Saltar al contenido principal
La Configuración empresarial de autoservicio proporciona a los clientes de empresa a empresa (B2B) las herramientas necesarias para delegar la configuración de SSO a sus clientes empresariales. Al delegar esta tarea, puedes agilizar tu proceso de incorporación y dar a los clientes más autonomía sobre su experiencia de inicio de sesión. También puedes reducir el tiempo y los costos asociados con la gestión de SSO en toda tu base de clientes. La Configuración empresarial de autoservicio requiere una configuración mínima en tu inquilino de Auth0 y proporciona a tus clientes un asistente de configuración que los guía durante el proceso de activación. Después de que un cliente completa la configuración, la integración de SSO se añade automáticamente a tu inquilino como una conexión empresarial.
Los usuarios con los siguientes roles del Dashboard pueden usar esta funcionalidad:
  • Los usuarios Admin y Editor - Connections pueden crear y administrar perfiles de autoservicio.
  • Los usuarios Viewer - Config solo pueden ver perfiles de autoservicio.

Proveedores compatibles con la configuración empresarial de autoservicio

Actualmente, el inicio de sesión único (SSO) admite los siguientes :
  • Okta Workforce Identity
  • Auth0
  • Entra ID
  • Google Workspace
  • Keycloak
  • Microsoft Active Directory Federation Services (ADFS)
  • PingFederate
  • OIDC genérico
  • SAML genérico
Actualmente, el aprovisionamiento admite los siguientes proveedores de identidad:
  • Okta Workforce Identity
  • Entra ID
  • OIDC genérico
  • SAML genérico

Cómo funciona

Configuración empresarial de autoservicio utiliza los siguientes componentes para delegar la configuración en sus clientes:
  • Perfil de autoservicio: Define elementos clave de las implementaciones de los clientes, como los proveedores de identidad que pueden usar para SSO y qué atributos de usuario deben recopilar, como el correo electrónico. Puede crear hasta 20 perfiles en su inquilino para diferentes clientes o segmentos.
  • Ticket de acceso de autoservicio: Otorga a sus clientes acceso de administrador al asistente de autoservicio y establece detalles específicos para la conexión empresarial resultante. Esos administradores de clientes pueden crear conexiones nuevas o modificar las existentes.
  • Asistente de configuración de autoservicio: Guía a los administradores de sus clientes por el proceso de configuración de SSO. Para obtener más información sobre esta experiencia, consulte la experiencia del asistente de autoservicio.

Flujo de trabajo de Configuración empresarial de autoservicio

Los pasos que se indican a continuación describen el flujo de trabajo general para usar Configuración empresarial de autoservicio. Estas tareas pueden completarse mediante la o el .
  1. Usted (el cliente de Auth0) crea un perfil de autoservicio en su inquilino.
  2. Luego crea un ticket de acceso de autoservicio asociado a ese perfil. Al generar el ticket, puede decidir si el administrador de su cliente creará una nueva conexión o modificará una conexión existente mediante el asistente de autoservicio.
  3. Usted recupera la URL del ticket del recurso creado en el paso 2 y envía el enlace al administrador de su cliente.
  4. El administrador de su cliente inicia el asistente de autoservicio mediante la URL del ticket y sigue los pasos indicados para configurar su conexión y, opcionalmente, completar la verificación del dominio. Si el ticket es para una sola Organización con Discovery habilitado, el asistente detecta automáticamente los dominios ya verificados para esa Organización. Esto permite al administrador asociar de inmediato los dominios existentes con la nueva conexión, sin necesidad de volver a verificarlos.
  5. Una conexión empresarial nueva o actualizada que apunta a la aplicación de su cliente pasa a estar disponible en su inquilino de Auth0.
Diagrama del flujo de trabajo de la función Self-Service SSO.

