驴Qu茅 es el inicio de sesi贸n SAML SSO?
El protocolo basado en SAML para la autenticaci贸n Single Sign On permite a las empresas agilizar el acceso de los empleados a aplicaciones de terceros como Spendesk.
La funci贸n SAML-SSO es una opci贸n que no est谩 activada por defecto en tu cuenta. Para saber m谩s sobre las condiciones, ponte en contacto con tu gestor de cuenta dedicado o con el equipo de soporte.
Los clientes con SAML SSO pueden conectar sus servicios de autenticaci贸n de terceros (es decir, Okta, Onelogin o Microsoft Azure AD) a Spendesk y agilizar la gesti贸n de cuentas de usuario.
驴Has activado SAML SSO con Spendesk pero deseas dejar de usarlo?
Simplemente pide a tu gestor de cuenta que desactive la funci贸n por ti.
Configura el acceso a trav茅s de SAML SSO
T茅rminos y condiciones comerciales
Si est谩n interesados, los Due帽os de Cuenta de Spendesk pueden contactar directamente a su gestor de cuenta de Spendesk.
Hay dos opciones disponibles:
Selecciona esta funci贸n como la 煤nica forma de que tus empleados se conecten a Spendesk,
Deja que ellos elijan c贸mo desean conectarse (de esta manera o utilizando otro m茅todo de inicio de sesi贸n).
Condiciones t茅cnicas
Una vez que se haya puesto en contacto con el gestor de su cuenta en Spendesk, ser谩 necesario un intercambio inicial de datos para establecer la conexi贸n con su servicio de autenticaci贸n SSO.
Pasos t茅cnicos
Tendr谩s que crear una nueva aplicaci贸n en la interfaz de administraci贸n de tu servicio de autenticaci贸n para Spendesk.
Spendesk te proporcionar谩 la informaci贸n t茅cnica de conexi贸n en el formato de un archivo XML, que tendr谩s que introducir en la misma interfaz.
A continuaci贸n, tendr谩s que recuperar la informaci贸n de conexi贸n para esta nueva aplicaci贸n en la interfaz de administraci贸n de tu servicio de autenticaci贸n -a menudo tambi茅n en formato XML- y enviarla a tu gestor de cuenta.
Tu gestor de cuenta de Spendesk finalizar谩 la configuraci贸n y activar谩 la funci贸n en tu cuenta. A continuaci贸n, tus empleados podr谩n conectarse a Spendesk a trav茅s de tu servicio de autenticaci贸n (consulta la parte 3 de este art铆culo).
Tus empleados podr谩n entonces conectarse a Spendesk a trav茅s de tu servicio de autenticaci贸n (ver aqu铆).
Crea una nueva aplicaci贸n en la interfaz de administraci贸n de tu servicio de autenticaci贸n para Spendesk.
Cuando crees la aplicaci贸n de Spendesk en tu servicio de autenticaci贸n, rellena los siguientes atributos de usuario requeridos por Spendesk:
NameID: escoge la direcci贸n de correo electr贸nico para el formato NameID.
email: escoge tambi茅n la direcci贸n de correo electr贸nico
first_name: escoge el nombre de pila
last_name: escoge el apellido
Si no puedes seleccionar el nombre exacto de cada uno de estos atributos, Spendesk intentar谩 determinarlos autom谩ticamente identificando los siguientes atributos en la respuesta SAML del servidor devuelta por tu servicio de autenticaci贸n:
Email: email, Email, user.email, user.email, User.email, User.email, email, emailaddress, emailAddress, EmailAddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email, http://schemas.xmlsoap.org/claims/EmailAddress
FirstName: firstName, first_name, FirstName, user.firstName, user.first_name, user.FirstName, User.firstName, User.first_name, User.FirstName, givenname, given_name, GivenName, user.givenname, user.given_name, user.GivenName, User.givenname, User.given_name, User.GivenName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
Name: lastName, last_name, LastName, LastName, user.lastName, user.last_name, user.LastName, User.lastName, User.last_name, User.LastName, surname, sur_name, SurName, user.surname, user.sur_name, user.SurName, User.surname, User.sur_name, User.SurName, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
M谩s informaci贸n:
Cada usuario debe ser invitado previamente a Spendesk para registrarse y conectarse. Sin embargo, siempre es posible generar un enlace de registro 煤nico para su organizaci贸n, que podr谩 enviar a los nuevos empleados que se hayan incorporado a su empresa para que se registren.
Todos y cada uno de los empleados tendr谩n que compartir una direcci贸n de correo electr贸nico com煤n para Spendesk y tu servicio de autenticaci贸n, de lo contrario Spendesk no podr谩 identificarlos.
Cada cuenta de usuario deber谩 tener una "email address/direcci贸n de correo electr贸nico", un "first name/nombre" y un "last name/apellido" rellenados en el sitio web de su proveedor de identidad para poder iniciar sesi贸n.
Iniciar sesi贸n en Spendesk utilizando la autenticaci贸n SAML SSO
Una vez activada la funci贸n por tu gestor de cuenta y realizada la configuraci贸n por tu Due帽o de Cuenta, se ofrecer谩 la conexi贸n mediante SAML SSO entre otras opciones de inicio de sesi贸n (Google, Microsoft y otras). Spendesk admite la autenticaci贸n a trav茅s de servicios como Okta, OneLogin, Microsoft Azure AD o cualquier otro servicio compatible con SAML 2.0.
En la p谩gina de inicio de sesi贸n,
Haz clic en SAML SSO en la p谩gina de inicio de sesi贸n
Introduce la direcci贸n de correo electr贸nico de tu proveedor personal de SSO
Inicia sesi贸n despu茅s de ser redirigido a la interfaz de tu proveedor de SSO
隆Ya est谩! 馃殌
Qu茅 se admite en la funci贸n SAML SSO en Spendesk?
Qu茅 puedo hacer / no hacer con SAML SSO habilitado en Spendesk?
Se admite en la funci贸n de inicio de sesi贸n SAML-SSO
Iniciar sesi贸n utilizando un proveedor de identidad de terceros (desde la p谩gina de inicio de sesi贸n, elegir la opci贸n de inicio de sesi贸n SAML SSO).
Registrarse utilizando un proveedor de identidad de terceros (desde el enlace de invitaci贸n, puedes elegir la opci贸n de registro SAML SSO).
Activar o forzar el inicio de sesi贸n SAML SSO (esto 煤ltimo hace que s贸lo sea posible autenticarse en Spendesk utilizando el sistema SSO de terceros).
Opciones no compatibles
Auto-aprovisionamiento y auto-desaprovisionamiento de usuarios, por ejemplo crear cuentas Spendesk autom谩ticamente cuando alguien es invitado en el proveedor de identidad - o cuando alguien es eliminado de la organizaci贸n. Del mismo modo, las funciones y los equipos no se sincronizan con los proveedores de identidad (a menudo denominada capacidad SCIM).
Esto se facilita al poder invitar a los usuarios mediante un enlace en Spendesk (sin necesidad de autoaprovisionamiento basado en SAML) y al poder restringir el acceso a trav茅s del proveedor SAML (desaprovisionamiento "suave").
En cualquier caso, el autoaprovisionamiento no ser铆a realmente 煤til con Spendesk, ya que, por ejemplo, las tarjetas de suscripci贸n, etc., deben reasignarse a otra persona, lo que no puede automatizarse.
A d铆a de hoy, s贸lo admitimos un sistema SSO por organizaci贸n.