Configuración del inicio de sesión único (SSO)

Puedes acceder Celoxis con credenciales corporativas si el SAML basado en SSO está habilitado para su cuenta. Celoxis funciona con Google, Salesforce, Okta, OneLogin, Microsoft Azure y Microsoft ADFS. Aunque no lo hemos probado, cualquier IDP basado en SAML 2.0 debería funcionar.

Para que el SSO funcione, asegúrese de lo siguiente:

  • Su Proveedor de Identidad SSO (IDP) está basado en SAML 2.0.
  • Todos sus usuarios, clientes tienen direcciones de correo electrónico únicas.
  • La dirección de correo electrónico de un usuario en Celoxiscoincide con la dirección de correo electrónico de ese usuario en su IDP.

Para configurar el SSO, abra Menú PrincipalAdminGestión de CuentaInformación de la compañía y haga clic en Inicio de sesión único. Verá el formulario de la siguiente manera:

Modos SSO

En todos los modos, las cuentas de cliente seguirán autenticándose mediante credenciales de Celoxis .

  • Ninguno - El SSO está apagado. Sólo Celoxisse pueden utilizar credenciales para iniciar la sesión.
  • Prueba - El SSO está encendido. Tanto el SSO como Celoxislas credenciales se pueden utilizar para iniciar la sesión.
  • En vivo... El SSO está en marcha. Sólo se puede utilizar SSO para iniciar la sesión.
    • Sus usuarios no podrán acceder al enlace de Olvidé mi Contraseña Celoxisya que no almacenamos las contraseñas de los usuarios.
    • No verá los campos de Login y Password en los formularios de adición/edición de usuarios.
    • Si está bloqueado por cualquier motivo, póngase en contacto con nosotros y restableceremos los datos de su SSO.

Pasos para establecer el SSO

1: Habilitar SSO en modo de prueba

Abrir Menú PrincipalAdminGestión de CuentaInformación de la compañía e ir a la Inicio de sesión único Pestaña

  1. En la fila de Estado, haga clic en el botón de radio Test.
  2. De las opciones que aparecen a continuación, copie la URL de la ACS. Esto será necesario para configurar su IDP.
  3. Configure su IDP. El IDP le dará un conjunto de ajustes para entrar en Celoxis.
  4. Vuelva a esta pantalla con los ajustes recogidos en el paso anterior.
  5. Introduzca el ID de la entidad IDP. Esto es proporcionado por el IDP.
  6. Introduzca la URL del IDP. Esta es la dirección de su IDP con la que se contactará para autenticar a los usuarios.
  7. Copiar - Pegar el certificado IDP. Esta información está disponible en el certificado que le proporciona su PDI.
  8. Haga clic en Guardar
2: Pruebe su configuración
  1. Una vez completado el paso 1, debería intentar iniciar sesión haciendo clic en el enlace Conectar a Celoxistravés de un único inicio de sesión en la página de inicio de sesión.
  2. Después de hacer clic en el enlace anterior, se le pedirá que introduzca la dirección de correo electrónico.
  3. Después de entrar en esto, se le dirige a la pantalla de inicio de sesión de IDP; si aún no ha iniciado la sesión, donde se le pide que introduzca el correo electrónico y la contraseña.
  4. Tras autenticarse correctamente, se le redirigirá a Celoxis Dashboard. Si algo va mal, consulte la sección Errores comunes de su IDP.

3: Ir en vivo con su SSO

  1. Después de que haya completado con éxito el paso 2, revise los detalles de su SSO de nuevo.
  2. Luego, haga clic en Live.
  3. Haga clic en Guardar.

Configuración de su IDP

Antes de establecer CeloxisEn este caso, primero tendrá que informar a su PDI sobre Celoxis. Las siguientes son las instrucciones para algunos de los populares desplazados internos. Si su PDI no aparece en esta lista, consulte su documentación.

