con el email.
Nota: Si te quedas atascado, ponte en contacto con nuestro equipo de atención al cliente a través del chat haciendo clic en el icono de perfil situado en la parte inferior izquierda de la pantalla (en el Hub) y seleccionando Chatear con el equipo de asistencia, o puedes abrir una incidencia a través del enlace Contactar con el equipo de asistencia de asistencia | Enviar una solicitud situado en la parte superior de esta página.