Los Administradores de seguridad de la organización pueden seguir los siguientes pasos para configurar SAML single sign-on ajustes para la organización. El inicio de sesión único (SSO) basado en SAML permite a los miembros acceder a Workiva a través de un proveedor de identidad (IdP). Antes de configurar los ajustes, asegúrate de haber revisado ¿Qué es el inicio de sesión único SAML?.
Nota:Los administradores de seguridad de la organización deben estar agregados a un espacio de trabajo para poder acceder a la administración de la organización.
Etapa 1: Navegar hasta la configuración de SAML SSO
- Vaya a Administrador de la organización.
- Haga clic en Seguridad en el menú de la izquierda.
- Haga clic en la pestaña Single Sign-On .
Etapa 2: Habilitar SAML SSO
- En la pestaña Single Sign-On y en la sección SAML Settings , marque la opción Habilitar SAML Single Sign-On .
Nota: Sólo marcando la casilla Habilitar SAML Single Sign-On no afectará a la experiencia de inicio de sesión del usuario. Los usuarios podrán seguir iniciando sesión con su nombre de usuario y contraseña hasta que finalice por completo la configuración del inicio de sesión único SAML.
- Haz clic en Guardar cambios.
Etapa 3: Acceso a las URL SAML SSO
Después de Habilitar SAML SSO:
- En la pestaña Single Sign-On , haga clic en IdP Settings.
- Desplácese hacia abajo hasta la sección Detalles del proveedor de servicios .
- Verá URL de inicio de sesión, URL de metadatos, URL de consumidor, y URL de servicio de cierre de sesión. Estas URL son exclusivas de cada organización, no pueden modificarse y contendrán app.wdesk.com, eu.wdesk.com o apac.wdesk.com.
- Si copia y pega la URL de metadatos en una ventana del navegador, se descargará automáticamente el archivo XML de metadatos de Workiva. También puede copiar y guardar estos valores de URL.
Etapa 4: Integrar Workiva con el proveedor de identidades
Consulte los siguientes pasos para saber cómo integrar Workiva con los proveedores de identidad más comunes.
Para configurar SSO con Okta:
- Inicie sesión en el portal del administrador de Okta y, en Applications, seleccione Browse App Catalog.
- En el catálogo de integración de aplicaciones , busque Workiva y selecciónelo. A continuación, haga clic en Agregar integración.
- Establezca la configuración general de acuerdo con sus políticas y procedimientos de TI. A continuación, haga clic en Siguiente.
- En la sección SAML 2.0, deje en blanco Por defecto Relay State . Descargar el Archivo XML de metadatos para cargar en Workiva como se indica en Etapa 7: Configurar los ajustes del IdP. Una forma de descargar el archivo XML es copiar la URL de los metadatos, pegarla en un navegador y, a continuación, guardar la página como archivo XML.
- Utilizando las URL de Workiva que se encuentran en Etapa 3: Acceso a las URL de SAML SSO:
- Copie y pegue la URL de consumidor de Workiva en el campo URL de ACS de Okta .
- Copie y pegue la URL de metadatos de Workiva en el campo URL de audiencia de Okta .
- En los atributos y reclamaciones de Okta, se recomienda hacer coincidir el nombre de usuario de Workiva (sin distinguir mayúsculas de minúsculas) con el atributo Primary NameID, para que Workiva asigne automáticamente el atributo al nombre de usuario de Workiva cuando el usuario inicie sesión con SSO por primera vez. Sin embargo, esta asignación depende de sus políticas informáticas específicas.
- Si estos atributos no coinciden, tendrá que asignar manualmente el atributo al nombre de usuario correspondiente, tal y como se describe en Etapa 5: Establecer la configuración del ID de usuario de SAML SSO antes de que el usuario pueda iniciar sesión con SSO.
Para configurar SSO con Azure:
- Inicie sesión en el portal de administrador de Azure y vaya a Microsoft Entra ID > Enterprise applications.
- Haga clic en Nueva aplicación.
- Buscar Workiva y seleccionarlo. Sin embargo, si piensa implantar SCIM, tendrá que crear una aplicación personalizada.
