SSO con SAML: guía de implementación
Los propietarios de cuentas y los administradores con permiso para configurar los ajustes avanzados de seguridad pueden habilitar el SSO en la cuenta.
Los usuarios de las cuentas Enterprise pueden acceder a Wrike con las credenciales corporativas si el SSO basado en SAML (integración de SSO/SAML) está habilitado para su cuenta. El inicio de sesión sencillo (SSO) es el término general para las diferentes técnicas que permiten a los usuarios acceder a varias aplicaciones desde un único punto de autorización, de cuya administración se encarga el proveedor de identidades. El lenguaje de marcado de aserción de seguridad (SAML 2.0) es un estándar líder del sector para intercambiar los datos de autenticación y autorización que Wrike admite como un proveedor de servicios. Durante la autorización, no se transfiere ninguna contraseña real a o desde Wrike. En su lugar, Wrike recibe una aserción SAML de la identidad del usuario, que es válida durante un tiempo limitado y está firmada digitalmente.
Consejo
Es posible habilitar aserciones de SSO en SAML si el proveedor de identidades lo permite. Póngase en contacto con nuestro equipo de soporte si desea habilitar esta opción al configurar el SSO en SAML.
Para obtener más información acerca de cómo funciona el SSO una vez habilitado, consulta nuestra página: SSO con SAML: guía del usuario.
-
Gestión de usuarios escalable para organizaciones de gran tamaño. Con el aprovisionamiento de usuarios justo a tiempo, puedes ahorrar el tiempo que normalmente dedicas a configurar tu cuenta Enterprise y los métodos de gestión. Wrike puede crear un perfil de usuario en tu cuenta cada vez que un usuario nuevo de tu directorio se registra en Wrike con el SSO (no se requieren invitaciones adicionales). Los empleados eliminados de tu directorio corporativo perderán el acceso automáticamente a la suscripción a Wrike de la empresa, pero sus tareas y sus registros de actividad históricos permanecerán intactos.
-
Formato unificado del nombre de usuario. La identidad de los usuarios se gestiona desde una sola ubicación central. De este modo, los nombres de usuario de Wrike se corresponden con los nombres del directorio.
-
Cumplimiento normativo de las directrices de seguridad internas. Tus administradores de TI tienen más control sobre la autenticación. Los usuarios no pueden cambiar su nombre ni su dirección de correo electrónico por su cuenta. Todas las políticas de seguridad que adoptes internamente también se aplicarán a Wrike.
-
Menos complicaciones con las contraseñas para los usuarios. Una vez que alguien inicia sesión en la red corporativa, puede abrir Wrike sin tener que volver a introducir las credenciales de inicio de sesión.
-
La facilidad de acceso que ofrece el SSO impulsa una adopción fluida de Wrike. También puedes supervisar la actividad de inicio de sesión y usar las métricas recopiladas sobre el SSO para controlar la adopción de Wrike.
Una vez habilitada la integración SSO/SAML, los usuarios incluidos en el SSO no podrán hacer lo siguiente:
-
Modificar nombres en Wrike. El nombre y el apellido los atribuye el proveedor de identidades.
-
Hacer cambios en la dirección de correo electrónico desde el perfil de Wrike. Aquí se incluye añadir otras direcciones. Sin embargo, un administrador de Wrike puede hacerlo por ellos siempre que los usuarios puedan confirmar la nueva dirección; para ello, deben iniciar sesión en Wrike con la dirección de correo electrónico original y tener acceso a la bandeja de entrada de correo electrónico original para hacer clic en el enlace de confirmación. En otros casos, los administradores necesitarán contactar con el servicio de asistencia para cambiar los correos electrónicos de los usuarios. Los correos electrónicos de los propietarios de la cuenta solo se pueden modificar contactando con el servicio de asistencia.
-
Habilitar la verificación en dos pasos a través de Wrike. Si quieres proteger tu cuenta con esta función de seguridad, la tienes que configurar con tu proveedor de identidades.
-
Iniciar sesión en Wrike con una contraseña de Wrike. Por lo general, se producirá un redireccionamiento a la página de inicio de sesión gestionada por tu proveedor de identidades al tratar de acceder a Wrike en el navegador. Algunas herramientas integradas no tienen soporte nativo para SSO (por ejemplo, la herramienta de copia de seguridad y aplicaciones de API-v2 heredadas). Los usuarios del SSO tendrán que generar contraseñas de un solo uso para autorizar estas herramientas.
La forma de configurar el SSO depende de cómo utilices o pretendas utilizar Wrike:
-
Modo opcional: todos los integrantes de la cuenta podrán iniciar sesión con su contraseña o el inicio de sesión del proveedor de identidades. Esta opción está configurada de forma predeterminada y resulta útil para probar la nueva integración del SSO. Te recomendamos que empieces con esta opción para asegurarte de que todo funciona correctamente antes de aplicar el SSO para toda la cuenta.
Nota
Con el método opcional, se redirige a los usuarios a la página login.wrike.com/login para iniciar sesión de la forma habitual como si el SSO con SAML no estuviera configurado para la cuenta.
Para seguir el flujo del SSO con SAML, usa la página login.wrike.com/sso.
-
Si solo los empleados de la empresa usan Wrike: el SSO se puede habilitar para todos los usuarios de la cuenta.
-
Si tanto empleados de la empresa como personal ajeno a ella usan Wrike: el SSO se puede habilitar para usuarios en función de su dominio de correo electrónico.
Nota
En este caso, necesitas añadir y aprobar dominios de correo electrónico desde la pestaña Seguridad de la sección Administración de cuentas antes de habilitar el SSO con SAML. Los dominios de correo electrónico deben pertenecer a la empresa para poder aprobarlos.