Todos los IDPs requerirán una URL de ACS para Celoxis. Puede encontrar esto para su organización haciendo clic en los botones de radio Test o Live como se muestra arriba.

Crear una aplicación SAML en Google

  1. Accede a la consola de administración de Google con una cuenta de administrador.
  2. Haga clic en Apps > SAML apps.
  3. Haga clic en el icono más en la esquina inferior.
  4. Haga clic en CONFIGURAR MI PROPIA APLICACIÓN PERSONALIZADA.
  5. Se abre la ventana de información de IDP de Google y se rellenan automáticamente los campos URL de SSO y el ID de la entidad. Es necesario copiar el ID de la entidad y los valores de los campos SSO y descargar los metadatos de IDP (Opción 2) para pegarlos en los campos apropiados en Celoxis.
  6. Después de introducir esta informaciónCeloxis, vuelva a la consola de administración y haga clic en Next.
  7. En el En la ventana Básica, introduzca un Nombre de la aplicación y una Descripción.
  8. Haga clic en Siguiente.
  9. En la ventana Detalles del proveedor de servicios, introduzca:
    • URL DE LA ACS: Introduzca el valor copiado de la pestaña SSO.
    • Identificación de la entidad: Ingrese a Celoxis.com
    • URL de inicio: Para SaaS, introduzca https://app.celoxis.com/psa/person.Login.do...para el "On-Premise", https://your_URL/person.Login.do
  10. Deje la respuesta firmada sin marcar.
  11. Bajo el ID de nombre, para información básica, seleccione Correo electrónico principal.
  12. En el menú desplegable Formato de ID de nombre, seleccione CORREO ELECTRÓNICO.
  13. Haga clic en Siguiente.
  14. Haga clic en Finalizar.

Habilitar la aplicación SAML para los usuarios

  1. Vaya a Apps > SAML apps.
  2. Seleccione la aplicación SAML que ha creado anteriormente.
  3. En la parte superior del cuadro gris, haga clic en Configuración y seleccione Activar para todos y confirme la configuración.

Errores comunes

Error: app_not_enabled_for_user
Solución: No ha habilitado la aplicación SAML para sus usuarios. Siga los pasos mencionados anteriormente para habilitar la aplicación para todo el mundo. El mismo error se mostrará si ha accedido a la cuenta de Google con un usuario distinto al configurado para IDP.

Error del servidor : No se encontró ninguna empresa con sociedad: XXXX
Solución: La URL de ACS que ha introducido en la configuración de Google es incorrecta. Copie la URL correcta del campo URL de ACS en la pestaña Inicio de sesión único en Celoxis.

Solicitud inválida, no hay idpId en la URL de la solicitud o en el parámetro de destino de la solicitud SAML.
Solución: El URL del IDP que introdujo en Celoxis es incorrecto. Necesitas copiar esto de tu IDP y pegarlo en Celoxis.

  1. Habilite Mi Dominio desde Configuración > Administrar > Administración de Dominios > Mi Dominio. Despliéguelo a todos los usuarios. Esto creará automáticamente Salesforce Identity Provider.
  2. Navegue para administrar > Controles de seguridad > Proveedor de identidad. Verá los detalles de configuración del Proveedor de identidad que deben introducirse en Celoxis.
  3. C$haga clic en el botón Descargar Metadatos para descargar el certificado. El contenido de este certificado debe ser ingresado en el campo Certificado IDP en Celoxisla forma descrita anteriormente en el documento.
  4. Ahora, en la misma página de abajo, haga clic en Proveedores de Servicio son ahora creados a través de Aplicaciones Conectadas. Haga clic aquí.
  5. En el Nueva aplicación conectada En la página, introduzca los siguientes datos:
    • Nombre de la aplicación conectada
    • URL de inicio
    • Marque la casilla de verificación Enable SAML (Habilitar SAML).
    • Identificación de la entidad
    • ACS URL
    • Tipo de sujeto: Seleccione un atributo personalizado
    • Formato de identificación del nombre: Seleccione urna:oasis:nombres:tc:SAML:1.1:formato de identificación de nombre:emailDirección
    • Certificado de IdP: Seleccione el certificado apropiado que ha introducido (Paso Celoxis3)
  6. Haga clic en Guardar.
  7. Después de que la aplicación se crea, ahora tiene que asociar los perfiles de usuario a esto para que los usuarios que pertenecen a estos perfiles puedan iniciar sesión a través de SSO.
    Navegue para administrar aplicaciones > Aplicaciones conectadas. Haz clic en la aplicación que acabas de crear.
  8. Desplácese hacia abajo y haga clic en Administrar Perfiles.
  9. Seleccione los perfiles requeridos y haga clic en Guardar.

