Inicio de sesión único (SSO)
El inicio de sesión único (Single Sign-On, SSO) es un mecanismo de autenticación que permite a los usuarios acceder a múltiples sistemas y aplicaciones de confianza con un único conjunto de credenciales, eliminando la necesidad de iniciar sesión varias veces. Por lo general, el SSO se implementa mediante protocolos entre un proveedor de identidades (Identity Provider, IdP) y un proveedor de servicios (Service Provider, SP). Entre los beneficios clave del SSO se incluyen:
- Reducir la fatiga de contraseñas, mejorar la experiencia del usuario y aumentar la productividad.
- Reforzar la seguridad y habilitar la gestión centralizada de identidades de miembros y permisos de acceso para las empresas.
- Reducir los costes de TI y minimizar la carga de recuperación y mantenimiento de contraseñas.
Proceso básico de inicio de sesión SSO de EngageLab: al acceder al enlace de inicio de sesión SSO de EngageLab, los usuarios se redirigen a un sistema SSO interno o externo para su autenticación. Tras autenticarse correctamente, los usuarios regresan a la plataforma EngageLab y se inicia sesión automáticamente.
Términos comunes
| Término | Descripción |
|---|---|
| Proveedor de identidades (IdP) | Servicio de terceros responsable de la autenticación de identidad. Tras iniciar sesión mediante el IdP, los usuarios pueden acceder a varios sistemas conectados sin volver a introducir contraseñas. |
| Proveedor de servicios (SP) | Sistema registrado como una aplicación en el IdP, que recibe los resultados de autenticación del IdP y proporciona servicios de negocio específicos a los usuarios. |
| Lenguaje de marcado para aserciones de seguridad (SAML) | Protocolo estándar abierto basado en XML para transmitir de forma segura datos de autenticación de identidad y autorización entre IdP y SP. La plataforma admite SAML 2.0. |
| Métodos de inicio de sesión | Métodos de autenticación utilizados para acceder al sistema, incluidos el inicio de sesión normal y el inicio de sesión SSO. * Inicio de sesión normal: El sistema de autenticación de cuenta nativo de la plataforma, como el inicio de sesión con nombre de usuario y contraseña; inicios de sesión por autorización de terceros como Google OAuth, Facebook, Apple, GitHub, etc. * Inicio de sesión SSO: Inicio de sesión mediante varios proveedores de identidades (IdP). |
| Tipos de organización | * Organización normal: Organizaciones que no tienen habilitado el inicio de sesión SSO y requieren el inicio de sesión normal para acceder. * Organización SSO: Organizaciones que tienen habilitado el inicio de sesión SSO y requieren el servicio SSO configurado para acceder. |
Notas:
- El servicio SSO utiliza el correo electrónico como identificador único. Asegurarse de que el correo electrónico configurado en el IdP corporativo coincida con el correo electrónico de la cuenta de la plataforma EngageLab.
- Los tipos de organización y los métodos de inicio de sesión afectan directamente a los permisos de acceso y a las capacidades operativas. Los administradores empresariales deben configurarlos en función de las necesidades reales.
- Para configurar SSO, primero se debe completar la configuración del protocolo IdP a nivel de cuenta, autorizar el IdP a la organización de destino y habilitar el inicio de sesión SSO a nivel de organización.
Reglas de acceso de usuarios
- Organizaciones normales: Solo admiten métodos de inicio de sesión normal, aplicable a todos los miembros y creadores de organizaciones.
- Organizaciones SSO: Todos los miembros deben acceder mediante inicio de sesión SSO. Los creadores de organizaciones pueden acceder tanto con inicio de sesión normal como con inicio de sesión SSO.
