Configuración de inicio de sesión único (SSO)

SSO es un proceso de autenticación que permite a los usuarios acceder a múltiples aplicaciones después de iniciar sesión una sola vez. Diligent One admite la integración de SSO con cualquier proveedor de identidades que adhiera al protocolo OASIS SAML 2.0.

Nota

Diligent One proporciona soporte limitado para SSO, ya que otros escenarios de autenticación presentan un posible riesgo de seguridad para las empresas.

Permisos

Solo los administradores del sistema pueden configurar los ajustes de SSO para su empresa.

Requisitos

  • Su proveedor de identidades debe cumplir con el protocolo OASIS SAML 2.0.
  • Todos los usuarios de una instancia de Diligent One habilitada para SSO deben autenticarse a través de un proveedor de identidades.

Si sus usuarios acceden a varias instancias

Los usuarios que se autentican a través de un proveedor de identidades pueden hacerlo para varias instancias de Diligent One si todas estas instancias pertenecen a la misma empresa.

Para verificar esto, mire "Nombre del cliente" en la configuración de la organización para cada instancia. Debe ser el mismo en todas las instancias a las que los usuarios de SSO necesitan acceder. Si desea obtener más información, consulte Actualización de la configuración de la organización. Como alternativa, puede usar el selector de instancias para verificar que las instancias en cuestión estén sangradas debajo del mismo nombre de empresa. Si desea obtener más información, consulte Pasar de una instancia de Diligent One a otra.

Si necesita cambiar la compañía a la cual pertenece su instancia, comuníquese con Soporte.

La autenticación no es específica de la región. Los usuarios pueden acceder a instancias de Diligent One en varias regiones.

Si sus usuarios acceden a instancias de capacitación

Los usuarios que se autentican a través de un proveedor de identidad pueden crear instancias de capacitación, que se enlazan automáticamente a la misma empresa.

Se pueden agregar usuarios adicionales a esta instancia de capacitación siempre que esos usuarios ya no pertenezcan a una instancia de capacitación diferente con el mismo correo electrónico.

Si sus usuarios trabajan para varias empresas

Los usuarios que trabajan para varias empresas (por ejemplo, consultores) no pueden usar SSO.

Si un usuario de Diligent One en su empresa ya utiliza una instancia habilitada para SSO que pertenece a otra empresa, no puede habilitar SSO. Para habilitar SSO, debe quitar a ese usuario de Diligent One en su empresa o pedir a la otra compañía que quiten el usuario de su Diligent One.

No puede usar el SSO y la 2FA juntos

No puede usar la autenticación de dos factores con el inicio sesión único. Si necesita usar el SSO y la 2FA juntos, debería usar la función de 2FA de su proveedor de SSO. Si el SSO está activado, Diligent One no le permitirá activar la 2FA. Del mismo modo, si un usuario de su instancia utiliza la 2FA, Diligent One no le permitirá activar el SSO.

Cómo habilitar SSO

A fin de habilitar SSO para Diligent One, debe realizar algunas tareas:

  1. Configurar los ajustes de SSO en su proveedor de identidades.
  2. Habilitar SSO en Launchpad.
    1. Abra Launchpad.
    2. Haga clic en Configuración de la plataforma > Organización.
    3. Haga clic en Administrar la configuración de SSO.
    4. Complete los campos de SSO, que se detallan a continuación, y marque Habilitar inicio de sesión único (SSO).
    5. Haga clic en Guardar cambios.
  3. Agregar usuarios a una instancia habilitada para SSO.

    Para enlazar Diligent One con su proveedor de identidades, debe especificar el nombre, el apellido y la dirección de correo electrónico de todos los usuarios. Si desea obtener más información, consulte Métodos para agregar usuarios.

Nota

Si desea obtener información detallada sobre la configuración, busque artículos sobre SSO en Soporte.

Campos de SSO

Campo Definición
Dominio personalizado

El nombre único que identifica su instancia y permite a los usuarios de su empresa iniciar sesión en Diligent One. El dominio personalizado es el subdominio de su instancia que tiene añadido un código de región.

Nota

Puede cambiar el subdominio de su instancia en la página Actualizar organización. Si desea obtener más información, consulte Actualización de la configuración de la organización.

