Este artículo explica qué es el SSO (inicio de sesión único), cómo funciona y qué ajustes son necesarios para configurarlo en tu cuenta de Sinch Engage.
El inicio de sesión único (SSO) es un método de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones o servicios con un único conjunto de credenciales. En lugar de iniciar sesión por separado en distintas plataformas, el SSO agiliza el acceso autenticando al usuario una vez y concediéndole acceso en todos los sistemas conectados.
| Nota: Si buscas información sobre Sinch ID Single-Sign On puedes leer sobre ello en este artículo. |
Cómo funciona el SSO
El usuario se conecta una vez: El usuario introduce sus credenciales en una plataforma de proveedor de identidad (IdP).
Token de autenticación emitido: El IdP verifica las credenciales y genera un token de autenticación seguro.
Acceso concedido: El token se comparte con las aplicaciones conectadas, lo que permite al usuario acceder a ellas sin tener que volver a iniciar sesión.
Ventajas del SSO
Comodidad: Los usuarios no necesitan recordar varias contraseñas.
Seguridad: Reduce el riesgo de phishing y de reutilización de contraseñas.
Eficacia: Acelera los tiempos de inicio de sesión y minimiza las solicitudes de asistencia informática para restablecer contraseñas.
Información importante para la preconfiguración de SSO (Single sign-on)
En la actualidad, el SSO es una función que solo está disponible bajo demanda, por lo que si quieres que se active en tu cuenta, envía una solicitud a nuestro equipo de asistencia. Si ya tienes activada la función, vamos a ver cómo configurarla. Necesitas cumplir ciertos criterios antes de proceder a configurar el SSO:
1. Un proveedor de identidad compatible con el estándar SAML 2.0. Tenemos compatibilidad con los siguientes proveedores:
a. Microsoft Azure AD (Active Directory)
b. Okta
2. Permisos de usuario que te permitan configurar aplicaciones dentro de tu proveedor de identidad.
3. Credenciales de usuario de administrador para la cuenta principal del Hub.
Paso 1 | Configurar tu Proveedor de Identidad en SSO
|
Importante: Esta guía de configuración está dirigida a administradores de sistemas informáticos. Aunque podemos ayudarte a configurar el SSO para que funcione con nuestra plataforma, no podemos ofrecer asistencia para la configuración de tu proveedor de identidad SAML. Para garantizar la seguridad y la compatibilidad, por ahora nuestro sistema solo admite Proveedores de Identidad (IdP) conocidos, como Microsoft Entra ID (Azure AD) y Okta. Lamentablemente, en este momento no admitimos dominios personalizados ni IdP autoalojados para la configuración de SSO. También hemos observado que algunos clientes intentan configurar el inicio de sesión SSO con un solo toque (como la aplicación SSO de Okta ISPM) con Sinch Engage. En este momento, no admitimos esta función. Para acceder a tu cuenta a través de SSO, debes iniciar sesión a través de la página de inicio de sesión de SSO del portal web de Sinch Engage. |
Utilizamos SAML 2.0 (Security Assertion Markup Language), un estándar que permite a los Proveedores de Identidad (IdP) pasar de forma segura credenciales de autorización, como tu nombre de usuario y contraseña, a proveedores de servicios como el Hub.
1. El primer paso es crear una nueva aplicación SAML con tu IdP:
- Para Microsoft Azure AD, navega a la Galería Microsoft Entra y selecciona Crear tu propia aplicación, luego sigue esta guía.
- Para Okta, sigue esta guía.
2. Configura la aplicación utilizando los siguientes ajustes:
● Para Microsoft Azure AD
| MICROSOFT AZURE AD | |
| URI de la audiencia (ID de la entidad SP) | https://eu.app.sinch.com/ |
| URL de inicio de sesión único | https://eu.app.sinch.com/login |
| URL del servicio de consumidor de aserciones (URL de respuesta) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| MICROSOFT AZURE AD | Claim | ||
| NOMBRE | TIPO | VALOR |
| Identificador único de usuario (Name ID) | SAML | user.userprincipalname |
| MICROSOFT AZURE AD | Claim adicional | ||
| NOMBRE | TIPO | VALOR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | SAML | user.mail |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | SAML | user.userprincipalname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
● Para Okta
| OKTA | |
| URI de la audiencia (ID de la entidad SP) | https://eu.app.sinch.com/ |
| URL de inicio de sesión único (URL del servicio de consumidor de aserciones (URL de respuesta)) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| OKTA | Atributos | ||
| NOMBRE | FORMATO NOMBRE | VALOR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Referencia URI | user.email |
| http://schemas.microsoft.com/claims/authnmethodsreferences | Referencia URI | session.amr |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | Referencia URI | user.firstName |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | Referencia URI | user.lastName |
3. Configura un logotipo (esto es opcional).
4. Asigna usuarios o grupos a la aplicación.
5. Copia o descarga los metadatos XML del IdP: Guárdalos en un lugar seguro, ya que los necesitarás para el Paso 5 al Configurar el Hub.