- Vinculación de inicio de sesión SSO: Cuando un usuario inicia sesión mediante un servicio SSO, el sistema registra la relación de vinculación entre la cuenta y el servicio SSO. Esta vinculación se puede establecer mediante:
- Iniciar sesión mediante el enlace SSO del correo electrónico Invitation to Join Organization
- Iniciar sesión mediante un enlace dedicado para un servicio SSO específico
- Iniciar sesión mediante el enlace SSO del correo electrónico de notificación Organization Successfully Enabled SSO Service
- Coincidencia de correo electrónico: El servicio SSO utiliza el correo electrónico como identificador único de usuario y lo asocia automáticamente con la cuenta de la plataforma:
- Página general de inicio de sesión SSO: Si el correo electrónico no existe, el sistema deniega el inicio de sesión.
- Enlace dedicado de inicio de sesión SSO: Si el correo electrónico no existe, el sistema crea automáticamente una nueva cuenta.
- Creación de cuentas: Las cuentas que usan inicio de sesión normal pueden crear organizaciones y configurar servicios SSO para las organizaciones creadas. Las cuentas que usan inicio de sesión SSO no pueden crear nuevas organizaciones.
Guía de configuración de SSO
EngageLab admite la integración de SSO con cualquier proveedor de identidades basado en el protocolo SAML 2.0, incluidos, entre otros, Microsoft Azure, Okta, One Login y Google.
Configurar EngageLab en el IdP
Para configurar el inicio de sesión único (SSO), añadir EngageLab como una aplicación en el proveedor de identidades (IdP). Ponerse en contacto con el administrador del IdP de la organización para configurar en la aplicación del IdP la información de SP generada por EngageLab.
Iniciar sesión en EngageLab, situar el cursor sobre el avatar del usuario en la esquina inferior izquierda de la interfaz principal y hacer clic en "Account" en el menú emergente. En "Personal Center", hacer clic en "SSO" para acceder a la página de SSO.
En la página SSO, hacer clic en el botón "Configure SSO".
Copiar la información de configuración proporcionada por EngageLab (SP) y compartirla con el administrador del IdP. Solicitar al administrador que la configure en el IdP corporativo. Tras confirmar que la configuración está completa, seleccionar la casilla de confirmación en la página y continuar con el siguiente paso.
Utilizar el botón de copia de la derecha para copiar rápidamente.
Información de configuración:
- Configuración generada por el SP:
- Entity ID: Identificador único del proveedor de servicios (SP) en el IdP.
- ACS URL: Dirección de Assertion Consumer Service, que recibe la información de aserción SAML devuelta por el IdP.
- Login URL: Dirección de entrada de inicio de sesión SSO.
- Logout URL: Dirección de entrada de cierre de sesión SSO.
- Configuración devuelta por el IdP:
- X.509 Certificate (base64): Certificado del proveedor de identidades (los certificados tienen fecha de caducidad; actualizarlos oportunamente si caducan).
- Login URL: Dirección de inicio de sesión del IdP.
- Logout URL: Dirección de cierre de sesión del IdP.
- Configuración generada por el SP:
Guías de configuración para distintas plataformas IdP:
- Microsoft Azure
- Okta
- One Login
Introducir la información devuelta por el IdP
Introducir en el SP el Certificate, el Login URL y el Logout URL proporcionados por el IdP, y hacer clic en Next.
- Personalizar el nombre del servicio SSO con fines de identificación.
Autorizar organizaciones
En la página "Authorize Organization", seleccionar la organización a la que se asignará el servicio SSO y hacer clic en "Save" para aplicar la configuración.
- Se puede autorizar un servicio SSO a varias organizaciones o configurar varios servicios SSO para una organización.
- Si la organización muestra "No Rights" o "Authorization Limit Reached", ponerse en contacto con ventas.
Una vez que la configuración surta efecto, los miembros de la organización deben usar el inicio de sesión SSO para acceder a la organización correspondiente.
Verificar el servicio SSO
Tras la configuración, probar si el servicio SSO funciona correctamente utilizando la URL de inicio de sesión SSO.
- Asegurarse de que la cuenta de prueba se haya unido a la organización autorizada para SSO en EngageLab y de que se le haya concedido acceso a la aplicación SSO en la plataforma IdP.