- Asigne un nombre a la aplicación y haga clic en Crear.
- Cuando la aplicación haya sido creada, vaya a Single sign-on > SAML.
- Edite la configuración básica de SAML de .
- Utilizando las URL de Workiva que se encuentran en Etapa 3: Acceder a las URL de SAML SSO.
- Copie y pegue la URL de metadatos de Workiva en el campo Azure Identifier (Entity ID) .
- Copie y pegue la URL de consumidor de Workiva en el campo URL de respuesta de Azure (URL de servicio de consumidor de aserción) .
- Copie y pegue la URL de inicio de sesión de Workiva en el campo URL de inicio de sesión de Azure (opcional).
- Deje en blanco el campo Relay State .
- Copie y pegue la URL de cierre de sesión de Workiva en el campo URL de cierre de sesión de Azure (opcional).
- Una vez guardada la configuración, edite la página Atributos y reclamaciones. Se recomienda hacer coincidir el nombre de usuario de Workiva (sin distinguir mayúsculas de minúsculas) con el atributo Primary NameID, para que Workiva asigne automáticamente el atributo al nombre de usuario de Workiva cuando el usuario inicie sesión con SSO por primera vez. Sin embargo, esta asignación depende de sus políticas informáticas específicas.
- Si estos atributos no coinciden, tendrá que asignar manualmente el atributo al nombre de usuario correspondiente, tal y como se describe en Etapa 5: Establecer la configuración del ID de usuario de SAML SSO antes de que el usuario pueda iniciar sesión con SSO.
- Workiva sólo mira la reclamación requerida Unique User Identifier (NameID) para los usuarios y cualquier reclamación adicional será ignorada.
- Después de configurar los atributos y las reclamaciones, en la sección SAML Certificates , haga clic en Descargar junto a Federation Metadata XML para descargar el archivo XML de metadatos y cargarlo en Workiva como se indica en Etapa 7: Configuración de los ajustes del IdP.
Etapa 5: Configurar el ID de usuario SAML SSO
- En la pestaña Single Sign-On , haga clic en SAML Settings.
- Desplácese hacia abajo hasta la sección SAML User ID Settings .
- Es muy recomendable comprobar los ajustes SAML User ID is Wdesk Username y Case-insensitive SAML ID . Permiten que Wdesk espere que el atributo entrante Primary NameID coincida con el nombre de usuario de Wdesk, ignorando cualquier distinción entre mayúsculas y minúsculas, cuando el usuario inicie sesión. Por ejemplo, esto permite que
usuario.nombre.ejemplo
coincida conusuario.nombre.ejemplo
. - A continuación, haga clic en Guardar cambios.
Sin embargo, si no puede configurarlo debido a una política, tendrá que establecer manualmente una correspondencia entre el ID SAML y el nombre de usuario de Wdesk:
- En la pestaña Single Sign-On , haga clic en Asignación de usuarios.
- Puede cargar un archivo de asignación de ID SAML .csv (consulte Requisitos del archivo de asignación de ID SAML .csv), o configurar manualmente el ID SAML en el perfil de cada usuario (esto invalidará la comprobación de coincidencia del nombre de usuario).
Requisitos del archivo de asignación SAML ID .csv
Una fila válida en el archivo de asignación SAML ID .csv sigue el siguiente formato:
samlId,nombredeusuario
Una fila puede no ser válida si
- Hay menos de dos elementos en la fila
- No se proporciona el ID SAML y/o el nombre de usuario
- El nombre de usuario proporcionado no existe
- El usuario con el nombre de usuario proporcionado no es miembro de la organización
- La organización principal del usuario con el nombre de usuario proporcionado no es la misma que la organización que se está modificando actualmente
- El ID SAML proporcionado ya ha sido tomado por un usuario diferente
Un ejemplo de archivo de asignación válido tiene este aspecto:
ejemploSamlId,ejemploNombreUsuario
ejemploSamlId2,ejemploNombreUsuario2
ejemploSamlId3,ejemploNombreUsuario3
Otros puntos a tener en cuenta son:
- No se necesitan cabeceras en el archivo de asignación
- Se procesarán todas las filas, y se saltará cualquier fila no válida
- Si hay nombres de usuario duplicados, solo se utilizará la primera fila con ese nombre de usuario
- Si un nombre de usuario proporcionado ya tiene una asignación existente, su asignación se actualizará a la proporcionada en el archivo de asignación
- Si se omiten filas, los fallos se registrarán en el registro de actividad de inicio de sesión único SAML de
Etapa 6: Configurar NameIdentifier (opcional)
En la pestaña Single Sign-On y en SAML Settings, verá la sección NameIdentifier Settings .