Paso 2 | Configurar el Hub
1. Accede a la cuenta principal en el Hub. Recuerda que tus credenciales de usuario necesitarán acceso de nivel de administrador para proceder a partir de aquí.
2. Una vez que hayas iniciado sesión en el Hub, ve al menú y haz clic en Ajustes y, a continuación, selecciona Cuenta:
| Nota: si no puedes ver la opción de inicio de sesión único (SSO), significa que la función no está activada en tu cuenta. Puedes ponerte en contacto con el servicio de asistencia para solicitar que se active. |
3. Selecciona la pestaña Seguridad.
4. Configura los dominios de email que quieras habilitar para el SSO. Los dominios de email solo se pueden utilizar una vez por jerarquía de cuenta, de modo que si estableces un dominio de email a nivel de subcuenta, no podrás establecer el mismo dominio de email en otra subcuenta.
5. Utiliza la flecha desplegable para seleccionar tu proveedor de identidad (IdP): Okta o Azure AD. Si tu IdP no aparece en la lista, puedes ponerte en contacto con asistencia para discutir sobre la posible ampliación de la compatibilidad SSO a tu IdP.
6. Introduce el XML proporcionado por tu IdP en el campo correspondiente.
7. Cuando alguien se conecta al Hub utilizando SSO pero todavía no tiene un perfil de usuario, puedes permitir que el Hub cree automáticamente un nuevo usuario con las credenciales proporcionadas por el IdP. Solo tienes que activar este interruptor.
8. Utiliza la flecha desplegable para establecer el rol de usuario por defecto que se asignará a estos perfiles recién creados.
9. Selecciona las cuentas y subcuentas a las que quieres permitir el acceso a estos nuevos usuarios.
10. Activar este interruptor significa que cualquier usuario que inicie sesión con credenciales que coincidan con tus dominios de email nominados se verá obligado a iniciar sesión en el Hub utilizando solo SSO.
|
Nota sobre 2FA (Autenticación en dos fases) Cuando se aplica el SSO, el usuario no puede iniciar sesión utilizando una contraseña, por lo que no se activa el 2FA. |
Preguntas frecuentes
-
Mi organización utiliza un proveedor de servicios de identidad (IdP) que no está en la lista. ¿Será compatible en el futuro?
Ponte en contacto con el equipo de asistencia con los datos del proveedor de identidad que deseas utilizar. -
¿Tenéis compatibilidad con Microsoft Active Directory local?
No, solo admitimos Azure Active Directory. -
¿Tenéis compatibilidad con el SSO iniciado por IdP?
Desgraciadamente, de momento no. Los usuarios tendrán que volver a introducir su dirección de email en la página de Inicio de sesión con SSO. -
¿La activación de SAML SSO desconecta a los usuarios?
No, las sesiones de usuario activas permanecen conectadas hasta que caducan. La próxima vez que un usuario necesite iniciar sesión, tendrá que hacerlo con SAML SSO. -
¿Qué versión de SAML soporta el Hub?
Actualmente somos compatibles con SAML v2.0. -
¿Puedo seguir accediendo al Hub si mi proveedor de identidad sufre una interrupción?
Si tienes activada la autenticación SAML obligatoria y tu IDP no funciona, debes ponerte en contacto con el equipo de asistencia y podremos desactivar SAML para que los administradores y usuarios que existían antes puedan volver a iniciar sesión con el email.
-
¿Por qué recibo el error "SSO auth failed"?
Hay varias razones por las que puedes ver este mensaje de error, a continuación encontrarás los dos ejemplos más comunes, no obstante, si no se aplica ninguna de ellas, ponte en contacto con el servicio de asistencia.
a. Lo más probable es que se deba a una disparidad en tu Directorio Activo (AD) relativo, donde los registros pueden estar desalineados, en cuyo caso tendrías que comprobarlo con tu administrador de AD para asegurarte de que están los datos correctos.
b. A veces, cuando un usuario inicia sesión con el inicio de sesión único (SSO), empieza introduciendo su correo electrónico. Después de seguir los pasos de inicio de sesión, el sistema confirma su identidad y le devuelve sus datos, incluido su email verificado. A veces, el email devuelto es diferente del que introdujeron. Esto suele ocurrir porque el sistema se configuró para obtener el campo de correo incorrecto. Muchas plataformas almacenan varios campos similares al email (p.ej. tuorganizacion.com frente a on.tuorganizacion.com). Si se está utilizando uno incorrecto, el administrador puede simplemente actualizar la configuración para seleccionar el campo correcto.
Si sigues necesitando ayuda, ponte en contacto con nuestro equipo de asistencia y estaremos encantados de ayudarte.