¿Qué es SSO?
SSO es una tecnología de autenticación y control de acceso que permite a los usuarios iniciar sesión en varias aplicaciones usando un solo conjunto de credenciales. Usar SSO con Opendock ofrece una mejor experiencia para tus empleados y ayuda a garantizar mayor seguridad y cumplimiento normativo.
Nota técnica: Opendock utiliza el protocolo SAML 2.0 para SSO. Actualmente no se admiten otros protocolos, sin embargo, si tienes un requerimiento específico, por favor háznoslo saber.
Cómo funciona
Una vez que tu organización tenga SSO configurado correctamente, tus usuarios podrán autenticarse (iniciar sesión) en Opendock directamente desde tu Proveedor de Identidad (IdP) como Azure ActiveDirectory u Okta y acceder a Opendock Nova sin preocuparse por gestionar un usuario y contraseña adicionales.
Nota técnica: Esto se conoce como flujo SSO iniciado por el IdP. Actualmente no se admiten flujos iniciados por el Proveedor de Servicios (SP).
Por defecto, los usuarios deben ser creados manualmente en Opendock antes de poder iniciar sesión mediante SSO. Los roles de los usuarios en Opendock se gestionan únicamente dentro de Opendock. Sin embargo, si deseas gestionar la creación/actualización de usuarios desde tu IdP, puedes usar nuestro sistema opcional de Provisionamiento (consulta la sección de abajo para más detalles sobre su uso).
Configuración de SSO en Opendock
Configuración inicial
- Ve a la página Mi organización y luego selecciona la pestaña CONFIGURACIÓN SSO.
- Genera la URL de metadatos de tu IdP desde tu IdP, pégala en el campo URL de metadatos de IdP en Opendock y haz clic en GUARDAR. Ten en cuenta que tu IdP debe poder proporcionar esta URL de metadatos, de lo contrario no podrás usarlo con SSO de Opendock.
- Puedes dejar la opción SSO habilitado en no por ahora. Esto te permitirá probar SSO antes de activarlo "oficialmente". También deberías dejar la opción Prohibir inicio de sesión con contraseña en no por ahora (más detalles sobre estas opciones abajo).
- Configura tu IdP:
- Ten en cuenta que algunos detalles de la configuración de tu IdP para que funcione con Opendock serán únicos para tu empresa y tu IdP en particular, y están fuera del alcance de este documento. Te proporcionamos lo siguiente para informarte de nuestros requisitos para SSO y ayudarte con la configuración en la medida de lo posible:
- Utiliza la información bajo la sección Metadatos del Proveedor de Servicios de Opendock para configurar tu IdP. Si tu IdP lo permite, puedes usar la URL de metadatos proporcionada. Si no, también te damos los valores de ID de entidad y Ubicación del consumidor de aserciones, que puedes copiar fácilmente haciendo clic en el icono de copiar a la derecha.
- Debe haber una declaración llamada email que contenga la dirección de correo electrónico del usuario tal como está en Opendock.
- Los certificados SAML deben estar firmados con SHA-256 tanto para la respuesta como para la aserción.
Ahora puedes probar esto con un usuario real autenticándote a través de tu IdP en Opendock. Si esto funciona para tu usuario de prueba, continúa con las siguientes secciones.
Configuración de SSO
-
SSO habilitado
Una vez que puedas hacer una prueba de inicio de sesión mediante SSO, quizás quieras habilitar SSO "oficialmente" para tu organización. Para hacerlo, simplemente pon el interruptor SSO habilitado en sí y haz clic en GUARDAR. Ahora, cuando se creen usuarios, ya no recibirán un correo de Opendock pidiéndoles que configuren su contraseña, ya que se espera que la autenticación se realice mediante SSO.
Nota: El provisionamiento SSO NO funcionará hasta que pongas SSO habilitado en sí.
