Ir al contenido principal
Todas las coleccionesIntegraciones
Todo lo que necesitas saber sobre Single-Sign-On (SSO)
Todo lo que necesitas saber sobre Single-Sign-On (SSO)

Este artículo explica todo lo que necesitas saber para configurar y manipular la función Single-Sign-On en Qulture.Rocks

Actualizado hace más de un año

Qulture.Rocks dispone de una integración con proveedores de inicio de sesión único (Single Sign On - SSO) que utilizan el protocolo SAML v2.0. A través de él, es posible hacer que el inicio de sesión en la Plataforma Qulture esté bajo la responsabilidad del sistema de directorio de su empresa (Proveedor de Identidad, o IDP), como ADFS, Azure AD o Google.

Para que la integración funcione, se requiere la participación de alguien del equipo de TI de su empresa que esté familiarizado con el sistema de directorio/SSO que utiliza.

Si tiene algún problema, asegúrese de leer las secciones de Preguntas Frecuentes (FAQs) y Errores Comunes a continuación. Te ayudarán a resolver rápidamente los problemas que surgen con más frecuencia.

Con esta integración, el inicio de sesión del usuario queda de responsabilidad del cliente y no de Qulture.

ATENCIÓN: esta integración SSO no dispone de aprovisionamiento de usuarios, es decir, no crea automáticamente cuentas en la Plataforma Qulture. Sólo los usuarios registrados podrán conectarse. Lea sobre la integración de la base de usuarios aquí.

El siguiente diagrama ilustra de forma simplificada los flujos de SSO y de sincronización de la base de usuarios.

📜 ¿Cómo funciona la configuración?

ATENCIÓN: NO ACTIVES EL REQUISITO DE INICIO DE SESIÓN POR SSO ANTES DE PROBAR EL INICIO DE SESIÓN.

Recomendamos que el informático sea el responsable de la administración de la empresa mientras se configura, para que pueda crear usuarios en Qulture sin tener que preguntar a nadie.

Para configurar el SSO, simplemente vaya a Organización > Integraciones > Single Sign On con permiso de administrador y siga los pasos.

📢 MUCHA ATENCIÓN

Es esencial que la configuración del SSO se haga correctamente, con destaque al envío del campo de identificación del usuario sea el correo electrónico. Mediante el protocolo SAML, nuestro sistema "confía" en el identificador enviado por la respuesta del IDP. Si se envían los mismos identificadores a dos usuarios diferentes, es posible que uno de ellos acceda a la cuenta del otro.

⚠️ Errores comunes

1. Usuário no consigue acceder

  • Recuerde que el usuario con el mismo identificador debe estar registrado, activo y desbloqueado en la plataforma Qulture Y con permiso para acceder a su lado.

    • Es muy común que un usuario intente iniciar sesión con una dirección de correo electrónico diferente a la registrada en Qulture.

  • Comprueba si tus metadatos han sido modificados desde que los añadiste en la Plataforma. En caso afirmativo, vuelva a cargar el archivo.

  • Compruebe que está enviando correctamente el campo de identificación del usuario (correo electrónico u otro)

  • Asegúrese de que el usuario IDP tiene el mismo correo electrónico registrado en Qulture. Es bastante común recibir llamadas con intentos fallidos de inicio de sesión con diferentes correos electrónicos entre las bases.

2. El usuario consigue autenticarse, pero cae en la pantalla de inicio de sesión de Qulture

Este problema no es muy común, pero ha sucedido: los relojes del proveedor y de nuestro servidor pueden estar desincronizados y la devolución de la IP en nuestro servidor llega en un momento y la condición llega en el futuro. Un ejemplo:

1. Request chegou em "2014-07-17T01:00:00Z"

2. Condition na resposta do SAML:

<saml:Conditions NotBefore="2014-07-17T01:01:18Z" NotOnOrAfter="2014-07-18T06:21:48Z">

Es posible solicitar a Qulture una mayor tolerancia, denominada drift. Como esta tolerancia aumenta los riesgos de seguridad, se recomienda que el drift sea el menor posible, 30 segundos como mucho, y que sea temporal hasta que el clock del IP se sincronice.

🔎 Necesito ayuda de Qulture para encontrar un problema

Si se ha asegurado de que no se trata de uno de los problemas comunes descritos anteriormente y un usuario sigue sin poder conectarse, siga este procedimiento:

Puede abrir una consulta en nuestro canal de consultas técnicas al que puede acceder a través de este enlace.

