monday.com logo
monday logo
A la medida de las necesidades de tu equipo
Más de monday.com
Por equipo
Por tamaño del negocio
Por flujo de trabajo
Funciones clave
Recursos
Aprende
Conectar
Crear
Precios Contactar a ventas Iniciar sesión
app store
Monday
Ir a la página de inicio
¿Cómo podemos ayudar?
  1. Support
  2. Perfil y administrador
  3. La sección de Administrador
Inicio de sesión único con SAML
    Was this article helpful?

    Inicio de sesión único con SAML

    5 minutos de lectura
    Función

     

    El lenguaje de marcado para configuraciones de seguridad (SAML, por sus siglas en inglés) permite a los usuarios acceder a monday.com (SP) a través de un proveedor de identidades (IDP) de su elección. Funciona transfiriendo la identidad del usuario de un sitio (el proveedor de identidad) a otro (monday.com). ¡Habilitar SAML en monday.com es muy sencillo!

    Nota: El inicio de sesión único (SSO) con SAML solo está disponible para el plan Corporativo. El inicio de sesión único de Google está disponible en los planes Pro y Corporativo. Para obtener más información sobre el inicio de sesión único de Google, haz clic aquí. 

     

    Primer Paso: configura tu proveedor de identidades

    El primer paso es configurar una conexión para el inicio de sesión único en monday.com (SSO), conocido también como conector, con tu proveedor de internet (IDP). Actualmente, trabajamos con tres proveedores: OKTA, Azure AD y OneLogin, pero tienes la opción de usar tu propio proveedor. 

    • Para habilitar SAML con OKTA, haz clic aquí
    • Para habilitar SAML con OneLogin, haz clic aquí
    • Para habilitar SAML con Azure AD, haz clic aquí
    • Para habilitar SAML con SAML 2.0 personalizado, haz clic aquí.
    Nota: Por el momento no es posible conectar múltiples proveedores de identidades a una cuenta de monday.com. Sin embargo, se pueden conectar múltiples cuentas de monday.com a un proveedor de identidad.

     

    Paso 2: configura el SSO de SAML para monday.com

    Una vez que hayas configurado tu proveedor de identidades, solo tienes que habilitar SAML dentro de monday.com. Para ello, haz clic en tu foto de perfil y selecciona "Admin".

    Group_35__20_.png

    Una vez que estés en la sección Admin, selecciona la sección "Seguridad" sobre el lado izquierdo. Luego, haz clic en "Inicio de sesión único (SSO)", ubicado en la pestaña Inicio de sesión. Usaremos OKTA en nuestro ejemplo, pero puedes seleccionar cualquiera de las otras opciones.

    image_1__56_.png

     

    Selecciona tu proveedor de Internet (IDP) de la lista:

    image_1__57_.png

    Nota: Los formatos de los campos de emisor de proveedor de identidad y la URL de SSO con SAML son ligeramente diferentes en cada IDP. Seleccionar un IDP de la lista te dará una pista sobre cuál es el formato del valor esperado para estos campos dentro del IDP.¿Tu IDP no aparece en la lista? ¡No te preocupes! Simplemente selecciona la opción SAML 2.0 Personalizado y obtiene los campos de emisor del proveedor de identidad y URL de SSO con SAML de tu IDP.

     

    Completa los detalles de tu IDP

    Completa los siguientes campos con los datos de tu IDP:

    • URL SSO de SAML
    • Emisor de proveedor de identidad
    • Certificado público

    Frame_1_-_2021-02-24T101048.901.png

    Nota: Si tu organización busca enviar respuestas SAML cifradas, selecciona "Habilitar certificado de monday". Esto te proporcionará el certificado de cifrado público para ingresar en el IDP; lo que asegura que monday.com podrá descifrar la respuesta SAML.

     

    Seleccionar política de restricciones

    Al configurar el SSO, el administrador deberá seleccionar el nivel de la política de restricción del inicio de sesión, lo que significa que deberá definir quién debe usar la autenticación SSO para iniciar sesión, o si es opcional.

    Nota importante: Durante la configuración inicial del SSO, recomendamos hacer SSO opcional (la tercera opción) para poder iniciar sesión con la contraseña, en caso de errores. Una vez que la configuración se haya realizado correctamente, se puede actualizar la selección.

    image_1__58_.png

    Hay tres opciones en esta sección:

    • Opción 1: Todos los usuarios (incluidos los invitados) deben utilizar la autenticación SSO para iniciar sesión en monday.com. Esta opción hace que todos los usuarios deban tener acceso a monday.com desde el proveedor de identidad para que puedan iniciar sesión.
    • Opción 2: Todos los usuarios, excepto los invitados, deben utilizar la autenticación SSO para iniciar sesión en monday.com. Los invitados, por otro lado, podrán utilizar un correo electrónico y una contraseña para iniciar sesión.
      • Esta es la opción de política más utilizada, ya que a menudo los invitados son usuarios externos y no son gestionados por el departamento de TI interno de una organización.
    • Opción 3: Usar la autenticación SSO es opcional para todos. Todos los usuarios e invitados pueden iniciar sesión a través del SSO o el correo electrónico y la contraseña.