-
Prohibir inicio de sesión con contraseña
Cuando estés seguro de que todo funciona correctamente, quizás quieras restringir el sistema para que los usuarios de tu organización ya no puedan iniciar sesión con contraseña, sino que deban usar SSO. Si deseas este comportamiento, pon el interruptor Prohibir inicio de sesión con contraseña en sí y haz clic en GUARDAR. Ahora todos los usuarios (excepto los que tengan el rol Propietario) se les negará el acceso si intentan iniciar sesión con correo/contraseña, y tampoco podrán restablecer su contraseña. Deberán iniciar sesión mediante SSO.
- Integraciones API: Como el acceso a la API requiere el uso de correo/contraseña para iniciar sesión, debes asegurarte de que el/los usuario(s) utilizados en cualquier integración API tengan el rol Propietario cuando esta opción esté activada, de lo contrario tus integraciones comenzarán a fallar.
Consejos para Azure Active Directory
Aquí tienes una visión general de alto nivel sobre cómo empezar con SSO de Opendock para quienes usan Azure AD:
- Crea una Aplicación Empresarial para Opendock en la que configurar SSO
- Agrega la información básica de configuración SAML para el Identificador (ID de entidad) y la URL de respuesta (URL del Servicio de Consumidor de Aserciones)
- Agrega una declaración llamada email con el valor user.email
- Configura la opción Certificado de firma SAML > Opción de firma en Firmar respuesta y aserción SAML
- Agrega usuarios (o grupos) a la aplicación
- Copia la URL de metadatos de federación de la aplicación en Opendock.
Configuración de Provisionamiento
El SSO de Opendock es compatible con el provisionamiento, que es un sistema que te permite crear y actualizar usuarios en tu organización de Opendock a través de tu IdP (Proveedor de Identidad). Así, en vez de tener que crear usuarios manualmente en Opendock y actualizar su rol, etc., puedes usar el provisionamiento para que esto se haga automáticamente cuando los usuarios intenten iniciar sesión mediante SSO en Opendock. Esto facilita la gestión de identidades de usuario, dándote un solo lugar para crear/configurar tus usuarios (tu IdP).
El sistema de provisionamiento funciona configurando ciertos atributos (claims) adicionales en tu IdP con la información necesaria para que Opendock cree (o actualice) un usuario al instante (just in time). Puedes "optar por" usar el provisionamiento configurando el claim "provision" con el valor de cadena "yes". Con eso configurado, Opendock también requerirá que configures los siguientes claims:
| Claim: | Descripción: |
| provision | Configura esto con la cadena literal "yes" para habilitar el modo de provisionamiento. |
| firstName | Configura esto con el nombre del usuario. |
| lastName | Configura esto con el apellido del usuario. |
| role |
Configura esto con el valor de cadena del rol de Opendock que deseas que tenga este usuario. Los valores válidos son: owner |
|
warehouseAccessList
|
Configura esto con una lista separada por comas de los ID de almacén (UUIDs) a los que deseas restringir el acceso de este usuario. Consulta la nota abajo sobre cómo obtener los ID de almacén. Si no deseas restringir a tu usuario a almacenes específicos, puedes configurar este claim con la cadena "all" y podrá acceder a todos tus almacenes. |
Nota: Debes configurar la opción SSO habilitado en sí (ver sección anterior) para que el sistema de provisionamiento SSO funcione correctamente.
Nota: Proporcionamos una lista de todos tus almacenes y sus IDs en la parte inferior de la pestaña Configuración SSO para que puedas copiar y pegar fácilmente esos datos en el claim warehouseAccessList, si lo deseas.
Con todo esto configurado correctamente, cualquier usuario nuevo en tu IdP debería poder iniciar sesión mediante SSO en tu organización de Opendock sin que tengas que hacer nada en Opendock. La primera vez que el usuario intente iniciar sesión mediante SSO, Opendock creará su cuenta de usuario en tu organización al instante y accederá sin problemas, sin que el usuario note nada especial. En el futuro, cuando ese usuario vuelva a iniciar sesión mediante SSO, cualquier cambio en los campos anteriores se sincronizará automáticamente (actualizándose) en su cuenta de usuario de Opendock.
Nota: Este sistema de provisionamiento no gestiona la eliminación de usuarios, aún tendrás que eliminar usuarios manualmente de tu organización a través de la interfaz de Opendock (o API).
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.