SSO
Configure el inicio de sesión único basado en SAML para que su equipo acceda con el proveedor de identidad que ya utilizan.
Proveedores compatibles
graph8 admite SSO SAML 2.0 con:
- Okta
- Azure AD (Microsoft Entra ID)
- OneLogin
- Google Workspace
- Cualquier proveedor de identidad compatible con SAML 2.0
SSO está disponible en los planes Enterprise.
Configuración
Paso 1: obtener los datos SAML de graph8
- Vaya a Configuración → SSO
- Copie los siguientes valores para utilizarlos en su proveedor de identidad:
- ACS URL (Assertion Consumer Service)
- Entity ID (SP Entity ID)
- Login URL
Paso 2: configurar su proveedor de identidad
En su proveedor de identidad (Okta, Azure AD, etc.):
- Cree una nueva aplicación SAML
- Pegue la ACS URL y el Entity ID de graph8
- Configure la asignación de atributos:
- email: dirección de correo del usuario (obligatorio)
- firstName: nombre del usuario
- lastName: apellido del usuario
- Descargue el XML de metadatos del IdP o copie:
- IdP SSO URL
- IdP Entity ID
- Certificado X.509
Paso 3: completar la configuración en graph8
- Regrese a Configuración → SSO
- Cargue el XML de metadatos del IdP o ingrese manualmente:
- IdP SSO URL
- IdP Entity ID
- Certificado X.509
- Haga clic en Guardar
- Haga clic en Probar conexión para verificar
Paso 4: habilitar SSO
Una vez que la prueba de conexión sea exitosa:
- Active SSO en Habilitado
- Elija el modo de aplicación (ver a continuación)
- Guarde
Aplicación
SSO opcional
Los usuarios pueden iniciar sesión con SSO o con correo y contraseña. Es útil durante la implementación.
SSO obligatorio
Todos los miembros de la organización deben usar SSO para iniciar sesión. El inicio de sesión con correo y contraseña queda deshabilitado.
- Los administradores pueden seguir usando correo y contraseña como alternativa (para evitar bloqueos)
- Los nuevos usuarios se redirigen automáticamente a SSO en su primer inicio de sesión
Habilitar la aplicación
- Vaya a Configuración → SSO
- Establezca la aplicación en Obligatorio
- Notifique a su equipo del cambio
- Guarde
Solución de problemas
Problemas frecuentes
“SAML response is invalid”
- Verifique que la ACS URL en su IdP coincida con la que se muestra en graph8
- Compruebe que el certificado X.509 no haya expirado
- Asegúrese de que el reloj del servidor de su IdP esté sincronizado (SAML es sensible al tiempo)
“User not found”
- El correo de la aserción SAML debe coincidir con el de un usuario existente en graph8
- Verifique que la asignación de atributos envíe el campo de correo correcto
“Certificate error”
- Descargue nuevamente el certificado desde su IdP
- Cargue el nuevo certificado en graph8
- Algunos IdP rotan certificados periódicamente; revise el calendario de rotación de su IdP
Expiración del certificado
Los certificados SAML expiran cada cierto tiempo (por lo general, entre 1 y 3 años). Cuando su certificado esté próximo a expirar:
- Genere un nuevo certificado en su IdP
- Cargue el nuevo certificado en Configuración → SSO
- Pruebe la conexión
- El certificado anterior se reemplazará
Preguntas frecuentes
¿Puedo usar varios proveedores de identidad?
Por ahora solo se admite un IdP por organización. Todos los usuarios deben autenticarse a través del mismo proveedor.
¿Qué ocurre si SSO deja de funcionar?
Los administradores conservan el acceso con correo y contraseña como alternativa. Si todos los administradores quedan bloqueados, contacte al soporte para obtener acceso de emergencia.
¿Los nuevos usuarios deben invitarse manualmente?
Con SSO habilitado, los nuevos usuarios pueden aprovisionarse automáticamente en su primer inicio de sesión. Su rol será Miembro de forma predeterminada, salvo que se configure de otra manera.
¿SSO es compatible con la autenticación de dos factores?
Sí. La autenticación de dos factores (2FA) de su proveedor de identidad se aplica durante el flujo de inicio de sesión con SSO. La 2FA integrada de graph8 se omite cuando SSO está activo.