Errores comunes

Error del servidor No autenticado
Solución: El certificado IDP que ha introducido Celoxises incorrecto. Introduzca el certificado correcto que ha creado para ello (Paso 3 anterior) Se enfrentará al mismo error si no ha asociado el perfil de usuario de inicio de sesión con la aplicación Conectada como se explica en los pasos 7 a 9 anteriores.

  1. Ingrese a su organización de Okta como un usuario con privilegios administrativos.
  2. Haga clic en el botón Admin en la parte superior derecha.
  3. Haga clic en la etiqueta Agregar Aplicaciones.
  4. Haga clic en el botón Crear nueva aplicación.
  5. En el diálogo que se abre, seleccione la opción SAML 2.0, luego haga clic en el botón Crear.
  6. En la página Configuración general, introduzca el nombre de la aplicación, por ejemplo Celoxisen el campo Nombre de la aplicación, y luego haga clic en el botón Siguiente.
  7. Para Configurar SAML paso, introduzca los siguientes detalles:
    • Un solo signo en la URL: Esta es la URL de la ACS que obtendrá de Celoxis
    • URI de la audiencia (ID de la entidad SP): Para los usuarios de SaaS, introduzca: https://app.celoxis.comPara los usuarios en el lugar, introduzca la URL de su aplicación.
    • Formato de identificación del nombre: Dirección de correo electrónico
  8. Haga clic en Siguiente.
  9. En Feedback, seleccione "I'm an Okta customer adding an internal app", y "This is an internal app that we have created", y luego haga clic en Finish.
  10. En la sección Personas de la aplicación, haga clic en el botón Asignar a Personas. Seleccione los usuarios necesarios y haga clic en Hecho.
  11. En la sección "Sign On" de su aplicación recién creada, haga clic en "View Setup Instructions". Se abrirá una nueva pestaña con los detalles que debe introducir en Celoxis. Rellene la pestaña de inicio de sesión único en Celoxis como se ha mencionado anteriormente en este documento.

Errores comunes

Si todavía se le piden las credenciales después de hacer clic en Conectar vía SSO e ingresar credenciales SSO, significa que ha ingresado incorrectamente el URL de la ACS /Solo signo en el URL en Okta. Por favor, corrija e intente de nuevo.

Sorry, you can't access <app name> because you are not assigned this app in Okta.
The user who is trying to login via SSO is not assigned to the app created in Okta. Redo the step Assign to People mentioned above.

  1. Inicie sesión en su cuenta OneLogin con privilegios de administrador.
  2. Haga clic en Aplicaciones > Aplicaciones en el menú principal.
  3. Haz clic en el botón Agregar aplicación.
  4. Busca el conector de prueba SAML (IdP w/ attr w/ sign response) y haz clic en él.
  5. Entra en Celoxis como el nombre de pantalla y haga clic en Guardar.
  6. Haga clic en la pestaña Configuración.
  7. Copia la URL de Celoxisla ACL en la pestaña de la URL del receptor y del ACS (consumidor).
  8. En el Campo del validador de la URL de ACS (Consumidor)...escapar de la URL de ACS como se menciona en la documentación de OneLogin. En resumen, tienes que ponerle el prefijo a la url ^ poner el carácter de barra invertida (\) antes de cada barra inclinada hacia delante. ^https:\//app.Celoxis.com/psa/persona.Login.do?code=abc
  9. Su pantalla OneLogin debería verse algo así:
    Haga clic en el Guardar ...botón.
  10. Haz clic en la pestaña SSO.
  11. Copia la URL de SAML 2.0 Endpoint (HTTP) y ponla como la URL de IDP en Celoxis.
Errores comunes