(i) una confirmación de que ya ha comprobado que no se trata de uno de los errores comunes mencionados anteriormente

(ii) la dirección de correo electrónico del usuario

(iii) captura de pantalla del flujo de entrada (para facilitar la identificación del punto de ruptura

(iv) SAMLRequest y SAMLResponse:

a. Abra el inspector de código en el navegador;

b. Realiza un intento de log in por SSO;

c. En la pestaña Network del inspector, busque la solicitud SSO, como en el ejemplo siguiente;

d. Copie la SAMLRequest y péguela en un archivo request.txt (envíe en el cuerpo del correo electrónico el campo date, que se encuentra en la cabecera de la solicitud - ej: Sun, 22 Nov 2020 15:05:13 GMT, no envíe un pantallazo sino el texto)

e. Busque el elemento con la respuesta y copie el SAMLResponse y péguelo en un archivo response.txt

❓ FAQs

  1. ¿Tiene Qulture una aplicación en mi proveedor (Azure, Okta) para no tener que hacer la configuración manual?
    Todavía no tenemos una, pero la configuración es bastante sencilla 😉 .

  2. ¿Hay soporte para otro protocolo además de SAML 2.0?
    No.

  3. ¿Es posible la integración con LDAP?
    No, sólo a través del proceso descrito.

  4. ¿Es posible crear/activar/inactivar usuarios por SSO?
    Por ahora la Plataforma no puede realizar acciones de aprovisionamiento de usuarios. Está en nuestros planes, pero aún no tenemos previsto atacar este punto. La buena noticia es que hay varias opciones de integración de la base de usuarios que funcionan muy bien para solucionar este problema.

  5. ¿Es posible gestionar los usuarios a través de los grupos de AD, o de los roles de permiso?
    No, sólo tenemos la integración de la firma, no el aprovisionamiento. No es posible cambiar los permisos de los usuarios en el SSO.

  6. ¿Necesito una configuración diferente para la aplicación móvil?No, el flujo de entrada es el mismo que el de la aplicación web.

  7. ¿Necesito crear un entorno de pruebas para configurarlo?
    No, no hay ningún problema con que esta configuración ocurra en paralelo al uso, ya que sólo forzamos el acceso a través de SSO después de que todo haya sido probado y confirmado.

  8. Mi TI no sabe muy bien cómo hacerlo, ¿puede Qulture configurarlo por mí?
    No realizamos la configuración por parte del cliente, sino que debe ser realizada por el área responsable de su empresa.

  9. ¿Cómo se conectará el usuario?
     Puede acceder a nuestra pantalla de inicio de sesión y hacer clic en SSO o ir directamente a la pantalla de inicio de sesión que usted defina internamente.

  10. ¿Se crearán usuarios automáticamente con esta integración?
    No, nuestra integración SSO no crea nuevos usuarios en la plataforma, y para ello, tenemos algunas opciones de integración de la base de usuarios.

  11. ¿Basta con incluir un nuevo usuario en Qulture.Rocks para que pueda acceder mediante SSO automáticamente?
    No. Es necesario incluir este nuevo usuario (correo electrónico) en el grupo de personas que pueden acceder a QR a través de SSO, dentro de la propia configuración del inicio de sesión único.

  12. ¿Cómo funciona la restricción que obliga a iniciar sesión a través de SSO?
    Cuando activamos esta opción, bloqueamos a un usuario para que no cambie sus contraseñas en Qulture y cambiamos todas las contraseñas a valores aleatorios. Esto hace que un usuario de su empresa sólo pueda iniciar sesión a través de SSO. Otra consecuencia de esta opción es que los enlaces en los correos electrónicos enviados por la Plataforma Qulture ahora irán con el enlace a su pantalla de inicio de sesión SSO.

  13. ¿Es posible tener más de un proveedor por empresa?
    Actualmente nuestra plataforma no admite más de un proveedor.

  14. He activado el requisito de inicio de sesión SSO y ahora no puedo iniciar sesión. ¿Qué debo hacer?
    Puedes llamarnos por chat explicando el caso y pidiendo que se elimine el requisito de iniciar sesión por SSO en tu empresa. Después de que la persona que le atienda valide la legitimidad de la solicitud, desactivará esta opción y podrá solicitar un correo de restablecimiento de contraseña en la plataforma.

  15. ¿Es posible cambiar la URL que dirige a mi SSO?
    De forma predeterminada, cuando creamos una empresa "Mi Company", configuramos el campo que determina la URL (llamado slug) en "mi company". Si desea cambiar, deshabilite el requisito de inicio de sesión de SSO y envíe un correo electrónico al administrador de la cuenta con el nuevo nombre. Deberá volver a realizar los pasos de configuración de SSO.

  16. ¿Qué sucede cuando un usuario hace clic en "Olvidé mi contraseña" en la pantalla de inicio de sesión de Qulture?
    La Plataforma envía un correo electrónico explicando que la empresa utiliza el inicio de sesión de Single Sign On y dirigiendo a la pantalla de inicio de sesión del proveedor de identidad de la empresa.

Ejemplos

Esta sección proporciona ejemplos de configuración en los Identity Providers.

Microsoft Azure AD

Nota: el vídeo no tiene sonido ;)

Okta

Si tiene alguna duda, póngase en contacto con nosotros por chat.

¿Qué opinas del artículo? Deja tus comentarios abajo 👇

¿Ha quedado contestada tu pregunta?