    Si es compatible con la política de seguridad de tu empresa, te recomendamos que utilices la opción de restricción "Todos los usuarios, excepto los invitados, deben usar autenticación SAML". Es decir, todos los usuarios de la cuenta, excepto los invitados, deben iniciar sesión con SSO. Los invitados pueden acceder a tableros compartibles e iniciar sesión con un correo electrónico y una contraseña, de forma usual. En este caso, los correos electrónicos de los invitados no necesitan estar activos en el IDP de la cuenta para poder iniciar sesión.

     

    Paso 3: aprovisionamiento

    Por defecto, monday.com utiliza aprovisionamiento Just In Time, lo cual implica que si el usuario no existe, se crea en monday.com cuando inicia sesión por primera vez.

    Si deseas habilitar el aprovisionamiento SCIM, genera el token y sigue las instrucciones de tu IDP para activarlo. monday.com admite el flujo iniciado por IDP o el flujo iniciado por SP. Tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para Okta. Para activarla, haz clic aquí.

    Además, tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para OneLogin. Para habilitarla, haz clic aquí .

    Por último, tenemos una aplicación oficial de monday.com en el catálogo de aplicaciones para Azure AD. Para activarla, haz clic aquí.

     

    Nota: El aprovisionamiento SCIM solo está disponible para el plan Corporativo.

     

    ¿Qué sucede una vez que el SSO está habilitado?

    Cuando hayas terminado de configurar tu SSO, cada miembro recibirá un correo electrónico acerca del cambio (también si la Política de restricción del SSO está configurada como opcional).


    Aquí puedes ver un ejemplo del correo electrónico:

    mceclip3_1.png

     

    El mensaje por correo electrónico invitará a los miembros a que conecten sus cuentas de monday.com con tu proveedor de identidad.A partir de ahora, todos los miembros pueden iniciar sesión en monday.com con su cuenta de proveedor de identidad.

     

    Errores comunes después de iniciar sesión en tu proveedor de SSO

    Algunos usuarios pueden tener dificultades y quizás no puedan usar el proceso de SSO. Por ejemplo, después de introducir la credencial del usuario en la página de inicio de sesión del proveedor de SSO, en lugar de ser redirigido a la página monday.com, el usuario recibe un mensaje de error de que el usuario "username@email.com" que inició sesión no tiene asignado ningún rol para la aplicación (el mensaje puede ser diferente, según el proveedor de SSO). Esto significa que los administradores de la cuenta deben entrar en el proveedor de SSO que usa el equipo y asignar o agregar al usuario a la cuenta de monday.com. 

    Otro problema común ocurre cuando un usuario cambia su dirección de correo electrónico, lo cual genera un error cuando intenta iniciar sesión. ¡Analizaremos todo esto en la siguiente sección!

     

    ¿Qué sucede cuando cambia la dirección de correo electrónico de un usuario?

    Cuando un usuario inicia sesión en monday.com con SSO, se realiza una conexión de back-end entre el proveedor de identidad (IDP) y el Id. de usuario en monday.com. La conexión, llamada UID (Id. de usuario), conecta la identidad de una persona en el IDP (su nombre, dirección de correo electrónico) con la dirección de correo electrónico asociada con el usuario en monday.com.

    Por lo tanto, si un usuario cambia su dirección de correo electrónico, ya no podrá iniciar sesión en monday.com hasta que se restablezca su UID (Id. de usuario). El motivo es que el UID está conectado a la dirección de correo electrónico anterior del usuario y, cuando se actualiza el correo electrónico, no se conectará automáticamente al UID existente. Por eso, restablecer el UID "romperá" la conexión anterior y creará un nuevo enlace entre el UID y la nueva dirección de correo electrónico modificada.

     

    Pasos a seguir cuando cambia el correo electrónico de un usuario

    Si la dirección de correo electrónico de un usuario cambia, sigue los dos pasos a continuación para que pueda iniciar sesión cuanto antes ⬇️

     

    1. Cambiar el correo electrónico del usuario en el IDP y dentro de monday.com

    En primer lugar, es importante que la dirección de correo electrónico del usuario se cambie tanto en el proveedor de identidad como en monday.com. Para cambiar su dirección de correo electrónico en monday.com, el usuario en cuestión puede seguir los pasos de este artículo. 

    Nota: No puedes modificar el correo electrónico de otra persona, incluso si eres administrador. Cada usuario solo puede cambiar su correo electrónico por su cuenta.

     

    2. Restablecer el Id. de usuario 

    Una vez que el correo electrónico de un usuario se ha cambiado en el IDP y desde monday.com, es hora de restablecer su Id. de usuario (UID). Para ello, ingresa en la pestaña gestión de usuarios de la sección Admin de la cuenta. Desde allí, busca al usuario que cambió su dirección de correo electrónico, presiona el menú de tres puntos en el extremo derecho y selecciona "Restablecer Id. de usuario del SSO" de la siguiente manera:

    Group_35__21_.png

    ¡Una vez que se haya presionado, el usuario podrá iniciar sesión en su cuenta de monday.com usando su nueva dirección de correo electrónico satisfactoriamente!

     

     

     

    Si tienes preguntas, comunícate con nuestro equipo aquí. Estamos disponibles las 24 horas, los 7 días de la semana, y será un gusto ayudarte.

    Yael - Quality check

    Comentarios