¿Cómo podemos ayudar?

Inicio de sesión único con SAML

 

El lenguaje de marcado para configuraciones de seguridad (SAML, por sus siglas en inglés) permite a los usuarios acceder a monday.com (SP) a través de un proveedor de identidades (IDP) de su elección. Funciona transfiriendo la identidad del usuario de un sitio (el proveedor de identidad) a otro (monday.com). ¡Habilitar SAML en monday.com es muy sencillo!

Nota: El inicio de sesión único (SSO) con SAML solo está disponible para el plan Corporativo. El inicio de sesión único de Google está disponible en los planes Pro y Corporativo. Para obtener más información sobre el inicio de sesión único de Google, haz clic aquí. 

 

Configura tu proveedor de identidad

Antes de configurar SAML SSO dentro de monday.com, es esencial configurar primero una conexión SSO para monday.com -también conocido como conector- con tu IDP. Actualmente trabajamos con tres proveedores principales: OKTA, Entra ID (antes conocido como Azure AD) y OneLogin, pero también tienes la opción de utilizar tu propio proveedor. 

  • Para habilitar SAML con OKTA, haz clic aquí
  • Para habilitar SAML con OneLogin, haz clic aquí
  • Para integrar Entra ID (anteriormente conocido como Azure AD), haz clic aquí
  • Para habilitar SAML con SAML 2.0 personalizado, haz clic aquí.
Nota: Por el momento no es posible conectar múltiples proveedores de identidades a una cuenta de monday.com. Sin embargo, se pueden conectar múltiples cuentas de monday.com a un proveedor de identidad.

 

Ahora que has completado este paso, es hora de ingresar a tu cuenta de monday.com para continuar configurando SAML SSO. Sigue los pasos a continuación. ⬇️

 

Paso 1: configura el SSO de SAML para monday.com

Una vez que hayas configurado tu proveedor de identidades, solo tienes que habilitar SAML dentro de monday.com. Para hacerlo, haz clic en tu foto de perfil en la esquina superior derecha de tu pantalla y selecciona "Administración".

CPT2305311704-1324x735.gif

 

Una vez que estés en la sección de administrador, selecciona la sección "Seguridad" sobre el lado izquierdo. Luego, haz clic en "Inicio de sesión único (SSO)", ubicado en la pestaña Inicio de sesión. Luego haz clic en "Agregar proveedor de SSO". Usaremos OKTA en nuestro ejemplo, pero puedes seleccionar cualquiera de las otras opciones.Untitled design (21).gif

 

Selecciona tu proveedor de Internet (IDP) de la lista:

Group 29 (3).png

 

Nota: Los formatos de los campos de emisor de proveedor de identidad y la URL de SSO con SAML son ligeramente diferentes en cada IDP. Seleccionar un IDP de la lista te dará una pista sobre cuál es el formato del valor esperado para estos campos dentro del IDP.¿Tu IDP no aparece en la lista? ¡No te preocupes! Simplemente selecciona la opción SAML 2.0 Personalizado y obtiene los campos de emisor del proveedor de identidad y URL de SSO con SAML de tu IDP.

 

Completa los detalles de tu IDP

Completa los siguientes campos con los datos de tu IDP:

  • URL SSO de SAML
  • Emisor de proveedor de identidad
  • Certificado públicoGroup 31 (2).png

 

Nota: Si tu organización busca enviar respuestas SAML cifradas, selecciona "Habilitar certificado de monday". Esto te proporcionará el certificado de cifrado público para ingresar en el IDP; lo que asegura que monday.com podrá descifrar la respuesta SAML.

 

Paso 2: prueba tu conexión SSO

Una vez que hayas completado todos los detalles necesarios para tu proveedor de SSO, ¡es hora de probar tu conexión! Ten en cuenta que este paso es obligatorio para continuar con la habilitación de SAML en tu cuenta o antes de realizar cualquier otro cambio. 

Todo lo que tienes que hacer es hacer clic en "Probar conexión SSO" como se muestra a continuación:Group 33 (4).png

 

Paso 3: selecciona restricciones y política de contraseñas

Al configurar el SSO, el administrador deberá seleccionar el nivel de la política de restricción del inicio de sesión, lo que significa que deberá definir quién debe usar la autenticación SSO para iniciar sesión, o si es opcional.

