|
Los tipos de archivo clásicos dejarán de estar disponibles a partir de enero de 2021. Puedes hacer una transición de tus archivos clásicos o descargar un PDF. Más información

Centro de soporte de Workiva

Configurar el inicio de sesión único SAML

Configurar el inicio de sesión único SAML

  • Última actualización
Relacionada con sso

Los Administradores de seguridad de la organización pueden seguir los siguientes pasos para configurar SAML single sign-on ajustes para la organización. El inicio de sesión único (SSO) basado en SAML permite a los miembros acceder a Workiva a través de un proveedor de identidad (IdP). Antes de configurar los ajustes, asegúrate de haber revisado ¿Qué es el inicio de sesión único SAML?.

Nota: Los administradores de seguridad de la organización deben estar añadidos a un espacio de trabajo para poder acceder a Administrador de la organización.

 

Paso 1: Ir a la configuración de SSO SAML

  1. Ve al Administrador de la organización:
  2. Haz clic en Seguridad en el menú de la izquierda.
  3. Haga clic en la pestaña Inicio de sesión único.

Si ya tiene una configuración de SSO, la página se verá así:

 

 

Paso 2: Cree su configuración SAML SSO y seleccione su proveedor de identidad.

  1. Haga clic en Crear configuración SSO.
  2. Introduzca un Nombre de configuración y seleccione el Proveedor de identidad (IdP) del menú desplegable.
  3. Haga clic en Crear configuración para continuar.

Create SAML SSO configuration.png

 

Paso 3: Envía los metadatos de Workiva al administrador de tu proveedor de identidad.

  1. En la sección Metadatos de Workiva , verá el Identificador (ID de entidad) y la URL de respuesta.
  2. Haz clic en Opciones avanzadas para ver la URL de inicio de sesión y la URL de cierre de sesión.
    Estas URL son únicas para cada organización y no se pueden modificar, y contendrán app.wdesk.com, eu.wdesk.como apac.wdesk.com.
    Workiva metadata.jpg
  3. Envía estas URL de metadatos de Workiva al administrador de tu proveedor de identidad.
    También puede hacer clic en Descargar metadatos XML de Workiva para descargar y enviar el archivo XML de metadatos de Workiva al administrador de su proveedor de identidad.

  4. Puede ajustar su Asignación de desviación del reloj. La tolerancia de desfase horario es la diferencia horaria máxima permitida entre su proveedor de identidad SAML y Workiva. El valor predeterminado es de 300 segundos (5 minutos).

    Consejo: Un valor mayor amplía la "ventana de aceptación" para las diferencias de tiempo. Si bien esto mejora la fiabilidad al reducir las solicitudes rechazadas, también introduce riesgos de seguridad y rendimiento. Por otra parte, un valor menor aumenta la probabilidad de fallos de autenticación debido a tiempos de espera agotados.
  5. Si utiliza Microsoft Azure como proveedor de identidades, el administrador de su proveedor de identidades puede consultar el Paso 2 en la pestaña Azure en Configurar SAML SSO con su proveedor de identidades.
  6. Si utiliza Okta como su proveedor de identidad, el administrador de su proveedor de identidad puede consultar el Paso 3 en la pestaña Okta en Configurar SAML SSO con su proveedor de identidad.
  7. Si utiliza un proveedor de identidades distinto de Microsoft Azure u Okta, póngase en contacto con el servicio de atención al cliente de su proveedor de identidades si necesita ayuda.

 

Paso 4: Introduzca los metadatos de su proveedor de identidad en Workiva.

Requisito previo: Necesita obtener la información de metadatos del proveedor de identidad requerida de su administrador de proveedor de identidad antes de continuar.

  • Si utiliza Microsoft Azure como proveedor de identidades, el administrador de su proveedor de identidades puede consultar el Paso 4 en la pestaña Azure en Configurar SAML SSO con su proveedor de identidades.
  • Si utiliza Okta como proveedor de identidad, el administrador de su proveedor de identidad puede consultar el Paso 2 en la pestaña Okta en Configurar SAML SSO con su proveedor de identidad.
  • Si utiliza un proveedor de identidades distinto de Microsoft Azure u Okta, póngase en contacto con el servicio de atención al cliente de su proveedor de identidades para obtener la información necesaria.