The response was received at <Celoxis URL> instead of <URL>
The ACS (Consumer) URL Validator is not URL escaped as shown in screenshot above.

  1. Entrar en el servidor de ADFS.
  2. Lanza la consola de gestión de la ADFS.
  3. Abre la carpeta AD FS > Relaciones de confianza del menú LHS.
  4. Haz clic con el botón derecho del ratón en Respondiendo a los Fideicomisos de las Partes y elige el elemento de menú Añadir Fideicomiso de la Parte Confiante...
  5. Esto abrirá un Mago. Clic en el botón Inicio.
  6. En el paso Seleccionar fuente de datos, seleccione la opción Introducir datos sobre la parte que confía manualmente. Haga clic en Siguiente.
  7. En el paso Especificar nombre de visualización, introduzca Celoxis. Haga clic en Siguiente.
  8. En el paso Elegir perfil, seleccione Perfil AD FS. Haga clic en Siguiente.
  9. En el paso Configurar Certificado, usaremos los valores por defecto. Haga clic en Siguiente.
  10. En el paso Configurar URL, marque la opción Habilitar el soporte para el protocolo SAML 2.0 WebSSO. En la URL del servicio SAML 2.0 SSO de la parte retransmisora, introduzca la URL de ACS copiada de Celoxis. Haga clic en Siguiente.
  11. En el paso Configurar identificadores, introduzca la URL de la ACS como el identificador de confianza de la parte retransmisora y haga clic en Añadir. Haz clic en Siguiente.
  12. En el paso Configurar Multi-factor... usaremos los valores por defecto. Haga clic en Siguiente.
  13. En el paso Elegir autorización de emisión..., seleccione Permitir a todos los usuarios acceder a esta parte confiable. Haga clic en Siguiente.
  14. En el paso Listo para agregar confianza, se le mostrará una vista general de sus configuraciones. Haz clic en Siguiente.
  15. En el paso Finalizar, seleccione la opción Abrir la opción Editar reclamaciones... Haga clic en Cerrar.
  16. Ahora se le mostrará la ventana del Editor de Reclamaciones.
  17. Haga clic en Agregar regla... en la pestaña Reglas de transformación de emisiones.
  18. En el paso Elegir tipo de regla, seleccione Enviar atributos LDAP como reclamaciones como plantilla de regla de reclamación. Haga clic en Siguiente.
  19. En la siguiente pantalla, usando Active Directory como su tienda de atributos, haga lo siguiente:
    • En la columna Atributo LDAP, seleccione Direcciones de correo electrónico.
    • En el Tipo de reclamación saliente, seleccione Dirección de correo electrónico.
  20. Haz clic en OK para guardar esta regla.
  21. Haga clic en Agregar regla... en la pestaña Reglas de transformación de emisiones para agregar una nueva regla.
  22. En el paso Elegir tipo de regla, seleccione Transformar una reclamación entrante como plantilla de regla de reclamación. Haga clic en Siguiente.
  23. En la siguiente pantalla:
    • Seleccione las direcciones de correo electrónico como tipo de reclamación entrante.
    • Seleccione Name ID como tipo de reclamación saliente.
    • Seleccione EMail como el formato de identificación del nombre de salida.
    • Seleccione la opción Pasar por todos los valores de la reclamación.
  24. Haz clic en OK para guardar esta regla.
  25. Haz clic en OK para terminar de crear las reglas.