Nota importante: Durante la configuración inicial del SSO, recomendamos hacer SSO opcional (la tercera opción) para poder iniciar sesión con la contraseña, en caso de errores. Una vez que la configuración se haya realizado correctamente, se puede actualizar la selección.

image 1 - 2023-12-17T132534.563.png

Hay tres opciones en esta sección:

  • Opción 1: Todos los usuarios (incluidos los invitados) deben utilizar la autenticación SSO para iniciar sesión en monday.com. Esta opción hace que todos los usuarios deban tener acceso a monday.com desde el proveedor de identidad para que puedan iniciar sesión.
  • Opción 2: Todos los usuarios, excepto los invitados, deben utilizar la autenticación SSO para iniciar sesión en monday.com. Los invitados, por otro lado, podrán utilizar un correo electrónico y una contraseña para iniciar sesión.
    • Esta es la opción de política más utilizada, ya que a menudo los invitados son usuarios externos y no son gestionados por el departamento de TI interno de una organización.
  • Opción 3: Usar la autenticación SSO es opcional para todos. Todos los usuarios e invitados pueden iniciar sesión a través del SSO o el correo electrónico y la contraseña.

Si es compatible con la política de seguridad de tu empresa, te recomendamos que utilices la opción de restricción "Todos los usuarios, excepto los invitados, deben usar autenticación SAML". Es decir, todos los usuarios de la cuenta, excepto los invitados, deben iniciar sesión con SSO. Los invitados pueden acceder a tableros compartibles e iniciar sesión con un correo electrónico y una contraseña, de forma usual. En este caso, los correos electrónicos de los invitados no necesitan estar activos en el IDP de la cuenta para poder iniciar sesión.

Ten en cuenta: la configuración de contraseña en la pantalla SSO no es solo para invitados. Es para todos los miembros de la cuenta que inician sesión usando su e-mail y contraseña, lo que incluye miembros y espectadores en el caso de que SSO se defina como opcional.

Los cambios en la política de contraseñas solo se aplican a contraseñas nuevas y afectan a los nuevos usuarios que se registran o a los usuarios actuales que cambiaron sus contraseñas.

Paso 4: activa el proveedor de SSO

Después de seguir con éxito los pasos 1 a 3 enumerados anteriormente, ¡es hora de activar tu proveedor de SSO! Todo lo que tienes que hacer ahora es hacer clic en el botón "Agregar proveedor de SSO" y luego todos los usuarios de monday.com recibirán un e-mail explicando cómo iniciar sesión con el proveedor de SSO seleccionado y ¡listo!🙌

 

aprovisionamiento

Por defecto, monday.com utiliza aprovisionamiento Just In Time, lo cual implica que si el usuario no existe, se crea en monday.com cuando inicia sesión por primera vez.

Si deseas habilitar el aprovisionamiento SCIM, genera el token y sigue las instrucciones de tu IDP para activarlo. monday.com admite el flujo iniciado por IDP o el flujo iniciado por SP. Tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para Okta. Para activarla, haz clic aquí.

Además, tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para OneLogin. Para habilitarla, haz clic aquí .

Por último, tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para Entra ID. Para habilitarla, haz clic aquí.

 

Nota: El aprovisionamiento SCIM solo está disponible para el plan Corporativo.

 

¿Qué sucede una vez que el SSO está habilitado?

Cuando hayas terminado de configurar tu SSO, cada miembro recibirá un correo electrónico acerca del cambio (también si la Política de restricción del SSO está configurada como opcional).


Aquí puedes ver un ejemplo del correo electrónico:

mceclip3_1.png

 

El mensaje por correo electrónico invitará a los miembros a que conecten sus cuentas de monday.com con tu proveedor de identidad.A partir de ahora, todos los miembros pueden iniciar sesión en monday.com con su cuenta de proveedor de identidad.

