Inicio de sesión único (SSO) con SAML de OneLogin
OneLogin es un proveedor de identidades (IdP) que permite el inicio de sesión único (SSO) seguro, permitiendo a los usuarios de tu empresa acceder a varias aplicaciones con un solo inicio de sesión.
Con el inicio de sesión único (SSO) mediante Security Assertion Markup Language (SAML), los empleados inician sesión una sola vez con sus credenciales corporativas (normalmente correo electrónico y contraseña). El proveedor de identidad (IdP), como OneLogin, verifica su identidad y concede un acceso seguro y sin interrupciones a todos los servicios conectados, sin necesidad de iniciar sesión por separado en cada aplicación.
Los propietarios de la empresa o los administradores de TI pueden vincular el dominio de correo electrónico de su organización (por ejemplo, @miempresa.com) al proveedor de identidad (IdP) para que cualquier persona con una dirección de correo electrónico de la empresa sea reconocida automáticamente y pueda iniciar sesión de forma segura en las herramientas que admiten SAML.
Con el inicio de sesión único (SSO) mediante SAML de Kinsta, puedes conectar OneLogin a MyKinsta creando una aplicación SAML dentro de OneLogin, verificando el dominio de correo electrónico de tu empresa y añadiendo los detalles necesarios de OneLogin en MyKinsta. Esto permite a tu equipo iniciar sesión con sus credenciales de empresa existentes, sin necesidad de crear ni gestionar cuentas separadas de MyKinsta.
Activar SSO en MyKinsta
Cuando configures el SSO SAML, podrás hacer clic en Guardar y salir de la configuración en cualquier momento para guardar tu progreso y volver más tarde.
En MyKinsta, ve a tu nombre de usuario > Configuración de la empresa > Inicio de sesión único, y haz clic en Activar.
Lee la introducción, que explica cómo se configurará el SSO, y haz clic en Continuar.
La siguiente página proporciona toda la información que necesitas para configurar tu app SAML dentro de OneLogin.
Configurar la integración de la app en OneLogin
En MyKinsta, la pestaña Crear app SAML proporciona toda la información que necesitas para configurar tu app SAML dentro de OneLogin. Los siguientes pasos explican dónde añadir esta información.
Inicia sesión en OneLogin como usuario con acceso de administrador, y dentro de Administración, haz clic en Aplicaciones > Aplicaciones > Añadir app.
Busca «conector personalizado saml» y selecciona Conector personalizado SAML (Avanzado).
En el Nombre para mostrar, introduce el nombre de la App de MyKinsta. También puedes descargar el icono de la App desde MyKinsta y subirlo al Icono Cuadrado, y añadir una Descripción si es necesario. Haz clic en Guardar.
Haz clic en Configuración y completa como se indica a continuación:
- Audiencia (EntityID): Copia y pega el ID de entidad de MyKinsta.
- Destinatario: Copia y pega la URL SSO/ACS de MyKinsta.
- Validador de URL ACS (Consumidor): Copia y pega la URL SSO/ACS de MyKinsta.
- URL ACS (Consumidor): Copia y pega la URL SSO/ACS de MyKinsta.
- URL de inicio de sesión: Copia y pega la URL de inicio desde MyKinsta.
- Iniciador SAML: Selecciona Proveedor de servicios.
- Formato SAML nameID: Selecciona Correo electrónico.
- Tipo de emisor SAML: Selecciona Específico.
- Elemento de firma SAML: Selecciona Aserción.
- Firmar respuesta SLO: Selecciona esta opción.
- Firmar solicitud SLO: Selecciona esta opción.
Deja los demás campos por defecto y haz clic en Guardar.
Para añadir el nombre y los apellidos a las credenciales de acceso, haz clic en Parámetros y pulsa el icono Más.
En Nombre de campo, introduce «firstName», selecciona Incluir en la aserción SAML y haz clic en Guardar.
En el Valor selecciona First Name (Nombre) y haz clic en Guardar.
Vuelve a hacer clic en el icono más y repite el proceso para ‘lastName’ y luego haz clic en Guardar.
Haz clic en SSO y dentro de Algoritmo de firma SAML selecciona SHA-256, y haz clic en Guardar.
Ahora tienes que configurar la aplicación SAML dentro de MyKinsta.