Lista de SSO
La lista de servicios SSO muestra todos los servicios SSO configurados; los campos clave incluyen:
| Campo | Descripción |
|---|---|
| Nombre del servicio SSO | Nombre personalizado del servicio SSO |
| Tipo | Tipo de protocolo SSO |
| Enlace de inicio de sesión | Enlace de entrada de inicio de sesión SSO |
| Organizaciones autorizadas | Número de organizaciones actualmente autorizadas por el servicio SSO |
| Acciones | Admite las acciones "Edit", "Authorize" y "Delete" |
Al hacer clic en cualquier lugar de una fila de la lista, se mostrará automáticamente el cuadro de diálogo "SSO Service Details".
Al situar el cursor sobre el campo "Authorized Organizations" se mostrará una lista detallada de las organizaciones autorizadas.
Editar
Hacer clic en el botón "Edit" o en cualquier lugar de una fila de la lista para abrir la barra lateral de detalles del servicio SSO, donde se pueden ver y editar los parámetros detallados de configuración de SSO.
- Hacer clic en el botón de la derecha para copiar el contenido del campo. La página solo admite la reedición de la información de configuración del IdP; los demás campos son de solo lectura.
Información de configuración generada por el SP
- Entity ID: Identificador único del SP (Service Provider) en el IdP.
- ACS URL: Dirección de Assertion Consumer Service, utilizada para recibir datos de aserción SAML devueltos por el IdP.
- Login URL: Punto de entrada del inicio de sesión SSO.
- Logout URL: Punto de entrada del cierre de sesión SSO.
Información de configuración devuelta por el IdP
- X.509 Certificate (base64): Certificado del proveedor de identidades. Los certificados tienen fecha de caducidad; garantizar actualizaciones oportunas si caducan.
- Login URL: Dirección de inicio de sesión proporcionada por el IdP.
- Logout URL: Dirección de cierre de sesión proporcionada por el IdP.
Organizaciones autorizadas
Hacer clic en el botón "Authorize" para abrir la barra lateral de organizaciones autorizadas:
- El panel izquierdo enumera las organizaciones disponibles, mientras que el panel derecho enumera las organizaciones autorizadas.
- Solo se pueden autorizar organizaciones con privilegios de SSO. Si la organización que se desea autorizar no dispone de privilegios de SSO o ha alcanzado el número máximo de servicios SSO autorizados, ponerse en contacto con ventas.
- Tras autorizar o revocar la autorización, los miembros de las organizaciones afectadas recibirán notificaciones por correo electrónico y deberán volver a autenticarse.
Eliminar el servicio SSO
Hacer clic en el botón "Delete" para eliminar la configuración del servicio SSO actual. Proceder con precaución, ya que el servicio SSO dejará de estar disponible tras la eliminación y los miembros de la organización relacionados ya no podrán iniciar sesión mediante el servicio.
Iniciar sesión en la página SSO del sitio web oficial
Abrir la página de inicio de sesión de EngageLab y hacer clic en el botón "SSO Login".
Introducir la dirección de correo electrónico registrada en EngageLab. El sistema consultará la última organización SSO a la que se accedió y redirigirá el proceso de inicio de sesión según el servicio SSO configurado para esa organización.
- Si la organización ha configurado varios servicios SSO y la cuenta está vinculada a varios servicios SSO, se solicitará seleccionar qué servicio SSO utilizar para iniciar sesión.
- Si solo existe un servicio SSO, el sistema redirigirá automáticamente.
El sistema redirigirá a la página de inicio de sesión del IdP, donde será necesario introducir las credenciales de la cuenta para autenticarse. Tras autenticarse correctamente, el sistema redirigirá de vuelta a EngageLab para completar el proceso de inicio de sesión SSO.
