Inicio de Sesión Único SAML (SSO)

En este artículo te enseñaremos sobre el Inicio de Sesión Único SAML (SSO).

El lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language) es un estándar abierto para el intercambio de datos de autenticación y autorización entre las partes, en particular de un proveedor de identidad y un proveedor de servicios, como HCMFront. 

SAML para Inicio de Sesión Único (Single Sing-On, SSO) hace posible que sus usuarios se autentiquen a través del proveedor de identidad de su empresa cuando inician sesión en HCMFront. El inicio de sesión único (SSO) permite a un usuario autenticarse una vez y luego acceder a HCMFront, sin necesidad de autenticarse nuevamente con otros usuario y contraseña. Debes tener en cuenta que el inicio de sesión único (SSO) solo se aplicará a los usuarios que tengan su dominio verificado.

Una vez que los usuarios puedan iniciar sesión con el inicio de sesión único de SAML, tendrán acceso a HCMFront de acuerdo a los permisos que le fueron asignados. 

Como Administrador de HCMFront, hay algunas cosas que debes haber hecho antes de poder aplicar el inicio de sesión único de SAML en HCMFront :

1. Crear una organización.
2. Verificar uno o más dominios.

Antes de que empieces

Te recomendamos que consultes lo siguiente antes de comenzar: 

1. Tanto HCMFront como su proveedor de identidad necesitan usar el protocolo HTTPS para comunicarse entre sí, y que la URL base del producto configurada es la HTTPS.
2. Las solicitudes de autenticación de SAML solo son válidas durante un tiempo limitado, por lo tanto, asegúrate de que el reloj en tu servidor de proveedor de identidad esté sincronizado mediante NTP. Si estás utilizando un proveedor de identidad SaaS, tu reloj ya debería estar sincronizado.

Configurar el inicio de sesión único SAML

Esta sección describe cómo configurar el inicio de sesión único de SAML.

• Debes haberte suscrito a HCMFront antes de poder configurar el inicio de sesión único de SAML para tus usuarios. Consulta Seguridad y Acceso de HCMFront para obtener detalles sobre cómo hacerlo.
• Ten en cuenta que durante el tiempo que lleva configurar el inicio de sesión único de SAML, los usuarios no podrán iniciar sesión en HCMFront. Considera programar un día y hora para el cambio a SAML, y alertar a los usuarios con anticipación.

1. Agrega HCMFront a tu proveedor de identidad

En este paso, debes informar a tu proveedor de identidad que HCMFront usará el inicio de sesión único de SAML.

Si usas un proveedor de identidad local, tus usuarios solo podrán autenticarse si tienen acceso al proveedor de identidad (por ejemplo, desde su red interna o una conexión VPN).

Importante

Asegúrate que tu proveedor de identidad pueda enviar el correo electrónico como atributo principal (ID principal único).

Para SAML iniciado por el proveedor de identidad, ingresa la URL de tu organización como estado de retransmisión predeterminado. Incluye https:// como parte de la URL de tu organización.

2. Copia los detalles de tu proveedor de identidad a tu organización HCMFront

1. Inicia sesión en HCMFront y ve a Configuración, en la Sección Seguridad y Acceso.
2. Elije el inicio de sesión único SAML, y luego agrega la configuración de SAML.
3. Copia los detalles de tu proveedor de identidad en estos campos:

   4. Haz clic en Guardar configuración.

3. Copia los detalles de tu organización HCMFront a tu proveedor de identidad

Después de agregar los detalles de tu proveedor de identidad a la página 'Inicio de sesión único SAML' para tu organización en HCMFront, verás aparecer nuevos campos y valores. Copia esos valores a tu proveedor de identidad. 

Haz clic en Guardar en tu proveedor de identidad cuando hayas terminado de copiar todo.

Algunos Proveedores de Identidad

• GSuite

• Onelogin

• Azure Active Directory

4. Prueba el inicio de sesión único de SAML para tu organización HCMFront

Tu configuración SAML se aplica tan pronto como hagas clic en Guardar en tu organización HCMFront. Como no desconectamos a los usuarios, sigue estos pasos para probar la configuración de SAML mientras se realizan los ajustes:

1. Abre una nueva ventana de incógnito en tu navegador.
2. Inicia sesión con una dirección de correo electrónico de uno de tus dominios verificados.
3. Confirma que has iniciado sesión correctamente y tienes todo el acceso esperado.

Inicio de sesión único SAML con verificación en dos pasos y política de contraseñas

Cuando se configura el inicio de sesión único de SAML, los usuarios no estarán sujetos a la política de contraseñas de HCMFront. 

Eliminar el inicio de sesión único de SAML

Antes de eliminar la configuración de inicio de sesión único de SAML, debes saber que tus usuarios necesitarán una contraseña de cuenta HCMFront para iniciar sesión.

• Los usuarios que tenían una contraseña en su cuenta de HCMFront antes de habilitar el inicio de sesión único de SAML la usarán para iniciar sesión.
• Los usuarios que se unieron después de habilitar el inicio de sesión único de SAML deberán restablecer la contraseña de su cuenta HCMFront la próxima vez que inicien sesión.

Para eliminar el inicio de sesión único de SAML:

1. Inicia sesión en HCMFront y ve a Configuración, en la Sección Seguridad y Acceso.
2. Elije el inicio de sesión único SAML, a la izquierda.
3. Ahora desplázate hacia abajo y haz clic en Eliminar configuración. Confirma la eliminación.

Te recomendamos que también accedas a tu proveedor de identidades y se elimine allí la configuración de SAML para HCMFront.

Ten en cuenta que eliminar el inicio de sesión único de SAML no te desuscribe de HCMFront. Si ya no deseas aplicar las políticas de seguridad en tus cuentas administradas, puedes darte de baja de HCMFront. 

Esperamos que sea de gran ayuda este artículo. En caso de cualquier duda, te invitamos a escribir a través de nuestro chat de soporte.