En la sección de metadatos del proveedor de identidades (por ejemplo, Metadatos de Microsoft Azure), introduzca los metadatos del proveedor de identidades.

  1. Primero, en el menú desplegable Método de entrada preferido , seleccione cómo desea introducir los metadatos del proveedor de identidad. Puede introducir una URL de metadatos de la federación, cargar un archivo XML de metadatoso introducir los metadatos mediante Entrada manual.

  2. En el cuadro de diálogo de selección de archivos, seleccione el archivo que contiene la información de metadatos del proveedor de identidad y, a continuación, haga clic en Importar.

    Alternativamente, puede introducir los valores manualmente:

 

Paso 5: Configurar la asignación de usuarios

En la sección Asignación de usuario, haga clic en el menú desplegable y seleccione una de las siguientes opciones:

  • Asignar usuarios a su nombre de usuario de Workiva (recomendado)
  • Asignar manualmente a los usuarios

Nota: Si ha introducido manualmente la información de metadatos del proveedor de identidad, deberá activar las Opciones avanzadas para esta sección.

Asignación de usuarios a su nombre de usuario de Workiva

Si seleccionó Asignar usuarios a su nombre de usuario de Workiva en el menú desplegable, Workiva esperará que el atributo Primary NameID entrante coincida con el nombre de usuario de Workiva, sin tener en cuenta las mayúsculas y minúsculas, cuando el usuario inicie sesión. Por ejemplo, esto permite que usuario.nombre.ejemplo coincida con usuario.nombre.ejemplo.

Luego puede hacer clic en el menú desplegable Establecer asignación y seleccionar Establecer todos los ID de SSO al nombre de usuario de Workiva para completar la tabla.

Haga clic en Crear configuración para continuar.

 

Mapeo manual de usuarios

Si seleccionó Asignar usuarios manualmente en el menú desplegable, primero revise las opciones avanzadas. En Ubicación de NameIdentifier, la mayoría de las configuraciones tendrán seleccionada la opción NameIdentifier está en la declaración Subject. Esto significa que Workiva comprobará la presencia del elemento NameIdentifier en la declaración Subject.

Sin embargo, puede seleccionar la opción NameIdentifier está en un atributo de elemento diferente e ingresar el atributo de elemento NameIdentifier, de modo que la aplicación busque el atributo en la respuesta SAML.

Nota: La mayoría de los administradores de seguridad de la organización no modificarán la ubicación de NameIdentifier de la predeterminada. Antes de realizar cambios, contacte con el soporte de Workiva para obtener ayuda
.

Mapear usuarios mediante importación de archivos

Haga clic en Establecer asignacióny seleccione Importar ID de SSO mediante archivo para asignar usuarios a los ID de SSO en un archivo de asignación .csv (consulte Requisitos del archivo de asignación .csv de ID de SAML).

  • No se necesitan encabezados en el archivo de mapeo.
  • Se procesarán todas las filas y se omitirán las que no sean válidas.
  • Si hay nombres de usuario duplicados, solo se utilizará la primera fila que contenga ese nombre de usuario.
  • Si un nombre de usuario proporcionado ya tiene una asignación existente, su asignación se actualizará con la que se proporciona en el archivo de asignación.
  • Si se omiten filas, los fallos se registrarán en el registro de actividad de inicio de sesión único SAML.

Usuarios del mapa individualmente

Si necesita configurar o editar los ID de SSO para los usuarios individualmente, busque al usuario y/o utilice el filtro Estado del ID de SSO para encontrarlo más fácilmente. A continuación, en la tabla, haga doble clic en el campo ID de SSO que aparece junto al usuario e introduzca el ID de SSO correcto.

manual sso id.png

 

Después de configurar la asignación de usuarios, haga clic en Crear configuración para continuar.

 

Requisitos del archivo de asignación SAML ID .csv

Una fila válida en el archivo de asignación SAML ID .csv sigue el siguiente formato:

samlId,nombredeusuario

Una fila puede no ser válida si

  • Hay menos de dos elementos en la fila
  • No se proporciona el ID SAML y/o el nombre de usuario
  • El nombre de usuario proporcionado no existe
  • El usuario con el nombre de usuario proporcionado no es miembro de la organización
  • La organización principal del usuario con el nombre de usuario proporcionado no es la misma que la organización que se está modificando actualmente
  • El ID SAML proporcionado ya ha sido tomado por un usuario diferente

Un ejemplo de archivo de asignación válido tiene este aspecto:

ejemploSamlId,ejemploNombreUsuario ejemploSamlId2,ejemploNombreUsuario2 ejemploSamlId3,ejemploNombreUsuario3

 

Paso 6: Active su configuración de SSO SAML

Tras crear la configuración de inicio de sesión único (SSO) de SAML, deberá activarla explícitamente para que la configuración surta efecto.

