Saltar al contenido principal

Antes de comenzar

  • Suscríbase a un plan Enterprise. Para obtener más información, consulte Administrar suscripciones.
  • Determine si usa Public Cloud o Private Cloud. Para conocer los requisitos previos relacionados con Private Cloud para estas instrucciones, consulte Implementar Private Cloud.
Puede configurar Auth0 para permitir que los Miembros del Tenant usen su propio Proveedor de identidad empresarial () para autenticarse en el mediante (SSO).

Cómo funciona

Para configurar el SSO para el Dashboard, debe trabajar con el equipo de Soporte de Auth0 para agregar una conexión empresarial a la autoridad del inquilino raíz (RTA), que administra los métodos de autenticación disponibles que un miembro del Tenant puede usar para iniciar sesión en el Dashboard. Agregar esta conexión de SSO no restringe a los miembros del Tenant de iniciar sesión con los métodos de autenticación existentes (como correo electrónico/contraseña, LinkedIn, Microsoft, GitHub o Google). Configurar el SSO para el Dashboard también habilita el SSO para todos los sitios públicos de Auth0, como:

Experiencia del usuario

Cuando un usuario autorizado inicia sesión en el Dashboard, introduce su dirección de correo electrónico de un dominio registrado (por ejemplo, user@example.com) en la página de Auth0 y, a continuación, se le redirige a su IdP para completar la autenticación.

Limitaciones

Antes de decidir si configura SSO para el Dashboard, tenga en cuenta las siguientes restricciones:
  • SSO no puede limitarse a inquilinos específicos.
  • SSO no admite flujos de autenticación iniciados por el IdP.
  • Las invitaciones para miembros del Tenant no se pueden automatizar ni enviar en bloque con Auth0 .
  • El acceso de los miembros del Tenant no puede administrarse en función de las pertenencias a grupos de su IdP.
  • La no se puede aplicar de forma obligatoria a todos los miembros de un inquilino.

Consideraciones

Acceso completo al directorio desde Dashboard

Cuando agrega su IdP como una conexión disponible para que los Tenant Members inicien sesión, todos los usuarios del directorio de su IdP pueden acceder al Dashboard, pero solo los Tenant Members que hayan sido invitados a un inquilino determinado pueden acceder a ese inquilino. Cuando los usuarios intentan acceder a un inquilino en el Dashboard sin haber recibido una invitación, el sistema deniega la operación. Si los usuarios no pertenecen a ningún inquilino, el sistema les pide que completen su perfil de usuario y creen un nuevo inquilino de prueba. Crear un nuevo inquilino de prueba no lo vincula a su plan Enterprise.

Identidades residuales de los miembros del Tenant

Si se invitó a un miembro del Tenant (y tenía acceso) a un inquilino en el Dashboard con una identidad distinta de la que se creó en la nueva conexión, técnicamente podrá seguir usando esa identidad para acceder al inquilino. Tendrá que decidir si quiere eliminar su identidad anterior o conservarla como un posible método de autenticación alternativo.

Configurar SSO para el Dashboard

Configurar SSO para el Dashboard requiere una serie de pasos que debe completar en coordinación con el equipo de soporte de Auth0.

Compartir los datos de configuración del IdP

Abre un ticket con el equipo de soporte de Auth0 para compartir los datos de configuración de tu IdP, de modo que puedan configurar el SSO. Incluye la siguiente información al enviar el ticket:
  • Dominio(s) de correo electrónico que quieras asociar a la configuración de SSO
  • Nombre del IdP
  • Protocolo de autenticación
  • Información adicional específica del IdP
Hay pasos de configuración adicionales que son necesarios según el IdP y el protocolo de autenticación que quieras usar:

ADFS (SAML)