 

Errores comunes después de iniciar sesión en tu proveedor de SSO

Algunos usuarios pueden tener dificultades y quizás no puedan usar el proceso de SSO. Por ejemplo, después de introducir la credencial del usuario en la página de inicio de sesión del proveedor de SSO, en lugar de ser redirigido a la página monday.com, el usuario recibe un mensaje de error de que el usuario "username@email.com" que inició sesión no tiene asignado ningún rol para la aplicación (el mensaje puede ser diferente, según el proveedor de SSO). Esto significa que los administradores de la cuenta deben entrar en el proveedor de SSO que usa el equipo y asignar o agregar al usuario a la cuenta de monday.com. 

Otro problema común ocurre cuando un usuario cambia su dirección de e-mail, lo cual genera un error cuando intenta iniciar sesión. ¡Analizaremos todo esto en la siguiente sección!

 

¿Qué sucede cuando cambia la dirección de correo electrónico de un usuario?

Cuando un usuario inicia sesión en monday.com con SSO, se realiza una conexión de back-end entre el proveedor de identidad (IDP) y el Id. de usuario en monday.com. La conexión, llamada UID (Id. de usuario), conecta la identidad de una persona en el IDP (su nombre, dirección de correo electrónico) con la dirección de correo electrónico asociada con el usuario en monday.com.

Por lo tanto, si un usuario cambia su dirección de correo electrónico, ya no podrá iniciar sesión en monday.com hasta que se restablezca su UID (Id. de usuario). El motivo es que el UID está conectado a la dirección de correo electrónico anterior del usuario y, cuando se actualiza el correo electrónico, no se conectará automáticamente al UID existente. Por eso, restablecer el UID "romperá" la conexión anterior y creará un nuevo enlace entre el UID y la nueva dirección de correo electrónico modificada.

 

Pasos a seguir cuando cambia el correo electrónico de un usuario

Si la dirección de e-mail de un usuario cambia, sigue los dos pasos a continuación y el usuario debería poder iniciar sesión en la cuenta nuevamente en poco tiempo. ⬇️

 

1. Cambiar el correo electrónico del usuario en el IDP y dentro de monday.com

En primer lugar, es importante que la dirección de correo electrónico del usuario se cambie tanto en el proveedor de identidad como en monday.com. Para cambiar su dirección de correo electrónico en monday.com, el usuario en cuestión puede seguir los pasos de este artículo. 

Nota: Cuando un administrador cambia la dirección de e-mail de un usuario, el usuario deberá confirmar su nueva dirección de e-mail.

 

2. Restablecer el Id. de usuario 

Una vez que el correo electrónico de un usuario se ha cambiado en el IDP y desde monday.com, es hora de restablecer su Id. de usuario (UID). Para ello, ingresa en la pestaña gestión de usuarios de la sección Admin de la cuenta. Desde allí, busca al usuario que cambió su dirección de e-mail, presiona el menú de tres puntos en el extremo derecho y selecciona "Restablecer Id. de usuario del SSO" de la siguiente manera:Group 34 (3).png

¡Una vez que se haya presionado, el usuario podrá iniciar sesión en su cuenta de monday.com usando su nueva dirección de correo electrónico satisfactoriamente!

 

Editar dominios de e-mail de varios usuarios a la vez

Como administrador, puedes actualizar por lotes sólo el dominio de e-mail de varios usuarios a la vez y también restablecer el SSO UID de estos usuarios instantáneamente. Para hacer esto, comienza ingresando a la sección de administración de usuarios de tu cuenta. Luego, selecciona los usuarios relevantes marcando la casilla a la izquierda de sus íconos y haz clic en "Cambiar dominio de e-mail" en el panel inferior. Group 28 (5).png

 

A continuación, ingresa el nuevo dominio de e-mail y haz clic en "Cambiar dominio de e-mail". Junto con la actualización del dominio de e-mail, el UID de SSO también se restablecerá para estos usuarios.

Luego, tan pronto como los usuarios seleccionados confirmen el cambio de su dirección de e-mail actual, ¡todo estará listo!

CPT2208101621-1391x720.gif

Nota: Realizar esta acción no cambia el prefijo de los e-mails (lo que venga antes de @).

 

 

 

Si tienes preguntas, comunícate con nuestro equipo aquí. Estamos disponibles las 24 horas, los 7 días de la semana, y será un gusto ayudarte.