Experiencia del asistente de autoservicio

El asistente de autoservicio es una experiencia de varios pasos que guía a los administradores de clientes a través de lo siguiente:
  • Configuración de SSO
    • Verificación de dominio
    • Configuración del aprovisionamiento
Esta experiencia incluye tanto elementos interactivos como instrucciones para realizar los cambios necesarios en el IdP seleccionado. Aunque los requisitos exactos para configurar SSO varían según el IdP, el flujo de trabajo general del asistente de autoservicio incluye lo siguiente:
  1. Seleccionar Proveedor de identidad: El administrador del cliente selecciona qué IdP configurar para SSO. La lista de opciones entre las que puede elegir está determinada por el perfil de autoservicio asociado.
  2. Crear aplicación: El administrador del cliente sigue las instrucciones escritas para crear una aplicación en el sistema IdP seleccionado.
  3. Configurar conexión: El administrador del cliente completa un breve formulario para crear o modificar una conexión en Auth0. Este formulario recopila información como el dominio del cliente, el ID de cliente y el Secreto del cliente.
  4. Mapeo de claims: El administrador del cliente revisa los atributos de usuario obligatorios y opcionales que debe capturar mediante su conexión SSO. Luego, asigna estos atributos de usuario, o claims, en su sistema IdP.
  5. Asignar acceso: El administrador del cliente sigue las instrucciones escritas para su sistema IdP a fin de conceder acceso a su aplicación a usuarios o grupos de usuarios.
  6. Probar SSO: El administrador del cliente usa el botón proporcionado para probar su conexión SSO en una pestaña nueva. A menos que la verificación de dominio esté habilitada, el administrador del cliente puede completar el proceso de configuración después de este paso para habilitar su conexión.
  7. (Opcional) Aprovisionamiento: El administrador del cliente configura el aprovisionamiento de usuarios para su conexión siguiendo las instrucciones proporcionadas:
    • Crear la aplicación en su IdP.
    • Generar un token bearer de SCIM en el asistente y copiar el token bearer de SCIM y la URL del endpoint de SCIM en la configuración de su IdP.
    • Revisar los atributos obligatorios y opcionales definidos en el User Attribute Profile (UAP). Asignar estos atributos a los campos SCIM correspondientes en su sistema IdP.
  8. (Opcional) Verificación y asociación de dominio: Los administradores del cliente administran los dominios usados para la autenticación y el enrutamiento. La verificación de dominio exige que los clientes demuestren la propiedad de sus dominios. La asociación de dominios permite reutilizar identidades de confianza existentes.
Cuando un ticket está configurado para una Organización habilitada, los dominios verificados pueden sincronizarse automáticamente para Organization Domain Discovery. Una vez que un administrador de TI verifica o asocia un dominio, los usuarios finales pueden iniciar sesión con su dirección de correo electrónico (Home Realm Discovery) y omitir la necesidad de un ID de Organización específico o de un Magic Link. Según cómo usted (el cliente de Auth0) configure el ticket de acceso, la experiencia para los administradores del cliente varía. Revise la tabla para obtener más información.
ConfiguraciónDescripción
Asociación de dominio verificadoLos administradores del cliente seleccionan y asocian dominios existentes con la nueva conexión sin verificar el registro DNS TXT si el ticket está limitado a una Organización y la Organización:
  • Debe tener habilitada la opción Allow Use of Domains for Organization Discovery.
  • Debe tener Domain Verification configurado como Optional o Required.

El asistente detecta automáticamente los dominios verificados previamente para esa Organización específica.
Domain Verification configurado como RequiredLos administradores del cliente deben verificar correctamente un dominio nuevo mediante DNS o asociar un dominio verificado existente antes de poder habilitar la conexión.
Domain Verification configurado como OptionalEl administrador del cliente puede elegir introducir un dominio nuevo para verificarlo, asociar uno existente u omitir el paso. En todos los casos, el administrador puede habilitar la conexión independientemente del estado de verificación.
Domain Verification configurado como OffLos administradores del cliente no deben hacer nada. Este paso no aparece para los administradores del cliente, y el flujo termina después de Probar SSO.
Allow Use of Domains for Organization Discovery está habilitadoEsta opción está disponible al generar un ticket para una Organización habilitada. Cuando se selecciona:
  • Dominios nuevos: Cualquier dominio recién verificado completa automáticamente tanto la lista de dominios de la Organización como matching_domains de la conexión empresarial.
  • Dominios existentes: Cualquier dominio previamente verificado (limitado a 5) o dominio asociado se sincroniza tanto con la conexión como con el registro de la Organización al completarse y permite el inicio de sesión inmediato basado en correo electrónico para los usuarios.
Para obtener más información, consulte Manage Configuración empresarial de autoservicio.

Flujo de ejemplo del asistente de autoservicio

Las imágenes a continuación muestran un ejemplo de la experiencia del asistente de autoservicio. En este ejemplo, un administrador del cliente configura SSO con Okta Workforce como IdP.
Enterprise-Connection>Self-Service-SSO
El primer paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
El segundo paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
El tercer paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
El cuarto paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
El quinto paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
El sexto paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.
Cree una aplicación para aprovisionar usuarios.
Configure SCIM para aprovisionar usuarios en su aplicación.
Asigne los atributos del usuario para garantizar que se transfieran del IdP al SP.
El último paso del asistente de autoservicio que usan los administradores del cliente para configurar SSO.