  1. Cree una confianza para usuario autenticado con las siguientes propiedades:
    PropiedadValores
    ID de entidadurn:auth0:auth0:{assignedConnectionName}
    Endpoint de devolución de llamadahttps://auth0.auth0.com/login/callback
  2. Agregue una descripción de claim para cada una de las siguientes claims:
    ClaimIdentificador de claimValor
    Identificador de nombrehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierE-Mail-Addresses o User-Principal-Name
    Dirección de correo electrónicohttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressN/A
    Nombrehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameN/A
  3. Habilite el endpoint de SAML 2.0.
  4. Proporcione al equipo de soporte de Auth0 la siguiente información:
    • Endpoint de inicio de sesión (por ejemplo, https://{yourServer}/adfs/ls)
    • Certificado de firma o el archivo XML de metadatos SAML

Azure AD (OIDC)

  1. Cree un nuevo registro de aplicación.
  2. Establezca el tipo de Redirect URI en Web y el valor en https://auth0.auth0.com/login/callback.
  3. Seleccione Registrar.
  4. Habilite la concesión implícita para el ID Token.
  5. Agregue el claim de correo electrónico al ID Token.
  6. Proporcione al equipo de soporte de Auth0 la siguiente información:
    • El ID de la aplicación (cliente)
    • El endpoint de metadatos de OIDC (por ejemplo, https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuration)

Azure AD (SAML)

  1. Cree una nueva aplicación empresarial.
  2. Configure el inicio de sesión único para SAML con las siguientes propiedades (es posible que deba usar valores provisionales hasta que el equipo de soporte de Auth0 pueda proporcionarle el nombre de la conexión SSO):
    PropiedadValor
    Identificador (ID de entidad)urn:auth0:auth0:{assignedConnectionName}
    URL de respuesta (ACS)https://auth0.auth0.com/login/callback
    URL de inicio de sesiónhttps://manage.auth0.com/login?connection={assignedConnectionName}
  3. Deje la sección Attributes & Claims, incluidos email, Unique User Identifier y, opcionalmente, name -, sin cambios con respecto a las sugerencias de Azure.
  4. Proporcione al equipo de soporte de Auth0 los datos XML de metadatos de SAML. Puede hacer una de estas dos cosas:
    • Compartir la URL de metadatos de federación de la aplicación (por ejemplo, https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}).
    • Descargar el documento XML de metadatos de federación y adjuntarlo al ticket.

Google (SAML)

Auth0 permite configurar SSO para el Dashboard con un IdP de Google , pero se recomienda dirigir a los usuarios para que inicien sesión con el método de autenticación de Google existente. Cuando un usuario inicia sesión en el IdP SAML de Google, Auth0 crea una nueva identidad de usuario para ese usuario (separada de su identidad de usuario de Google existente), lo que puede generar confusión. Si desea configurar SSO para el Dashboard con un IdP SAML de Google, consulte Generic IdP (SAML) para obtener instrucciones.

Okta (SAML)

  1. Cree una aplicación SAML con las siguientes propiedades (es posible que deba usar valores de marcador de posición hasta que el equipo de soporte de Auth0 pueda proporcionarle el nombre de la conexión de SSO):
    PropiedadValor
    ID de entidadurn:auth0:auth0:{assignedConnectionName}
    Endpoint de devolución de llamada (URL de ACS)https://auth0.auth0.com/login/callback
  2. Configure el Identificador de nombre para que envíe la dirección de correo electrónico del usuario.
  3. Proporcione al equipo de soporte de Auth0 los metadatos XML de SAML. Puede hacer una de las siguientes opciones:
    • Comparta la URL de los metadatos XML de SAML:
      1. Busque la sección SAML Signing Certificates.
      2. Seleccione el menú Actions.
      3. Seleccione View IdP metadata y, a continuación, Copy Link Address. Tendrá este formato: https://{org}.okta.com/app/{appId}/sso/saml/metadata.
    • Descargue el archivo XML de metadatos SAML y adjúntelo al ticket.
Flujos de autenticación iniciados por el IdP
El SSO para el Dashboard no admite flujos de autenticación iniciados por el IdP. Si quiere que los usuarios puedan seleccionar un icono para iniciar sesión en el Dashboard, debe hacer lo siguiente:
  1. Ocultar la aplicación SAML a los usuarios.
  2. Crear una Bookmark App que apunte a https://manage.auth0.com/login?connection={assignedConnectionName}. Esta es la aplicación que los usuarios podrán seleccionar para iniciar sesión.
Asegúrese de habilitar tanto la aplicación SAML como la Bookmark App para el mismo conjunto de usuarios que pueden usarla.