Por defecto, la mayoría de las configuraciones tienen marcada la opción NameIdentifier element in Subject statement . Esto significa que Wdesk buscará el elemento NameIdentifier en la sentencia Subject.
Sin embargo, puede cambiar esta configuración para que la aplicación busque el atributo en la respuesta SAML seleccionando la opción NameIdentifier element is Attribute y pegando en la ubicación deseada. A continuación, haga clic en Guardar como para guardar esta configuración.
Nota: La mayoría de los administradores de Org Security no modificarán la configuración de NameIdentifier de su valor predeterminado. Antes de realizar cambios, póngase en contacto con el soporte técnico de Workiva para recibir ayuda.
Etapa 7: Configuración de IdP
Para cargar su archivo XML de metadatos IdP:
- En la pestaña Single Sign-On , haga clic en IdP Settings.
- Pulsa Examinar para localizar y elegir tu archivo.
- Haga clic en cargando. Tus cambios se guardarán automáticamente si la carga se realiza correctamente.
Nota: Si utiliza Azure como proveedor de identidad, asegúrese de que el campo IdP Initiated Sign-in URL se deja en blanco, O de lo contrario se producirán errores de inicio de sesión.
- Si desea una IdP Sign-out Service URL y una Sign-out Redirect URL y esos valores no se encuentran en el archivo de metadatos XML cargado, deberá pegar esos valores por separado en sus respectivos campos en la sección Identity Provider Information .
Si necesita introducir manualmente la configuración del IdP, en lugar de cargar un archivo, introduzca los detalles apropiados en los campos Identity Provider Information . Los campos obligatorios son URL del proveedor de identidad, Vinculación, Emisor, y Certificado. A continuación, haga clic en Guardar como para finalizar.
Etapa 8: Actualización de las opciones de requisitos de SAML SSO
Después de haber configurado SAML y validado que funciona correctamente, puede actualizar las opciones de requisitos de SAML.
- En la pestaña Single Sign-On y en la sección SAML Settings , verá las opciones de requisitos SAML:
- Habilitar SAML Single Sign-On: Los usuarios pueden iniciar sesión con SAML SSO o seguir utilizando su nombre de usuario y contraseña.
Nota: Esta opción debe estar marcada para que el SSO funcione correctamente.
- Requerir SAML Single Sign-On para usuarios: Los usuarios que no sean administradores deberán utilizar SAML SSO (es decir, ya no podrán utilizar su nombre de usuario y contraseña), mientras que los administradores de Org Security podrán seguir iniciando sesión con su nombre de usuario y contraseña.
Nota: Asegúrese de realizar pruebas exhaustivas y de estar completamente seguro de su configuración de SAML SSO antes de habilitar esta opción.
- Requerir SAML Single Sign-On para los administradores de Org Security: Los administradores de Org Security deberán utilizar SAML SSO (es decir, ya no podrán utilizar su nombre de usuario y contraseña). Para Habilitar esta opción, también tendrá que marcar Require SAML Single Sign-On for Users.
- Habilitar SAML Single Sign-On: Los usuarios pueden iniciar sesión con SAML SSO o seguir utilizando su nombre de usuario y contraseña.
- Haz clic en Guardar cambios.
Si lo desea, puede permitir que determinados usuarios inicien sesión sin SAML SSO en añadiéndolos como usuario de bypass.
Nota: Antes de requerir SAML SSO, asegúrese de agregar los usuarios de bypass necesarios para evitar bloquear a los usuarios de sus cuentas.