¿Qué es el inicio de sesión SAML SSO?

El protocolo basado en SAML para la autenticación Single Sign On permite a las empresas agilizar el acceso de los empleados a aplicaciones de terceros como Spendesk.

La función SAML-SSO es una opción que no está activada por defecto en tu cuenta. Para saber más sobre las condiciones, ponte en contacto con tu gestor de cuenta dedicado o con el equipo de soporte.

Los clientes con SAML SSO pueden conectar sus servicios de autenticación de terceros (es decir, Okta, Onelogin o Microsoft Azure AD) a Spendesk y agilizar la gestión de cuentas de usuario.

¿Has activado SAML SSO con Spendesk pero deseas dejar de usarlo?

Simplemente pide a tu gestor de cuenta que desactive la función por ti.

Configura el acceso a través de SAML SSO

Términos y condiciones comerciales

Si están interesados, los Dueños de Cuenta de Spendesk pueden contactar directamente a su gestor de cuenta de Spendesk.

Hay dos opciones disponibles:

Selecciona esta función como la única forma de que tus empleados se conecten a Spendesk,
Deja que ellos elijan cómo desean conectarse (de esta manera o utilizando otro método de inicio de sesión).

Condiciones técnicas

Una vez que se haya puesto en contacto con el gestor de su cuenta en Spendesk, será necesario un intercambio inicial de datos para establecer la conexión con su servicio de autenticación SSO.

Pasos técnicos

Tendrás que crear una nueva aplicación en la interfaz de administración de tu servicio de autenticación para Spendesk.
Spendesk te proporcionará la información técnica de conexión en el formato de un archivo XML, que tendrás que introducir en la misma interfaz.
A continuación, tendrás que recuperar la información de conexión para esta nueva aplicación en la interfaz de administración de tu servicio de autenticación -a menudo también en formato XML- y enviarla a tu gestor de cuenta.
Tu gestor de cuenta de Spendesk finalizará la configuración y activará la función en tu cuenta. A continuación, tus empleados podrán conectarse a Spendesk a través de tu servicio de autenticación (consulta la parte 3 de este artículo).

Tus empleados podrán entonces conectarse a Spendesk a través de tu servicio de autenticación (ver aquí).

Crea una nueva aplicación en la interfaz de administración de tu servicio de autenticación para Spendesk.

Cuando crees la aplicación de Spendesk en tu servicio de autenticación, rellena los siguientes atributos de usuario requeridos por Spendesk:

NameID: escoge la dirección de correo electrónico para el formato NameID.
email: escoge también la dirección de correo electrónico
first_name: escoge el nombre de pila
last_name: escoge el apellido

Si no puedes seleccionar el nombre exacto de cada uno de estos atributos, Spendesk intentará determinarlos automáticamente identificando los siguientes atributos en la respuesta SAML del servidor devuelta por tu servicio de autenticación:

Email: email, Email, user.email, user.email, User.email, User.email, email, emailaddress, emailAddress, EmailAddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email, http://schemas.xmlsoap.org/claims/EmailAddress
FirstName: firstName, first_name, FirstName, user.firstName, user.first_name, user.FirstName, User.firstName, User.first_name, User.FirstName, givenname, given_name, GivenName, user.givenname, user.given_name, user.GivenName, User.givenname, User.given_name, User.GivenName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Name: lastName, last_name, LastName, LastName, user.lastName, user.last_name, user.LastName, User.lastName, User.last_name, User.LastName, surname, sur_name, SurName, user.surname, user.sur_name, user.SurName, User.surname, User.sur_name, User.SurName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Más información:

Cada usuario debe ser invitado previamente a Spendesk para registrarse y conectarse. Sin embargo, siempre es posible generar un enlace de registro único para su organización, que podrá enviar a los nuevos empleados que se hayan incorporado a su empresa para que se registren.
Todos y cada uno de los empleados tendrán que compartir una dirección de correo electrónico común para Spendesk y tu servicio de autenticación, de lo contrario Spendesk no podrá identificarlos.
Cada cuenta de usuario deberá tener una "email address/dirección de correo electrónico", un "first name/nombre" y un "last name/apellido" rellenados en el sitio web de su proveedor de identidad para poder iniciar sesión.

Iniciar sesión en Spendesk utilizando la autenticación SAML SSO

Una vez activada la función por tu gestor de cuenta y realizada la configuración por tu Dueño de Cuenta, se ofrecerá la conexión mediante SAML SSO entre otras opciones de inicio de sesión (Google, Microsoft y otras). Spendesk admite la autenticación a través de servicios como Okta, OneLogin, Microsoft Azure AD o cualquier otro servicio compatible con SAML 2.0.

En la página de inicio de sesión,

Haz clic en SAML SSO en la página de inicio de sesión

Introduce la dirección de correo electrónico de tu proveedor personal de SSO

Inicia sesión después de ser redirigido a la interfaz de tu proveedor de SSO

¡Ya está! 🚀

Qué se admite en la función SAML SSO en Spendesk?

Qué puedo hacer / no hacer con SAML SSO habilitado en Spendesk?

Se admite en la función de inicio de sesión SAML-SSO

Iniciar sesión utilizando un proveedor de identidad de terceros (desde la página de inicio de sesión, elegir la opción de inicio de sesión SAML SSO).
Registrarse utilizando un proveedor de identidad de terceros (desde el enlace de invitación, puedes elegir la opción de registro SAML SSO).
Activar o forzar el inicio de sesión SAML SSO (esto último hace que sólo sea posible autenticarse en Spendesk utilizando el sistema SSO de terceros).

Opciones no compatibles

Auto-aprovisionamiento y auto-desaprovisionamiento de usuarios, por ejemplo crear cuentas Spendesk automáticamente cuando alguien es invitado en el proveedor de identidad - o cuando alguien es eliminado de la organización. Del mismo modo, las funciones y los equipos no se sincronizan con los proveedores de identidad (a menudo denominada capacidad SCIM).

Esto se facilita al poder invitar a los usuarios mediante un enlace en Spendesk (sin necesidad de autoaprovisionamiento basado en SAML) y al poder restringir el acceso a través del proveedor SAML (desaprovisionamiento "suave").

En cualquier caso, el autoaprovisionamiento no sería realmente útil con Spendesk, ya que, por ejemplo, las tarjetas de suscripción, etc., deben reasignarse a otra persona, lo que no puede automatizarse.

A día de hoy, sólo admitimos un sistema SSO por organización.