Identificador de la entidad La URL que identifica al proveedor de identidad que emite una solicitud SAML. Esta es una URL específica para su proveedor de identidad.
URL de metadatos La URL a la que Launchpad puede acceder para obtener los datos de la configuración de SSO de su proveedor de identidad. Esta es una URL específica para su proveedor de identidad.
URL de redireccionamiento de acceso

La URL de su proveedor de identidades para que los usuarios de la empresa inicien sesión en Diligent One.

URL de cierre de sesión La URL a la que Diligent One redireccionará a los usuarios de la empresa después de que cierren sesión en Diligent One.
Huella del certificado de seguridad

La huella digital SHA-1 o SHA-256 del certificado SAML que se puede obtener de su proveedor de identidad.

Nota

Cuando Diligent One es el proveedor de servicios, el proveedor de identidades debe cifrar la respuesta SAML y usted debe configurar la huella digital de certificado de seguridad en Launchpad.

Habilitar inicio único de sesión (SSO) Habilita SSO para esta instancia.

URL del proveedor de servicios de Launchpad

Al configurar su proveedor de identidad SSO, puede requerir las siguientes URL del proveedor del servicio para Launchpad:

  • ID de la entidad del proveedor del servicio https://accounts.highbond.com/saml/metadata/su_dominio_personalizado
  • URL del consumidor de aserciones del proveedor del servicio https://accounts.highbond.com/saml/sso/consume/su_dominio_personalizado

Cómo iniciar sesión cuando SSO está habilitado

Hay dos formas en que los usuarios pueden iniciar sesión cuando se habilita SSO.

¿Qué sucede cuando se habilita SSO?

Cuando SSO está habilitado, puede iniciar sesión en www.highbond.com, hacer clic en Iniciar sesión en un dominio personalizado y proporcionar su dominio personalizado.

Como alternativa, puede acceder a Diligent One mediante el enlace de la aplicación Diligent One desde la página de inicio de su proveedor de identidades.

Se le redirige a Diligent One a través de su proveedor de identidades cuando accede a cualquier aplicación de Diligent One (incluso al hacer clic en un enlace en un correo electrónico enviado desde Diligent One).

Nota

Una vez que se activa SSO, no puede iniciar sesión con su correo electrónico y contraseña ni cambiar su contraseña.

Las direcciones de correo electrónico no se pueden cambiar si el SSO está habilitado. No obstante, si las direcciones de correo electrónico deben cambiarse, el administrador del sistema tendrá que deshabilitar el SSO en Diligent One, hacer los cambios requeridos en las direcciones y volver a habilitar el SSO. De otro modo, los correos electrónicos en los que se hayan realizado cambios se identificarán como cuentas nuevas y los usuarios no podrán acceder a la información de sus credenciales anteriores.

¿Necesito ingresar mi dominio personalizado cada vez que inicie sesión?

  • Si inicia sesión a través de su proveedor de identidades, no tiene que proporcionar un dominio personalizado cada vez.
  • Si inicia sesión a través de Diligent One, puede acceder a la siguiente URL para evitar ingresar un dominio personalizado cada vez: https://accounts.highbond.com/saml/sso?custom_domain=su_dominio_personalizado

Inicio de sesión en varias instancias de Diligent One

Si tiene acceso a varias instancias de Diligent One, se lo llevará a la instancia que haya utilizado más recientemente. Puede cambiar entre instancias normalmente. Si desea obtener más información, consulte Pasar de una instancia de Diligent One a otra.

Cómo cerrar sesión cuando SSO está habilitado

Diligent One admite SLO (cierre de sesión único) utilizando el flujo de trabajo iniciado por el proveedor de identidades. La URL de SLO es esta:

https://accounts.highbond.com/saml/slo/su_dominio_personalizado

¿Cómo funciona la expiración de la sesión?

Cuando caduca una sesión de Diligent One o cuando usted intenta cerrar sesión en Diligent One, primero debe cerrar sesión en su proveedor de identidades. De lo contrario, volverá a iniciar sesión automáticamente en Diligent One.

