Este artículo te ayudará a solucionar problemas con tu configuración de inicio de sesión único.

La página de inicio de sesión del usuario administrador está centralizada y no es específica de la cuenta de tu empresa. Los usuarios tienen que introducir su dirección de correo electrónico al inicio de un inicio de sesión con SAML SSO para que podamos encontrar su cuenta de empresa.

La introducción de la dirección de correo electrónico no es necesaria en el portal de usuario final, ya que esas páginas de inicio de sesión son específicas de la cuenta de tu empresa. Esto significa que nuestra solución SAML SSO puede buscar tu configuración directamente para conectarse con tu proveedor de identidad.

La plataforma genera un token de preautenticación como parte del proceso de autenticación SAML SSO. Éste no estará presente cuando se utilice la utilidad de prueba SAML de un proveedor de identidades, por lo que la plataforma mostrará una pantalla de error. Esto se debe a que la plataforma no puede verificar la cuenta de la empresa para el intento de autenticación SAML SSO.

Tendrás que probar la integración SAML SSO iniciando sesión en la plataforma.

La URL de Assertion Consumer Service (ACS) es la URL que el proveedor de identidad SAML SSO utilizará para enviar una respuesta a nuestra plataforma. Las respuestas de autenticación SAML SSO no llegarán a la plataforma Si la URL ACS configurada en tu proveedor de identidad es incorrecta. Los usuarios no serán redirigidos de vuelta a la plataforma después de la parte del proceso del proveedor de identidad cuando este sea el caso.

Confirma que la URL de ACS en la configuración de SSO de la plataforma y la configuración de SAML SSO de tu proveedor de identidad coinciden. La URL de ACS cambiará si se actualiza la configuración del dominio preferido en la plataforma.

El Id. de entidad identifica a la plataforma como proveedor de servicios SAML. Se incluye en las URL de solicitud SAML que redirigen a los usuarios desde la página de inicio de sesión de la plataforma a tu proveedor de identidades. Si es incorrecto, tu proveedor de identidad rechazará la solicitud, ya que el proveedor de servicios (es decir, la plataforma) no es reconocido.

Confirma que el ID de entidad de la configuración SSO de la plataforma y la configuración SAML SSO de tu proveedor de identidad coinciden. El ID de entidad cambiará si se actualiza la configuración del dominio preferido en la plataforma.

El punto de entrada SAML (o URL de SSO del proveedor de identidades) se utiliza para construir las URL de solicitud SAML que redirigen a los usuarios desde la página de inicio de sesión de la plataforma a tu proveedor de identidades. Si es incorrecta, los usuarios no serán redirigidos a tu proveedor de identidad y SAML SSO no será posible.

Confirma que el punto de entrada SAML de la configuración SSO de la plataforma coincide con el de la configuración SAML SSO de tu proveedor de identidad.

El certificado de firma SAML (o certificado público x509) se utiliza para firmar las URL de solicitud SAML que redirigen a los usuarios desde la página de inicio de sesión de la plataforma a tu proveedor de identidad. Si no se puede verificar la firma, tu proveedor de identidad rechazará la solicitud.

En caso de duda, debes ir a la Configuración SSO de la plataforma y sustituir el certificado por el actual de la configuración SAML SSO de tu proveedor de identidad. También puedes ver la huella digital del certificado actual, que puedes utilizar para verificar si el certificado presente coincide con el de tu proveedor de identidad. No todos los proveedores hacen visible esta huella digital, por lo que aconsejamos sustituir el certificado en la plataforma.

Estos certificados tienen una fecha de caducidad, por lo que es posible que SAML SSO deje de funcionar porque el certificado ha caducado. Es una buena práctica controlar la fecha de caducidad de los certificados SAML y sustituirlos con antelación. De lo contrario, podría bloquearse el acceso al sistema si sólo permite la autenticación SSO a los usuarios administradores de la plataforma.

Cualquier usuario que desee iniciar sesión en la plataforma mediante SAML SSO deberá ser asignado a la integración en el proveedor de identidades.

La mayoría de los proveedores de identidad incluirán una opción de asignación de usuarios durante la configuración o como una función administrativa. La configuración de una integración SAML SSO incluirá un paso de asignación de usuario. Esto debería permitirte especificar el usuario que puede autenticarse en el proveedor de servicios correspondiente, es decir, esta plataforma. Los usuarios asignados deben coincidir lo más posible con la base de usuarios de la plataforma. Por ejemplo, si utilizas una de las integraciones de sincronización para importar usuarios finales, entonces tus asignaciones de usuarios SAML SSO deberían tirar de los mismos grupos.

El proceso de autenticación SAML SSO hace coincidir las cuentas de usuario del proveedor de identidad y de la plataforma por dirección de correo electrónico. Esta función no admite ningún tipo de aprovisionamiento de usuarios, por lo que no se crearán cuentas de usuario en respuesta a una autenticación SAML correcta. Los usuarios que necesiten autenticarse utilizando SAML SSO necesitarán cuentas de administrador y/o de usuario final en la plataforma para acceder a la consola de administración y/o al portal de usuario final respectivamente.

Esto normalmente significa que puedes haber configurado mal la configuración SAML en tu proveedor de identidad fuera de la opción documentada en nuestras guías de configuración. Por ejemplo, nuestra solución se basa en el estado de retransmisión devuelto por tu proveedor de identidad. Si has configurado alguna opción que altere el estado de retransmisión, el token de preautenticación que enviamos como parte del proceso de autenticación SAML SSO puede perderse o modificarse, lo que interrumpirá nuestro proceso de verificación.

Es posible que los usuarios no puedan iniciar sesión a pesar de haber iniciado sesión correctamente en su cuenta de proveedor de identidad. Los tokens de preautenticación que emitimos durante un inicio de sesión SAML SSO caducan al cabo de poco tiempo. Si un usuario no completa el proceso de inicio de sesión de SAML SSO en ese tiempo, tendrá que volver a intentarlo. Los intentos posteriores deberían ser más rápidos, ya que el usuario ya ha iniciado sesión en su proveedor de identidad en este punto.

Cuando informes de problemas con SAML SSO al servicio de asistencia, facilita la siguiente información:

Si utilizas Google Workspace como proveedor de identidades, es posible que tus usuarios vean una pantalla de error de Google si falla la autenticación SAML SSO. Esto suele indicar un problema con la aplicación SAML personalizada que has creado en Google Workspace para esta integración. Puedes encontrar una lista completa de mensajes de error de la aplicación SAML de Google aquí, junto con posibles soluciones para los problemas subyacentes.