OneLogin (SAML)

  1. Cree un conector de prueba SAML (SP) con las siguientes propiedades (es posible que deba usar valores provisionales hasta que el equipo de soporte de Auth0 pueda proporcionarle el nombre de la conexión de SSO):
    PropiedadValor
    ID de entidadurn:auth0:auth0:{assignedConnectionName}
    Endpoint de devolución de llamada (URL de ACS)https://auth0.auth0.com/login/callback
    URL de inicio de sesiónhttps://manage.auth0.com/login?connection={assignedConnectionName}
  2. Proporcione al equipo de soporte de Auth0 el archivo XML de metadatos SAML.

IdP genérico (OIDC)

  1. Registre una aplicación (cliente) en el IdP con las siguientes propiedades:
    PropiedadValor
    URL de callbackhttps://auth0.auth0.com/login/callback
  2. Agregue el claim de correo electrónico al ID Token.
  3. Proporcione al equipo de soporte de Auth0 lo siguiente:
    • ID de la aplicación (cliente)
    • URL del emisor o endpoint de metadatos de OIDC (por ejemplo, https://{idpDomain}/[...]/.well-known/openid-configuration)
El equipo de soporte de Auth0 usará el flujo implícito con Form Post, si está disponible. Si su IdP no lo admite, deberá proporcionarles el Secreto del cliente de su aplicación.

IdP genérico (SAML)

  1. El equipo de soporte de Auth0 le proporcionará el nombre de la conexión de SSO.
  2. Cree una aplicación SAML con las siguientes propiedades:
    PropiedadValor
    ID de entidadurn:auth0:auth0:{assignedConnectionName}
    endpoint de devolución de llamadahttps://auth0.auth0.com/login/callback
  3. Asegúrese de que las aserciones SAML contengan los siguientes claims:
    ClaimIdentificador del claimValor
    Identificador de nombrehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierupn o emailaddress
    Dirección de correo electrónicohttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressN/A
    Nombrehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameN/AA
  4. Proporcione al equipo de soporte de Auth0 uno de los siguientes elementos:
    • URL de inicio de sesión y certificado de firma
    • Archivo XML de metadatos de SAML

Configurar la conexión de SSO

El equipo de soporte de Auth0 usa los datos de configuración que usted proporciona para completar la configuración inicial de la conexión de SSO. Home Realm Discovery (HRD) no se configura durante la configuración inicial.

Probar la conexión SSO

Cuando se completa la configuración inicial de la conexión SSO, el equipo de soporte de Auth0 le pide que pruebe la conexión SSO para verificar que los datos de configuración sean correctos y que los miembros del Tenant puedan autenticarse mediante la conexión SSO de la forma esperada. El equipo de soporte de Auth0 le proporciona una URL de inicio de sesión directa que puede usar para iniciar la autenticación de la nueva conexión SSO. Por ejemplo: https://manage.auth0.com/login?connection={assignedConnectionName}

Aplicar SSO con Auth0 Teams

Si usa Auth0 Teams con su inquilino Enterprise, puede aplicar la autenticación SSO a los inquilinos que pertenecen a la cuenta de Teams. Para obtener más información sobre la administración y gestión de inquilinos, consulte Auth0 Teams.
  1. Abra una nueva ventana del navegador e introduzca el identificador de su cuenta de Teams: https://accounts.auth0.com/teams/{team-identifier}.
    Puede encontrar el identificador de Teams en la URL o en Settings de Teams.
  2. Vaya a la página Security.
  3. Configure las políticas de seguridad seleccionando Enforce Single Sign On.

Habilitar Home Realm Discovery (opcional)

Si usa Universal Login o Classic Login, puede solicitar que se habilite HRD para que la página de inicio de sesión reconozca el dominio de la dirección de correo electrónico que introduce el miembro del Tenant y, a continuación, lo dirija a la nueva conexión de SSO.