Por ejemplo, si la expiración de la sesión de su instancia es de tres horas y la expiración de la sesión de su proveedor de identidades es de tres días, iniciará sesión automáticamente en Diligent One durante tres días.

Por motivos de seguridad, su empresa debe asegurarse de que la expiración de su proveedor de identidades sea inferior a la expiración de la sesión de su instancia.

Nota

Puede cambiar la expiración de la sesión de su instancia en la página Actualizar organización. Si desea obtener más información, consulte Actualización de la configuración de la organización.

Qué sucede cuando agrega a alguien a una instancia de SSO de Diligent One

Diligent One admite el aprovisionamiento JIT (justo a tiempo) para SAML. Cuando un usuario inicia sesión por primera vez, se crea una cuenta de usuario con el mismo correo electrónico en Diligent One.

Correspondencia entre direcciones de correo electrónico y cuentas de dominio

Diligent determina el proveedor de identidad preferido del usuario y el nombre de usuario. La dirección de correo electrónico y la cuenta de dominio de cada usuario deben coincidir. Si la dirección de correo electrónico y la cuenta de dominio del usuario no coinciden, debe configurar un alias para el usuario en su servicio de acceso a directorios.

Suscripciones y acceso a las aplicaciones de Diligent One

El usuario no tendrá suscripciones asignadas ni acceso a ninguna aplicación de Diligent One. Los administradores del sistema deben asignar a los usuarios un rol y una suscripción en Launchpad para asegurarse de que los usuarios tengan el acceso adecuado en la instancia.

Deshabilitación de SSO

Si su empresa habilita SSO y luego decide deshabilitarlo:

  • Los usuarios que no configuraron una contraseña antes de habilitar SSO deben hacer clic en Restablecer contraseña en la página de inicio de sesión para obtener una contraseña.
  • Los usuarios que configuraron una contraseña antes de que se habilitara SSO pueden iniciar sesión con su nombre de usuario y contraseña.

SSO y SAML

Diligent One admite la integración de SSO con cualquier proveedor de identidades que adhiera al protocolo OASIS SAML 2.0.

¿Qué es OASIS SAML 2.0?

SSO permite que los usuarios inicien sesión con OASIS SAML 2.0 (Security Assertion Markup Language 2.0), un formato para comunicar y autenticar identidades entre dos aplicaciones web.

OASIS SAML 2.0 implica lo siguiente:

  • un usuario que solicita un servicio
  • un proveedor de servicio o una aplicación que proporciona un servicio (Diligent One)
  • un proveedor de identidades o un repositorio que administra la información del usuario

Para las instancias que tienen activado SSO, los usuarios se autentican cuando inician sesión en Diligent One utilizando un proveedor de identidades SAML admitido. Si el usuario no está habilitado en el proveedor de identidades SAML de su empresa, se le niega el acceso.

Flujos de trabajo admitidos

Una vez que se configuraron los ajustes de SSO, se admiten los siguientes flujos de trabajo:

  • Iniciado por el proveedor de identidades: acceso a Diligent One desde la página de destino del proveedor de identidades.
  • Iniciado por el proveedor del servicio: acceso a Diligent One desde la página de inicio de Diligent One

Proceso de autenticación iniciado por el proveedor de identidades

El proveedor del servicio inició el proceso de autenticación

Desvinculación de usuarios que cesan

Si un usuario abandona su empresa, es probable que su proceso de desvinculación lo quite de su proveedor de identidad. La forma exacta en que esto afecta a los usuarios depende de las instancias a las que tuvieron acceso y cómo se configuraron esas instancias.

  • Si el usuario era solo parte de sus instancias activadas para SSO, ya no puede acceder a esas instancias en Diligent One.
  • Si el usuario era parte de sus instancias activadas para SSO más otras instancias que no son SSO:
    • Si quita al usuario de su proveedor de identidades, no podrá acceder a ninguna instancia de Diligent One. Si intenta acceder a una instancia que no sea SSO, se mostrará el siguiente mensaje de error: "Su organización ha activado el inicio de sesión único; por favor, inicie sesión en el dominio personalizado de su organización".
    • Si elimina manualmente al usuario de las instancias activadas para SSO, aún pueden acceder a instancias que no son SSO una vez que restablecen su contraseña.