Haga clic en Activar en la configuración. Su configuración aparecerá entonces como Activa.

AzureID Activation x2 callout.png

 

Paso 7: Actualizar las opciones de autenticación SAML SSO

Workiva recomienda encarecidamente obligar a los usuarios a iniciar sesión mediante SSO como buena práctica para simplificar el proceso de inicio de sesión y proporcionar una mejor experiencia general. Una vez que haya creado y activado su configuración SAML SSO:

  1. En la pestaña Inicio de sesión único, la sección Forzar SSO y excepciones presenta dos opciones de autenticación:

    • Obligar a los usuarios a iniciar sesión mediante SSO (Recomendado): Los usuarios que no son administradores están obligados a usar SSO, mientras que los administradores de seguridad de la organización pueden seguir iniciando sesión con su nombre de usuario y contraseña. Esta opción funciona mejor si su empresa desea forzar el inicio de sesión único (SSO), pero aun así permitir que los administradores de seguridad de la organización accedan a la plataforma si el SSO experimenta algún problema.

      Nota: Asegúrese de realizar pruebas exhaustivas y de tener plena confianza en su configuración de SSO SAML antes de habilitar esta opción.
    • Obligar a los administradores de seguridad de la organización a iniciar sesión mediante SSO: Los administradores de seguridad de la organización se ven obligados a utilizar SSO. Esta opción funciona mejor si las políticas de seguridad de la empresa no pretenden eximir a los usuarios del requisito de inicio de sesión único (SSO). Para habilitar esta opción, también deberá marcar Obligar a los usuarios a iniciar sesión mediante SSO.
  2. Después de seleccionar sus opciones, haga clic en Guardar.

Si lo desea, puede permitir que usuarios específicos inicien sesión sin SAML SSO agregándolos a la lista de excepciones de SSO.

Nota: Antes de forzar el inicio de sesión único (SSO) mediante SAML, asegúrese de agregar los usuarios necesarios a la lista de excepciones de SSO para evitar que se les bloquee el acceso a sus cuentas.

 

Configure el inicio de sesión único (SSO) SAML con su proveedor de identidad.

El administrador de su proveedor de identidad puede consultar los pasos que se indican a continuación para configurar el inicio de sesión único (SSO) SAML con los proveedores de identidad más comunes.

Funciones compatibles

  • SSO iniciado por SP
  • Inicio de sesión único (SSO) iniciado por el proveedor de identidad (IdP)
  • Cierre de sesión único (SLO) iniciado por el proveedor de identidad (IdP)
  • Lista de excepciones de SSO
  • Cifrado de aserción opcional

 

Paso 1: Añadir la integración

  1. Inicie sesión en el portal de administración de Okta y, en Aplicaciones, seleccione Explorar catálogo de aplicaciones.
  2. En el catálogo de integración de aplicaciones , busca Workiva y selecciónalo. Luego haga clic en Agregar integración.
  3. Configura la configuración general de acuerdo con tus políticas y procedimientos de TI. A continuación, haz clic en Next.

 

Paso 2: Introduzca los metadatos de Okta en Workiva.

En la sección SAML 2.0, deja en blanco Default Relay State. Descargue el archivo XML de metadatos para cargarlo en Workiva como se describe en Paso 4 en Workiva: Ingrese los metadatos de su proveedor de identidad en Workiva.
Una forma de descargar el archivo XML es copiar la URL de los metadatos, pegarla en un navegador y luego guardar la página como un archivo XML.

 

Paso 3: Introduzca los metadatos de Workiva en Okta.

Utilizando las URL de Workiva que se encuentran en Paso 3 en Workiva: Envíe los metadatos de Workiva al administrador de su proveedor de identidad:

  • Copie y pegue la URL de Workiva ACS en el campo URL de Okta ACS.
  • Copia y pega la URL de audiencia de Workiva en el campo URL de audiencia de Okta .