Cuándo habilitar HRD

Si HRD está habilitado, los miembros del Tenant que antes usaban una identidad de correo electrónico y contraseña (con un correo electrónico que coincida con el dominio de HRD configurado) no podrán iniciar sesión a través de la página de inicio de sesión, y HRD solo es compatible con identificadores de correo electrónico. Debido a este cambio de comportamiento, solicita habilitar HRD solo después de que al menos algunos de los miembros actuales del Tenant estén al tanto del cambio y sepan que:
  • Recibirán una invitación para unirse a los inquilinos con la nueva identidad
  • Tendrán que volver a invitarse a sí mismos con la nueva identidad

Cómo omitir HRD

Si un miembro del Tenant necesita iniciar sesión con su identidad de correo electrónico y contraseña, puede proporcionarle una URL de inicio de sesión directa: https://manage.auth0.com/login?connection=auth0 Esta URL omite HRD y le permite iniciar sesión con su identidad de correo electrónico y contraseña.

Ejemplo del comportamiento de inicio de sesión de HRD

A continuación se muestra un ejemplo de una lista de miembros del Tenant:
TenantMiembro del TenantConexión¿Afectado?
fabrikam@ususer1@example.comemail/password
fabrikam@ususer1@gmail.comgoogle-oauth2No
fabrikam@ususer2@example.comgithubNo
fabrikam@ususer3@acme.comemail/passwordNo
fabrikam@ususer4@example.comemail/password
fabrikam-dev@ususer5@example.comemail/password
fabrikam-dev@ususer1@example.comemail/password
Si asociamos el dominio example.com a la nueva conexión, los miembros del Tenant user1@gmail.com, user2@example.com y user3@acme.com pueden iniciar sesión como lo hacían antes, porque usan un proveedor social o una dirección de correo electrónico con un dominio no asociado. En cambio, los miembros del Tenant user1@example.com, user4@example.com y user5@example.com no pueden iniciar sesión como lo hacían antes, porque sus correos electrónicos están asociados al dominio configurado para HRD.

Migrar los miembros existentes del Tenant

El proceso para migrar los miembros existentes del Tenant depende de si ha habilitado HRD.

Cómo migrar con HRD deshabilitado

Para migrar miembros del Tenant con HRD deshabilitado, debe compartir la URL de inicio de sesión directa de la nueva conexión SSO: https://manage.auth0.com/login?connection={assignedConnectionName}
  1. Cree una nueva invitación para un miembro del Tenant para el miembro del Tenant.
  2. Indique al miembro del Tenant que:
    1. Inicie sesión en la nueva conexión SSO usando la URL de inicio de sesión directa antes de aceptar la invitación.
      Si es la primera vez que inicia sesión en la nueva conexión SSO, es posible que vea una página de ampliación del perfil (en https://auth.com/profile). No complete ningún campo ni seleccione Siguiente. En su lugar, siga el paso siguiente.
    2. Copie y pegue la URL de la invitación que recibió por correo electrónico en el mismo navegador en el que inició sesión en la nueva conexión SSO. Los usuarios no deben seleccionar Crear cuenta.
    3. Acepte la invitación.
    4. Si el usuario tiene invitaciones para otros inquilinos, puede usarlas en este momento.

Cómo migrar con HRD habilitado

Para migrar miembros del Tenant con HRD habilitado, debe seguir pasos similares a los de agregar miembros del Tenant:
  1. Cree una nueva invitación para un miembro del Tenant.
  2. Indique al miembro del Tenant que:
    1. Cierre sesión en el Dashboard (si anteriormente había iniciado sesión con una identidad antigua).
      Si es la primera invitación que acepta, es posible que vea una página de “Create a new tenant” o “Create a new account”. No seleccione Next. En su lugar, siga el paso siguiente.
    2. Abra el enlace de invitación del correo electrónico que recibió.
    3. Inicie sesión con la nueva conexión.
    4. Acepte la invitación.