Algunas funciones solo están disponibles en planes específicos o como complementos de pago y puedes consultar lo que se incluye en nuestra página de tarifas. Si tienes alguna otra pregunta, ponte en contacto con asistencia y podemos revisar tu plan y ofrecerte opciones, como hablar con alguien de nuestro equipo de éxito del cliente.
Este artículo explica qué es el SSO (inicio de sesión único), cómo funciona y qué ajustes son necesarios para configurarlo en tu cuenta de Sinch Engage.
El inicio de sesión único (SSO) es un método de autenticación que permite a los usuarios iniciar sesión en varias aplicaciones o servicios con un único conjunto de credenciales. En lugar de iniciar sesión por separado en distintas plataformas, el SSO agiliza el acceso autenticando al usuario una vez y concediéndole acceso en todos los sistemas conectados.
Nota - Esta página pronto será desactivada y los clientes que utilicen esta funcionalidad serán migrados a nuestro nuevo sistema de inicio de sesión único de Sinch ID; puedes leer sobre ello en este artículo.
Cómo funciona el SSO
El usuario se conecta una vez: El usuario introduce sus credenciales en una plataforma de proveedor de identidad (IdP).
Token de autenticación emitido: El IdP verifica las credenciales y genera un token de autenticación seguro.
Acceso concedido: El token se comparte con las aplicaciones conectadas, lo que permite al usuario acceder a ellas sin tener que volver a iniciar sesión.
Ventajas del SSO
Comodidad: Los usuarios no necesitan recordar varias contraseñas.
Seguridad: Reduce el riesgo de phishing y de reutilización de contraseñas.
Eficacia: Acelera los tiempos de inicio de sesión y minimiza las solicitudes de asistencia informática para restablecer contraseñas.
Información previa a la configuración
En la actualidad, el SSO es una función que solo está disponible bajo demanda, por lo que si quieres que se active en tu cuenta, envía una solicitud a nuestro equipo de asistencia. Si ya tienes activada la función, vamos a ver cómo configurarla. Necesitas cumplir ciertos criterios antes de proceder a configurar el SSO:
Un proveedor de identidad compatible con el estándar SAML 2.0. Ofrecemos compatibilidad para los siguientes proveedores: Microsoft Azure AD (Active Directory)
OktaPermisos de usuario que te permitan configurar aplicaciones dentro de tu proveedor de identidad.
Credenciales de usuario de administrador para la cuenta principal de Sinch Engage.
Validar la verificación del dominio SSO
Al configurar el inicio de sesión único (SSO), tendrás que demostrar que eres el propietario del dominio añadiendo un registro TXT de DNS. Se trata de una práctica de seguridad habitual en todo el sector.
Pasos para validar tu dominio
- Obtén los datos de tu registro TXT: en la pantalla de configuración del SSO, verás el valor del registro TXT generado para tu dominio.
- Añade el registro TXT a tus DNS.
- Accede a la configuración DNS de tu proveedor de dominio.
- Añade un registro TXT con los datos proporcionados. - Espera a que se actualicen los DNS: Los cambios de DNS pueden tardar unos minutos en propagarse.
- Guarda tu configuración SSO.
- Vuelve a la página de configuración del SSO y haz clic en Guardar.
- Si el registro TXT aún no está configurado, el sistema te impedirá guardar y te mostrará una guía clara sobre lo que debes corregir.
Nota: Si necesitas utilizar un único dominio para varias cuentas y tienes que verificar la propiedad del dominio para ellas, puedes poner varios valores en el registro TXT, separados por espacios, y cada valor se rodea de comillas dobles. Por ejemplo:
_sso_domain_verify.dub.ams.stg.mmd.zone. 60 IN TXT "559d63e31092f630ecc07ef84b58a643b64dfd7d0612fc3125ab1c825deb53cd" "4c54ce3fe8553f75282c75f6be30d8d087c4dc82f6cd038d56fb8a3ec6415096"
Si no puedes añadir tú mismo un registro TXT, ponte en contacto con tu equipo informático o proveedor de dominios para que te ayuden. Si te comunican que tampoco pueden ayudarte, ponte en contacto con nuestro equipo de asistencia.
