Todos los artículos

SSO con SAML: guía de implementación

Tabla 39. Disponibilidad: planes heredados


Descripción general

Los propietarios y administradores de cuentas con el permiso Configurar los ajustes avanzados de seguridad pueden habilitar el SSO para la cuenta.

Los usuarios de las cuentas Enterprise pueden acceder a Wrike con las credenciales corporativas si el SSO basado en SAML (integración de SSO/SAML) está habilitado para su cuenta. El inicio de sesión sencillo (SSO) es el término general para las diferentes técnicas que permiten a un usuario acceder a varias aplicaciones desde un único punto de autorización, de cuya administración se encarga el proveedor de identidades. El lenguaje de marcado de aserción de seguridad (SAML 2.0) es un estándar líder del sector para intercambiar los datos de autenticación y autorización que Wrike admite como un proveedor de servicios. Durante la autorización, no se transfiere ninguna contraseña real a o desde Wrike. En su lugar, Wrike recibe una aserción SAML de la identidad del usuario, que es válida durante un tiempo limitado y está firmada digitalmente.

Para obtener más información sobre el funcionamiento del SSO una vez habilitado, consulta nuestra página: SSO con SAML: guía del usuario.

Ventajas de usar el inicio de sesión sencillo

  • Administración escalable de usuarios para grandes empresas. Con el aprovisionamiento de usuarios justo a tiempo, puedes ahorrar el tiempo que dedicas normalmente a configurar tu cuenta Enterprise y los métodos de administración. Wrike puede crear un perfil de usuario en tu cuenta cada vez que un usuario nuevo de tu directorio se registra en Wrike con el SSO (no se requieren invitaciones adicionales). Los empleados eliminados de tu directorio corporativo perderán el acceso automáticamente a la suscripción a Wrike de la empresa, pero sus tareas y sus registros de actividad históricos permanecerán intactos.

  • Formato de nombre de usuario unificado. La identidad de los usuarios se administra desde una ubicación centralizada, lo que significa que los nombres de usuarios de Wrike coincidirán con los nombres de tu directorio.

  • Cumplimiento con las normas de seguridad internas. Tus administradores de tecnología de la información (TI) tendrán mayor control de la autenticación. Los usuarios no pueden cambiar su nombre ni su dirección de correo electrónico por su cuenta. Todas las políticas de seguridad que adoptes internamente también se aplicarán a Wrike.

  • Menos complicaciones con las contraseñas para los usuarios. Cuando alguien se registra en la red corporativa, puede abrir Wrike sin tener que volver a introducir las credenciales de inicio de sesión.

  • La facilidad de acceso que ofrece el SSO facilita la adopción perfecta de Wrike. También puedes supervisar la actividad de inicio de sesión y usar las métricas recopiladas sobre el SSO para controlar la adopción de Wrike.

Limitaciones del inicio de sesión sencillo

Una vez habilitada la integración SSO/SAML, los usuarios incluidos en el SSO no podrán hacer lo siguiente:

  • Editar sus nombres en Wrike. El nombre y los apellidos los establece el proveedor de identidades.

  • Realizar cambios en su dirección de correo electrónico desde su perfil de Wrike. Esto engloba añadir direcciones adicionales. Sin embargo, un administrador de Wrike puede hacerlo por ellos.

  • Habilitar la verificación de dos pasos en Wrike. Si quieres proteger tu cuenta con esta función de seguridad, debe configurarla tu proveedor de identidades.

  • Iniciar sesión en Wrike con una contraseña de Wrike. Como regla general, se les remitirá a la página de inicio de sesión administrada por tu proveedor de identidades cuando intenten acceder a Wrike en su navegador. Algunas herramientas integradas no tienen compatibilidad nativa con el SSO (por ejemplo, la herramienta de copia de seguridad y las aplicaciones API-v2 heredadas). Los usuarios del SSO tendrán que generar contraseñas de un solo uso para autorizar estas herramientas. Ten en cuenta que tampoco será posible iniciar sesión con las credenciales de Microsoft ni con las credenciales de Google.

Decidir el alcance del inicio de sesión sencillo

La forma de configurar el SSO depende de cómo utilices o pretendas utilizar Wrike. Si:

  • Wrike lo usan solo los empleados de la empresa: el SSO se puede habilitar para todos los usuarios de la cuenta.

  • Wrike lo usan los empleados de la empresa y otras personas que no son empleados: el SSO se puede habilitar para los usuarios según su dominio de correo electrónico.

    Nota

    En este caso, necesitas añadir y aprobar dominios de correo electrónico desde la pestaña Seguridad de la sección Gestión de cuentas antes de habilitar el SSO con SAML. Los usuarios que tengan correos electrónicos con dominios de correo electrónico aprobados podrán iniciar sesión en Wrike con el SSO, y los usuarios que tengan correos electrónicos sin dominios de correo electrónico aprobados podrán iniciar sesión con un nombre de usuario y una contraseña de Wrike. Los dominios de correo electrónico deben pertenecer a la empresa para poder aprobarlos.

    Si quieres añadir más dominios aprobados después de que se habilite el SSO, un administrador debe seguir el mismo proceso descrito anteriormente.

    En la mayoría de los casos, el proceso de aprobación precisa de la ayuda del equipo de operaciones del sistema, porque deben actualizarse los registros de los dominios del sistema de nombres de dominio (DNS). Recomendamos añadir dominios aprobados antes de activar SAML, para que se apliquen inmediatamente después de habilitar SAML.