Los usuarios que tengan correos electrónicos con dominios de correo electrónico aprobados podrán iniciar sesión en Wrike con el SSO, y los usuarios que tengan correos electrónicos sin dominios de correo electrónico aprobados podrán iniciar sesión con un nombre de usuario y una contraseña de Wrike. Es posible habilitar la autenticación de dos pasos para proporcionar una opción de inicio de sesión más segura para usuarios sin dominios autorizados.
Si quieres añadir más dominios aprobados después de que se habilite el SSO, un administrador debe seguir el mismo proceso descrito anteriormente.
En la mayoría de los casos, el proceso de aprobación precisa de la ayuda del equipo de operaciones del sistema, porque deben actualizarse los registros de los dominios del sistema de nombres de dominio (DNS). Recomendamos añadir dominios aprobados antes de activar SAML, para que se apliquen inmediatamente después de habilitar SAML.
Antes de habilitar el SSO es importante confirmar que:
-
La dirección de correo electrónico asociada con la cuenta de Wrike de cada usuario coincide con la dirección de correo electrónico registrada en el directorio corporativo.
-
El SSO no está habilitado aún para la cuenta. Para ello, haz lo siguiente:
-
Haz clic en la imagen de tu perfil.
-
Selecciona Ajustes en el menú desplegable.
-
Haz clic en Seguridad en el panel izquierdo.
-
En la página Seguridad, desplázate hasta la sección SSO con SAML.
-
Comprueba si aparece la etiqueta Desactivado junto al encabezado SSO con SAML.
-
Además, debes confirmar la compatibilidad:
-
Confirma que tu proveedor de identidades o de SSO admite la autenticación federada mediante SAML 2.0. La lista de soluciones de SSO compatibles incluye, entre otras: Okta, OneLogin, PingFederate, Microsoft AD FS y el servicio de identidades de Google Apps. Si utilizas servicios de gestión de identidades proporcionados por Okta, puedes añadir Wrike a tu lista de aplicaciones siguiendo estas instrucciones.
-
Para configurar un SSO basado en SAML personalizado para la cuenta, consulta nuestro archivo de metadatos para los parámetros y las opciones estándar utilizados por Wrike. Se deben incluir los siguientes atributos de usuario: firstName; lastName; NameID (debe ser una dirección de correo electrónico).
-
Haz clic en la imagen de tu perfil.
-
Selecciona Ajustes en el menú desplegable.
-
Haz clic en Seguridad en el panel izquierdo.
-
En la página Seguridad, desplázate hasta la sección SSO con SAML.
-
Haz clic en el botón Configurar SSO con SAML.
-
En la ventana que se abre, configura tu proveedor de identidades con los metadatos de Wrike y haz clic en Continuar.
-
A continuación, se te pedirá que especifiques los metadatos de tu proveedor. Puedes seleccionar alguna de las dos opciones siguientes:
-
Introducir un enlace para proporcionar el XML
-
Introducir el XML como texto
-
-
Haz clic en Siguiente.
-
Comprueba que has elegido los parámetros correctos y confirma tu decisión haciendo clic en el botón Continuar y habilitar SAML.
-
Se te enviará un correo electrónico con el código para confirmar la implementación del SSO.
-
Introduce el código del correo electrónico en la ventana emergente que se abre.
-
Haz clic en Confirmar.
-
(Opcional) Prueba los nuevos ajustes de la cuenta.
-
Haz clic en el botón Guardar los ajustes de SAML.
Recomendamos realizar pruebas de aceptación del usuario y probar distintos casos de uso inmediatamente después de habilitar el SSO. Podrás encontrar más información acerca de cómo usar el SSO una vez habilitado en nuestra página Inicio de sesión único con SAML.
Nota
Las tareas, las carpetas y los proyectos no se comparten automáticamente entre los usuarios del SSO. Puedes obtener más información sobre el uso compartido de tareas, carpetas y proyectos en nuestras páginas de ayuda. Además, los grupos de usuarios internos no se transfieren automáticamente a Wrike, pero puedes crear grupos de usuarios fácilmente en Wrike.
Nota
Puede que se requiera la ayuda del equipo de operaciones del sistema para añadir dominios de correo electrónico aprobados.
-
Haz clic en tu imagen de perfil, situada en la esquina superior derecha del espacio de trabajo de Wrike.
-
Selecciona Ajustes en el menú desplegable.
-
Haz clic en Seguridad en el panel izquierdo.
-
Desplázate hasta la sección Dominios aprobados.
-
Haz clic en Añadir dominio e introduce el dominio de correo electrónico pertinente.
-
Haz clic en Añadir.
-
Se abrirá una ventana emergente con instrucciones para aprobar dominios.
-
Sigue las instrucciones que aparecen. La aprobación de dominios puede durar hasta 24 horas y puede requerir la asistencia de tu equipo de operaciones del sistema.
-
Haz clic en Guardar cambios.
-
El correo electrónico con el código de confirmación se enviará a tu dirección de correo electrónico principal.
-
Copia el código del correo electrónico y pégalo en la ventana emergente que aparece.
-
Haz clic en Confirmar.
Los grandes equipos empresariales que tienen varias cuentas de Wrike con el SSO basado en SAML habilitado a través del mismo proveedor de identidades pueden integrar todas sus cuentas en una sola red. Como resultado, los usuarios podrán recibir invitaciones o unirse a todas las cuentas de Wrike conectadas mediante sus credenciales corporativas a través del proveedor de identidades.
Nota: Hay varios requisitos previos para implementar este esquema, que solo puede habilitar el equipo de atención al cliente de Wrike. Ponte en contacto con el equipo de atención al cliente de Wrike para obtener más información.