Paso 1 | Configuración de tu proveedor de identidad de SSO
Importante: Esta guía de configuración está dirigida a administradores de sistemas informáticos. Aunque podemos ayudarte a configurar el SSO para que funcione con nuestra plataforma, no podemos ofrecer asistencia para la configuración de tu proveedor de identidad SAML.
Para garantizar la seguridad y la compatibilidad, por ahora nuestro sistema solo admite Proveedores de Identidad (IdP) conocidos, como Microsoft Entra ID (Azure AD) y Okta. Lamentablemente, en este momento no admitimos dominios personalizados ni IdP autoalojados para la configuración de SSO.
Las ubicaciones de confianza supported son:
- okta.com
- Microsoft Azure AD (Active Directory)
Los dominios IDP utilizados deben ser subdominios del dominio de confianza.
También hemos observado que algunos clientes intentan configurar el inicio de sesión SSO con un solo toque (como la aplicación SSO de Okta ISPM) con Sinch Engage. En este momento, no admitimos esta función. Para acceder a tu cuenta a través de SSO, debes iniciar sesión a través de la página de inicio de sesión de SSO del portal web de Sinch Engage.
Utilizamos SAML 2.0 (Security Assertion Markup Language), un estándar que permite a los proveedores de identidad (IdP) pasar de forma segura las credenciales de autorización, como tu nombre de usuario y contraseña, a proveedores de servicios como la plataforma Sinch Engage.
- El primer paso es crear una nueva aplicación SAML con tu IdP:
- Para Microsoft Azure AD, navega a la Galería Microsoft Entra y selecciona Crear tu propia aplicación, luego sigue esta guía.
- Para Okta, sigue esta guía.
- Configura la aplicación utilizando los siguientes ajustes:
Para Microsoft Azure AD
| MICROSOFT AZURE AD | |
| URI de la audiencia (ID de la entidad SP) | https://app.sinch.com/ |
| URL de inicio de sesión único | https://app.sinch.com/login |
| URL del servicio de consumidor de aserciones (URL de respuesta) | https://eu.app.api.sinch.com/v2/iam/sso/acs |
| MICROSOFT AZURE AD | Notificación | ||
| NOMBRE | TIPO | VALOR |
| Identificador único de usuario (Name ID) | SAML | user.userprincipalname |
| MICROSOFT AZURE AD | Notificación adicional | ||
| NOMBRE | TIPO | VALOR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | SAML | user.mail |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | SAML | user.givenname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | SAML | user.userprincipalname |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | SAML | user.surname |
Para Okta
| OKTA | |
| URI de la audiencia (ID de la entidad SP) | https://app.sinch.com/ |
| URL de inicio de sesión único (URL del servicio de consumidor de aserciones (URL de respuesta)) | https://app.api.sinch.com/v2/iam/sso/acs |
| OKTA | Atributos | ||
| NOMBRE | FORMATO NOMBRE | VALOR |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Referencia URI | user.email |
| http://schemas.microsoft.com/claims/authnmethodsreferences | Referencia URI | session.amr |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | Referencia URI | user.firstName |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | Referencia URI | user.lastName |
- Configura un logotipo (esto es opcional).
- Asigna usuarios o grupos a la aplicación.
- Copia o descarga los metadatos XML del IdP: Guárdalos en un lugar seguro, ya que los necesitarás para el paso 5 de Configurar la plataforma de Sinch Engage.
Paso 2 | Configurar la plataforma de Sinch Engage
- Accede a la cuenta principal en la plataforma de Sinch Engage. Recuerda, necesitarás credenciales de usuario de nivel de administrador para proceder a partir de aquí.
- Una vez que hayas iniciado sesión en la plataforma de Sinch Engage, ve al menú y haz clic en Ajustes > Cuenta:
Nota: Si no puedes ver la opción de inicio de sesión único (SSO), significa que la función no está activada en tu cuenta. Puedes ponerte en contacto con el servicio de asistencia para solicitar que se active.
- Configura los dominios de email que quieras habilitar para el SSO. Los dominios de email solo se pueden utilizar una vez por jerarquía de cuenta, de modo que si estableces un dominio de email a nivel de subcuenta, no podrás establecer el mismo dominio de email en otra subcuenta. Para guardar la información introducida, simplemente pulsa Intro en tu teclado o haz clic en cualquier lugar fuera del campo.
