Configuración SSO SAML 2.0

Scale Plan

Configura el inicio de sesión único SAML 2.0 para permitir que tu equipo acceda a Zenovay usando el proveedor de identidad de tu organización.

Proveedores de identidad compatibles

Proveedor	Estado
Okta	Totalmente compatible
Microsoft Entra ID (Azure AD)	Totalmente compatible
OneLogin	Totalmente compatible
Google Workspace	Totalmente compatible
Ping Identity	Totalmente compatible
ADFS	Totalmente compatible
SAML 2.0 personalizado	Compatible

Requisitos previos

Antes de comenzar:

• Plan Scale o Enterprise activado
• Acceso de administrador a tu proveedor de identidad
• Acceso de propietario o administrador a Zenovay
• Dominio de correo de tu organización verificado

Información SAML de Zenovay

Detalles del proveedor de servicios

Necesitarás estos valores al configurar la aplicación SAML en tu proveedor de identidad. Cada espacio de trabajo obtiene su propio ID de entidad; los valores exactos se muestran en Zenovay bajo Configuración → Seguridad → SSO en la sección Detalles del proveedor de servicios. El formato es:

Configuración	Valor
ID de entidad del proveedor de servicios / URI de audiencia	https://auth.zenovay.com/sso/{teamId}
URL ACS (Assertion Consumer Service)	https://auth.zenovay.com/api/sso/saml/callback
URL de metadatos	https://auth.zenovay.com/api/sso/metadata/{teamId}
Formato de NameID	urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Vinculación	HTTP-POST

La mayoría de los proveedores de identidad también pueden importar la URL de metadatos anterior para completar automáticamente el ID de entidad y la URL ACS.

Obtener tus valores

1. Ve a Configuración → Seguridad → SSO
2. La sección Detalles del proveedor de servicios enumera tu ID de entidad, URL ACS y URI de redirección OAuth/OIDC. Usa el botón de copiar junto a cada valor.
3. Haz clic en Añadir proveedor y selecciona SAML para comenzar a configurar tu proveedor de identidad.

Configuración de Okta

Paso 1: Crear una aplicación Okta

1. Inicia sesión en la Consola de administración de Okta
2. Ve a Applications → Applications
3. Haz clic en Create App Integration
4. Selecciona SAML 2.0
5. Haz clic en Next

Paso 2: Configurar los parámetros de SAML

Configuración general:

• Nombre de la aplicación: Zenovay
• Logo de la aplicación: Carga el logo de Zenovay (opcional)

Parámetros de SAML (copia la URL de inicio de sesión único exacta y el URI de audiencia desde Configuración → Seguridad → SSO en Zenovay):

Campo de Okta	Valor
URL de inicio de sesión único	https://auth.zenovay.com/api/sso/saml/callback
URI de audiencia (ID de entidad del proveedor de servicios)	https://auth.zenovay.com/sso/{teamId}
Formato de NameID	EmailAddress
Nombre de usuario de la aplicación	Email

Paso 3: Declaraciones de atributos

Añade estos asignadores de atributos:

Nombre	Valor
email	user.email
firstName	user.firstName
lastName	user.lastName

Paso 4: Obtener los valores del proveedor de identidad

1. Ve a la pestaña Sign On
2. Haz clic en View SAML setup instructions o Identity Provider metadata
3. Anota lo siguiente:
   • ID de entidad del proveedor de identidad (Issuer)
   • URL SSO del proveedor de identidad (URL de inicio de sesión)
4. Descarga el Certificado X.509

Paso 5: Completar en Zenovay

1. Ve a Configuración → Seguridad → SSO
2. Haz clic en Añadir proveedor y selecciona SAML
3. Introduce:
   • Nombre: por ejemplo, "Okta"
   • ID de entidad: el ID de entidad del proveedor de identidad del Paso 4
   • URL SSO: la URL SSO del proveedor de identidad del Paso 4
   • Certificado: pega el certificado X.509 completo
4. Haz clic en Crear
5. Añade y verifica tu dominio de correo
6. Usa la acción Probar conexión del proveedor para confirmar que funciona

Configuración de Microsoft Entra ID

Paso 1: Crear una aplicación empresarial

1. Inicia sesión en el Centro de administración de Microsoft Entra
2. Ve a Identity → Applications → Enterprise applications
3. Haz clic en New application
4. Haz clic en Create your own application
5. Nombre: Zenovay
6. Selecciona Integrate any other application you don't find in the gallery