 

Paso 4: Editar los atributos y las reclamaciones.

En los atributos y declaraciones de Okta, se recomienda que el nombre de usuario de Workiva (sin distinguir mayúsculas de minúsculas) sea igual al del atributo primario NameID, de modo que Workiva asigne automáticamente el atributo al nombre de usuario de Workiva cuando el usuario inicie sesión con SSO por primera vez. Sin embargo, esta asignación depende de sus políticas de TI específicas.

Si estos atributos no coinciden, deberá asignar manualmente el atributo al nombre de usuario correspondiente como se describe en el paso 5 de Workiva: Configurar la asignación de usuario antes de que el usuario pueda iniciar sesión con SSO.

 

Proceso SSO iniciado por el SP

El proceso de inicio de sesión se inicia desde la URL del proveedor de servicios (SP): app.wdesk.com, eu.wdesk.com o apac.wdesk.com, de su organización de origen.

  1. Desde tu navegador, accede a la página de inicio de sesión de Workiva.
  2. Introduce tu nombre de usuario de Workiva.
  3. Haz clic en Iniciar sesión con inicio de sesión único.
  4. Serás redirigido a la página de inicio de sesión de tu organización.
  5. Introduce tus credenciales y supera cualquier prueba adicional que se requiera según las políticas de tu organización.
  6. Serás redirigido a Workiva e iniciarás sesión en la interfaz.

Paso 1: Crear la aplicación

  1. Inicie sesión en el portal de administración de Azure y vaya a Microsoft Entra ID > Aplicaciones empresariales.
  2. Haz clic en Nueva aplicación.
  3. Busca Workiva y selecciónala.
    Tenga en cuenta que si planea implementar SCIM, deberá crear una aplicación personalizada.
  4. Asigna un nombre a la aplicación y haz clic en Crear.
  5. Cuando se haya creado la aplicación, vaya a Inicio de sesión único > SAML.

 

Paso 2: Introduzca los metadatos de Workiva en Microsoft Azure.

  1. Edite la Configuración básica de SAML.
  2. Utilizando las URL de Workiva que se encuentran en Paso 3 en Workiva: Envíe los metadatos de Workiva al administrador de su proveedor de identidad:
    1. Copie y pegue el identificador de Workiva (ID de entidad) en el campo identificador de Azure (ID de entidad).
    2. Copie y pegue la URL de respuesta de Workiva en el campo URL de respuesta de Azure (URL del servicio de consumidor de aserciones ) .
    3. (Opcional) Copie y pegue la URL de inicio de sesión de Workiva en el campo URL de inicio de sesión de Azure .
    4. Deja en blanco el campo Relay State.
    5. (Opcional) Copie y pegue la URL de cierre de sesión de Workiva en el campo URL de cierre de sesión de Azure .

 

Paso 3: Editar los atributos y las reclamaciones.

Una vez guardada la configuración, edite los Atributos y reclamaciones. Se recomienda que el nombre de usuario de Workiva coincida (sin distinción entre mayúsculas y minúsculas) con el atributo Primary NameID, de modo que Workiva asigne automáticamente el atributo al nombre de usuario de Workiva cuando el usuario inicie sesión con SSO por primera vez. Sin embargo, esta asignación depende de sus políticas de TI específicas.

 

Paso 4: Introduzca los metadatos de Microsoft Azure en Workiva.

Si introduce los metadatos de Microsoft Azure en Workiva mediante la URL de metadatos de federación, puede encontrar dicha URL en la configuración de inicio de sesión único (SSO) de Azure SAML.

Si está introduciendo los metadatos de Microsoft Azure en Workiva mediante un archivo XML de metadatos, en la sección Certificados SAML, haga clic en Descargar junto a Metadatos XML de federación. A continuación, suba el archivo XML de metadatos a Workiva.

Nota: Si utiliza Microsoft Azure como proveedor de identidad, asegúrese de dejar en blanco el campo URL de inicio de sesión de Workiva (en las opciones avanzadas) ; de lo contrario, se producirán errores de inicio de sesión.

Si desea una URL de cierre de sesión (en las opciones avanzadas) pero ese valor no se encuentra en el archivo de metadatos XML que ha cargado, deberá pegar ese valor manualmente.

 

 

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 10 de 34
Los Administradores de seguridad de la organización pueden seguir los siguientes pasos para configurar SAML single si...