- Utiliza la flecha desplegable para seleccionar tu proveedor de identidad (IdP): Okta o Azure AD. Si tu IdP no aparece en la lista, puedes ponerte en contacto con asistencia para discutir sobre la posible ampliación de la compatibilidad SSO a tu IdP.
-
Introduce el XML proporcionado por tu IdP en el campo correspondiente.
- Cuando alguien inicia sesión en la plataforma de Sinch Engage mediante SSO pero aún no tiene un perfil de usuario, puedes permitir que la plataforma de Sinch Engage cree automáticamente un nuevo usuario con las credenciales proporcionadas por el IdP. Solo tienes que activar este interruptor para habilitar la función.
- Utiliza la flecha desplegable para establecer el rol de usuario por defecto que se asignará a estos perfiles recién creados.
- Selecciona las cuentas y subcuentas a las que quieres permitir el acceso a estos nuevos usuarios.
-
Activar este interruptor significa que cualquier usuario que inicie sesión con credenciales que coincidan con tus dominios de email nominados se verá obligado a iniciar sesión en la plataforma de Sinch Engage utilizando solo SSO.
-
Puedes elegir activar o desactivar la autenticación SAML, que se aplicará a todos los usuarios.
Nota sobre 2FA (Autenticación en dos fases)
Cuando se aplica el SSO, el usuario no puede iniciar sesión utilizando una contraseña, por lo que no se activa el 2FA.
Cuando no se aplica el SSO, el usuario puede iniciar sesión utilizando una contraseña, lo que activará el 2FA. Sin embargo, también pueden elegir iniciar sesión a través de SSO, lo que evita la 2FA.
Preguntas frecuentes
-
Mi organización utiliza un proveedor de servicios de identidad (IdP) que no está en la lista. ¿Será compatible en el futuro?
Ponte en contacto con el equipo de asistencia con los datos del proveedor de identidad que deseas utilizar. -
¿Tenéis compatibilidad con Microsoft Active Directory local?
No, solo admitimos Azure Active Directory. -
¿Tenéis compatibilidad con el SSO iniciado por IdP?
Desgraciadamente, de momento no. Los usuarios tendrán que volver a introducir su dirección de email en la página de Inicio de sesión con SSO. -
¿La activación de SAML SSO desconecta a los usuarios?
No, las sesiones de usuario activas permanecen conectadas hasta que caducan. La próxima vez que un usuario necesite iniciar sesión, tendrá que hacerlo con SAML SSO. -
¿Qué versión de SAML admite Sinch Engage?
Actualmente somos compatibles con SAML v2.0. -
¿Puedo seguir accediendo a la plataforma de Sinch Engage si mi proveedor de identidad sufre una interrupción?
Si tienes activada la autenticación SAML obligatoria y tu IDP no funciona, debes ponerte en contacto con el equipo de asistencia y podremos desactivar la opción «Imponer SAML» para permitir que los administradores y los usuarios que ya existían vuelvan a iniciar sesión con su email. -
¿Por qué recibo el error "SSO auth failed"?
Hay varias razones por las que puedes ver este mensaje de error, a continuación encontrarás los dos ejemplos más comunes, no obstante, si no se aplica ninguna de ellas, ponte en contacto con el servicio de asistencia.
a. Lo más probable es que se deba a una discrepancia en tu Active Directory (AD), donde es posible que los registros no estén alineados. En ese caso, tendrías que consultarlo con tu administrador de AD para asegurarte de que los datos son correctos.
b. A veces, cuando un usuario inicia sesión con el inicio de sesión único (SSO), empieza introduciendo su correo electrónico. Después de seguir los pasos de inicio de sesión, el sistema confirma su identidad y le devuelve sus datos, incluido su email verificado. A veces, el email devuelto es diferente del que introdujeron. Esto suele ocurrir porque el sistema se configuró para obtener el campo de correo incorrecto. Muchas plataformas almacenan varios campos similares al email (p.ej. tuorganizacion.com frente a on.tuorganizacion.com). Si se está utilizando uno incorrecto, el administrador puede simplemente actualizar la configuración para seleccionar el campo correcto.