Configuración en Kinsta
En MyKinsta, en Crear app SAML, haz clic en Continuar para que estés en la página de configuración de Kinsta.
Dominio de correo electrónico
En Nombre de dominio, introduce el dominio de correo electrónico que utilizarán los usuarios para iniciar sesión mediante SAML SSO, y haz clic en Añadir dominio.
Sólo las cuentas MyKinsta con una dirección de correo electrónico que coincida con el dominio verificado pueden autenticarse mediante SAML. Por ejemplo, si SAML está habilitado para example.com, sólo los usuarios con una dirección de correo electrónico @example.com podrán iniciar sesión para esa empresa.
Si el dominio ya ha sido verificado en MyKinsta a través de la gestión de DNS o como dominio de sitio, se verificará automáticamente. Si no lo ha sido, se te pedirá que añadas un registro TXT a tu servicio de gestión de DNS para confirmar la propiedad del dominio.
Como los cambios de DNS pueden tardar en propagarse, puedes hacer clic en Guardar y salir de la configuración para guardar tu progreso y volver más tarde.
Configurar Kinsta SAML
En OneLogin, ve a Aplicaciones > Aplicaciones, selecciona la aplicación que has configurado para el panel de control de MyKinsta y haz clic en SSO.
Esta página proporciona toda la información que necesitas para configurar SAML en MyKinsta.
En MyKinsta, dentro de la pestaña Configuración de Kinsta de inicio de sesión único, completa los campos de la siguiente manera:
- URL SSO: Copia y pega el Endpoint SAML 2.0 (HTTP) de OneLogin.
- ID de entidad: Copia y pega la URL del Emisor de OneLogin.
- Certificado público: En OneLogin, en el Certificado X.509, haz clic en Ver detalles, copia y pega el contenido del Certificado X.509.
Haz clic en Continuar.
Asignar usuarios a la app OneLogin
En OneLogin, puedes asignar una política a la aplicación para permitir que todos los usuarios que utilicen dicha política inicien sesión en la aplicación. Ve a Aplicaciones > Aplicaciones, selecciona la aplicación que has configurado para el panel de control de MyKinsta, haz clic en Acceso, elige la política que deseas asignar y haz clic en Guardar. Para obtener más información sobre las políticas de seguridad, consulta la documentación de OneLogin.
También puedes asignar usuarios individuales a la aplicación. En OneLogin, haz clic en Usuarios > Usuarios, selecciona el usuario que quieras asignar, haz clic en Aplicaciones y haz clic en el icono más.
En el desplegable Seleccionar aplicación, selecciona la aplicación MyKinsta y haz clic en Continuar.
Selecciona Permitir que el usuario inicie sesión, asegúrate de que las credenciales son correctas y haz clic en Guardar.
Para probar la autenticación, asegúrate de que la cuenta de usuario de MyKinsta con la que has iniciado sesión está asignada.
Prueba la autenticación en MyKinsta
No puedes activar el inicio de sesión único SAML en MyKinsta sin antes probar la autenticación.
En MyKinsta, dentro de la pestaña Prueba y finalización del inicio de sesión único, haz clic en Probar autenticación.
Aparecerá una notificación si la prueba se ha realizado correctamente o si ha fallado.
Si la prueba falla, haz clic en Atrás y comprueba tu configuración SAML en OneLogin y en MyKinsta.
Si la prueba tiene éxito y quieres activar SAML, haz clic en Guardar y activa los cambios.
Los usuarios de tu empresa MyKinsta ahora podrán iniciar sesión a través de un SSO SAML o introduciendo su nombre de usuario y contraseña. Los usuarios que inicien sesión a través de un IdP no tendrán que completar la autenticación de dos factores (2FA) de Kinsta, ya que la autenticación la gestiona directamente el IdP.
Si quieres obligar a los usuarios a iniciar sesión a través de SAML, puedes activar el SSO Obligatorio y añadir Excepciones. También puedes activar el aprovisionamiento JIT para permitir que los usuarios autorizados por tu IdP accedan a tu empresa MyKinsta sin necesidad de invitación.
Cambiar la duración de la sesión
La duración y caducidad de la sesión SSO son controladas por tu proveedor de identidad (IdP). Para obtener información sobre cómo cambiar esto en OneLogin, consulta la Base de conocimientos de OneLogin.