Escenarios comunes de fallo de inicio de sesión
La cuenta no existe
Verificar si la dirección de correo electrónico introducida está registrada en EngageLab o si previamente se ha iniciado sesión mediante un enlace SSO. Si no está registrado, se puede iniciar sesión mediante el enlace SSO y el sistema creará automáticamente una cuenta.La dirección de correo electrónico no coincide
Si la dirección de correo electrónico introducida no coincide con la dirección de correo electrónico configurada para la cuenta de inicio de sesión del IdP, el sistema mostrará un error de discrepancia de correo electrónico.
Confirmar la dirección de correo electrónico configurada en la cuenta del IdP. Si se presentan problemas, ponerse en contacto con el administrador para obtener ayuda.La organización no ha habilitado el inicio de sesión SSO
La organización a la que se ha unido o que se ha creado no ha habilitado el inicio de sesión SSO. Ponerse en contacto con el administrador para habilitar el servicio SSO para la organización.
Inicio de sesión mediante enlace específico de SSO
Compartir el enlace de inicio de sesión SSO
Si se es el creador de la organización, iniciar sesión en EngageLab, ir a "Personal Center > SSO", hacer clic en el servicio SSO correspondiente a la organización de destino, copiar el enlace de inicio de sesión SSO y compartirlo con los miembros de la organización.
Proceso de inicio de sesión
Los miembros hacen clic en el enlace de inicio de sesión SSO y el sistema los redirige a la página de inicio de sesión del IdP.
Tras completar el inicio de sesión en el IdP, los miembros serán redirigidos a la consola de EngageLab, donde la dirección de correo electrónico de la cuenta de inicio de sesión del IdP se asociará con la dirección de correo electrónico de la cuenta de EngageLab.
En condiciones normales, si el miembro dispone de algún permiso autorizado por el servicio SSO para la organización, accederá automáticamente a la última organización SSO a la que se accedió.
A continuación se presentan escenarios anómalos:
- Si la dirección de correo electrónico configurada para la cuenta del IdP no está registrada en la plataforma EngageLab, el sistema creará automáticamente una cuenta, redirigirá a la página de configuración de información personal y mostrará el mensaje:
"Your account has not been granted permissions for any SSO organization. Please contact the administrator for authorization." - Si la cuenta está registrada pero no ha creado ni se ha unido a ninguna organización, el sistema mostrará el mensaje:
"Your account has not been granted permissions for any SSO organization. Please contact the administrator for authorization." - Si la cuenta está registrada y ha creado o se ha unido a una organización, pero no tiene permisos para la organización autorizada por el servicio SSO, el sistema redirigirá a la lista de organizaciones de la cuenta. Será necesario seleccionar la organización a la que se desea acceder y cambiar al método de inicio de sesión correspondiente.
- Si la dirección de correo electrónico configurada para la cuenta del IdP no está registrada en la plataforma EngageLab, el sistema creará automáticamente una cuenta, redirigirá a la página de configuración de información personal y mostrará el mensaje:
Nota:
Para acceder a una organización mediante el enlace de inicio de sesión SSO, ponerse en contacto con el administrador de la organización para que añada la dirección de correo electrónico a los miembros de la organización SSO.
Escenarios comunes de fallo de inicio de sesión
- No se puede iniciar sesión correctamente en el IdP
Si a la cuenta del IdP no se le han concedido permisos de acceso para la aplicación SSO del IdP, se producirá un error del lado del IdP al iniciar sesión mediante el enlace de inicio de sesión SSO. Ponerse en contacto con el administrador del IdP para que conceda permisos de acceso.
Cerrar sesión de una cuenta
Al cerrar sesión de una cuenta en estado de inicio de sesión SSO, el proceso difiere del inicio de sesión normal:
Tras hacer clic en cerrar sesión, el sistema llama automáticamente a la URL de cierre de sesión del IdP para lograr el cierre de sesión global en el IdP.
Tras cerrar sesión, se requiere volver a autenticarse en la plataforma IdP para iniciar sesión de nuevo.