  • Además, hay un método opcional, en el que todos los usuarios de la cuenta podrán iniciar sesión con una contraseña o con la información de inicio de sesión basada en un proveedor de identidades. Esta opción está configurada de forma predeterminada y resulta útil para probar la nueva integración del SSO.

    Nota

    Con el método opcional, se redirige a los usuarios a la página login.wrike.com/login para iniciar sesión de la forma habitual como si el SSO con SAML no estuviera configurado para la cuenta.

    Para seguir el flujo del SSO con SAML, usa la página login.wrike.com/sso.

Condiciones previas: antes de habilitar el inicio de sesión sencillo

Antes de habilitar el SSO es importante confirmar que:

  • La dirección de correo electrónico asociada con la cuenta de Wrike de cada usuario coincide con la dirección de correo electrónico registrada en el directorio corporativo.

  • El SSO no está habilitado aún para la cuenta. Para ello, haz lo siguiente:

    • Haz clic en la imagen de tu perfil.

    • Selecciona Ajustes en el menú desplegable.

    • Haz clic en Seguridad en el panel de la izquierda.

    • En el panel Seguridad, desplázate hasta la sección SSO con SAML.

    • Comprueba que la etiqueta Desactivado aparece junto al encabezado SSO con SAML.

Además, debes confirmar la compatibilidad:

  • Confirma que tu proveedor de identidades o de SSO admite la autenticación federada mediante SAML 2.0. La lista de soluciones de SSO compatibles incluye, entre otras: Okta, OneLogin, PingFederate, Microsoft AD FS y el servicio de identidades de Google Apps. Si usas los servicios de administración de identidades proporcionados por Okta, puedes añadir Wrike a tu lista de aplicaciones siguiendo estas instrucciones.

  • Para configurar un SSO basado en SAML personalizado para la cuenta, consulta nuestro archivo de metadatos para los parámetros y las opciones estándar utilizados por Wrike. Se deben incluir los siguientes atributos de usuario: Nombre; Apellidos y Nombre de usuario (debe ser una dirección de correo electrónico).

Habilitar el inicio de sesión sencillo

  1. Haz clic en la imagen de tu perfil.

  2. Selecciona Ajustes en el menú desplegable.

  3. Haz clic en Seguridad en el panel de la izquierda.

  4. En el panel Seguridad, desplázate hasta la sección SSO con SAML.

  5. Haz clic en el botón Configurar SSO de SAML.

  6. En la ventana que se abre, configura tu proveedor de identidades con los metadatos de Wrike y haz clic en Continuar.

  7. A continuación, se te pedirá que especifiques los metadatos de tu proveedor. Puedes seleccionar alguna de las dos opciones siguientes:

    • Introducir un enlace para proporcionar el XML

    • Introducir el XML como texto

  8. Haz clic en Siguiente.

  9. Comprueba que has elegido los parámetros correctos y confirma tu decisión haciendo clic en el botón Continuar y habilitar SAML.

  10. Se te enviará un correo electrónico con el código para confirmar la implementación del SSO.

  11. Introduce el código del correo electrónico en la ventana emergente que se abre.

  12. Haz clic en Confirmar.

  13. (Opcional) Prueba los nuevos ajustes de la cuenta.

  14. Haz clic en el botón Guardar los ajustes de SAML.

Recomendamos realizar pruebas de aceptación del usuario y probar distintos casos de uso inmediatamente después de habilitar el SSO. Puedes encontrar más información sobre el uso del SSO después de habilitarlo en nuestra página Inicio de sesión sencillo con SAML.

Nota

Las tareas, las carpetas y los proyectos no se comparten automáticamente entre los usuarios del SSO. Puedes obtener más información sobre el uso compartido de tareas, carpetas y proyectos en nuestras páginas de ayuda. Además, los grupos de usuarios internos no se transfieren automáticamente a Wrike, pero puedes crear grupos de usuarios fácilmente en Wrike.

Añadir dominios de correo electrónico aprobados

Nota

Puede que se requiera la ayuda del equipo de operaciones del sistema para añadir dominios de correo electrónico aprobados.

  1. Haz clic en tu imagen de perfil, situada en la esquina superior derecha del espacio de trabajo de Wrike.

  2. Selecciona Ajustes en el menú desplegable.

  3. Haz clic en Seguridad en el panel de la izquierda.

  4. Desplázate hasta la sección Dominios aprobados.

  5. Haz clic en Añadir dominio e introduce el dominio de correo electrónico apropiado.

  6. Haz clic en Añadir.

  7. Se abrirá una ventana emergente con instrucciones para aprobar dominios.

  8. Sigue las instrucciones que aparecen. La aprobación de dominios puede durar hasta 24 horas y puede requerir la asistencia de tu equipo de operaciones del sistema.

  9. Haz clic en Guardar cambios.

  10. El correo electrónico con el código de confirmación se enviará a tu dirección de correo electrónico principal.

  11. Copia el código del correo electrónico y pégalo en la ventana emergente que aparece.

  12. Haz clic en Confirmar.

Permitir a los usuarios unirse a varias cuentas con SAML integrado

Los grandes equipos empresariales que tienen varias cuentas de Wrike con el SSO basado en SAML habilitado a través del mismo proveedor de identidades pueden integrar todas sus cuentas en una sola red. Como resultado, los usuarios podrán recibir invitaciones o unirse a todas las cuentas de Wrike conectadas mediante sus credenciales corporativas a través del proveedor de identidades.

Nota: Hay varios requisitos previos para implementar este esquema, que solo puede habilitar el equipo de atención al cliente de Wrike. Ponte en contacto con el equipo de atención al cliente de Wrike para obtener más información.

¿Qué viene ahora?

Arriba