Ahora exportaremos el certificado que debe ser copiado a Celoxis

  1. Abra la carpeta AD FS > Settings > Certficates del menú LHS. Aparece el panel Certificados que muestra todos los certificados disponibles.
  2. Seleccione el certificado en Firma de fichas en el panel Certificados.
  3. Haga clic en la opción Copiar a archivo de la ficha Detalles de la ventana Certificado. Esto inicia el asistente de exportación de certificados.
  4. En el paso de bienvenida, haga clic en Siguiente.
  5. Elija el X.509 (.CER) codificado en Base64 como el formato de archivo en el que se va a exportar el certificado. Haga clic en Siguiente.
  6. Guarda el archivo en un lugar apropiado y completa el asistente.
  7. Asegúrate de que el archivo guardado tiene el ...CER... extensión.
  8. Necesitará copiar y pegar el contenido de este archivo en el campo Certificado IDP en Celoxisla forma descrita anteriormente en este documento.
  1. Entra en el portal de Azure.
  2. En el menú LHS, haga clic en el directorio activo de Azure.
  3. En el menú del Directorio Activo Azure, haga clic en Aplicaciones Empresariales.
  4. Haga clic en Nueva aplicación en la parte superior de la pantalla.
  5. En la sección Agregar una aplicación, seleccione Aplicación no de galería.
  6. Dale un nombre a la nueva aplicación (por ejemplo, CeloxisSSO) y luego haz clic en Agregar en la parte inferior de la pantalla. Esto agregará una aplicación personalizada a su Directorio Activo Azure. Nota: Si no tienes Azure AD Premium activado, no podrás introducir el nombre de la aplicación.
  7. En la página de la aplicación, haga clic en Usuarios y grupos en el menú LHS.
  8. En la página superior del panel derecho, haga clic en Agregar usuario para asignar usuarios o grupos a esta aplicación.
  9. Haga clic en Inicio de sesión único en el menú LHS y luego elija SAML como método de inicio de sesión único.
  10. Haga clic en el botón junto al título de la Configuración básica de SAML e introduzca los detalles como sigue:
    • Identificador (Identidad de la entidad): Introduzca el valor de la pestaña de inicio de sesión único (consulte la imagen incluida más arriba).
    • Responder URL (Assertion Consumer Service URL): Copiar los detalles de debajo del campo URL de ACS (Admin > Configuración de la empresa)
    • Firme en la URL: Para SaaS entrar https://app.celoxis.com. Para el "On-Premise" introduzca su URL.
    • Estado de la retransmisión: Saltar este campo
    • URL de cierre de sesión: Para SaaS entrar https://app.celoxis.com/psa/logout.do. Para el "On-Premise" introduzca [tu-url]/psa/logout.do
  11. Vuelva a la pantalla de configuración.
  12. Haga clic en el icono junto al título del panel de Atributos y Reclamos del Usuario.
  13. Haga clic en el icono junto al valor de identificación del nombre. Aparecerá una barra lateral de gestión de reclamaciones de usuarios.
  14. Introduzca un nombre y seleccione usuario.mail en el Atributo de la fuente ...en un desplegable. Haga clic en Guardar.
  15. Vuelva a la pantalla de configuración.
  16. Haga clic en el icono junto al título del panel del Certificado de Firma SAML.
  17. Introduzca un correo electrónico de notificación para los recordatorios de caducidad de los certificados. Haga clic en Guardar.
  18. Vuelva a la pantalla de configuración.
  19. Haz clic en Descargar junto a la opción de Certificado (Base64) para guardar el archivo del certificado en tu ordenador. Debes copiar y pegar esto Celoxiscomo se describe anteriormente en este documento.
  20. Vuelva a la pantalla de configuración.
  21. Haga clic en Validar para validar el inicio de sesión único con Celoxis.