Paso 2: Configurar el inicio de sesión único

1. Haz clic en Single sign-on en la barra lateral
2. Selecciona SAML
3. Edita la Configuración SAML básica (copia los valores exactos desde Configuración → Seguridad → SSO en Zenovay):

Campo de Entra ID	Valor
Identificador (ID de entidad)	https://auth.zenovay.com/sso/{teamId}
URL de respuesta (URL ACS)	https://auth.zenovay.com/api/sso/saml/callback

Paso 3: Configurar atributos

Edita Attributes & Claims:

Nombre de notificación	Atributo de origen
emailaddress	user.mail
givenname	user.givenname
surname	user.surname

Asegúrate de que el formato de notificación NameID esté configurado como Email address.

Paso 4: Descargar certificado y obtener los valores del proveedor de identidad

1. Desplázate hasta SAML Signing Certificate y descarga Certificate (Base64)
2. En la sección Set up Zenovay, copia:
   • Identificador de Microsoft Entra — este es tu ID de entidad del proveedor de identidad
   • URL de inicio de sesión — esta es tu URL SSO

Paso 5: Asignar usuarios

1. Ve a Users and groups
2. Añade usuarios o grupos
3. Guarda las asignaciones

Paso 6: Completar en Zenovay

1. Ve a Configuración → Seguridad → SSO
2. Haz clic en Añadir proveedor y selecciona SAML
3. Introduce:
   • Nombre: por ejemplo, "Microsoft Entra ID"
   • ID de entidad: el Identificador de Microsoft Entra del Paso 4
   • URL SSO: la URL de inicio de sesión del Paso 4
   • Certificado: pega el contenido del certificado Base64 descargado
4. Haz clic en Crear
5. Añade y verifica tu dominio de correo
6. Usa la acción Probar conexión para confirmar que funciona

Configuración de Google Workspace

Paso 1: Añadir una aplicación SAML personalizada

1. Ve a la Consola de administración de Google
2. Ve a Apps → Web and mobile apps
3. Haz clic en Add App → Add custom SAML app

Paso 2: Introducir detalles

Detalles de la aplicación:

• Nombre de la aplicación: Zenovay
• Descripción: Plataforma de análisis
• Icono de la aplicación: Carga (opcional)

Paso 3: Descargar metadatos del proveedor de identidad

1. Copia o descarga la URL SSO e ID de entidad
2. Descarga el Certificado
3. Haz clic en Continue

Paso 4: Detalles del proveedor de servicios

Copia la URL ACS exacta e ID de entidad desde Configuración → Seguridad → SSO en Zenovay:

Campo de Google Admin	Valor
URL ACS	https://auth.zenovay.com/api/sso/saml/callback
ID de entidad	https://auth.zenovay.com/sso/{teamId}
Formato de NameID	EMAIL
NameID	Basic Information > Primary email

Paso 5: Asignación de atributos

Directorio de Google	Atributo de aplicación
Email principal	email
Nombre	firstName
Apellido	lastName

Paso 6: Habilitar para usuarios

1. Haz clic en la aplicación
2. Ve a la sección User access
3. Actívala para tu organización o unidades organizacionales específicas

Paso 7: Completar en Zenovay

1. Ve a Configuración → Seguridad → SSO
2. Haz clic en Añadir proveedor y selecciona SAML
3. Introduce el ID de entidad del proveedor de identidad, URL SSO y Certificado del Paso 3
4. Haz clic en Crear
5. Añade y verifica tu dominio de correo
6. Usa la acción Probar conexión para confirmar que funciona

Configuración de OneLogin

Paso 1: Añadir una aplicación

1. Ve a la administración de OneLogin
2. Ve a Applications → Add App
3. Busca SAML Custom Connector (Advanced)
4. Añadir

Paso 2: Pestaña de configuración

Copia los valores de Audience y Recipient/ACS exactos desde Configuración → Seguridad → SSO en Zenovay:

Campo de OneLogin	Valor
Audience (EntityID)	https://auth.zenovay.com/sso/{teamId}
Recipient	https://auth.zenovay.com/api/sso/saml/callback
URL ACS (Consumer)	https://auth.zenovay.com/api/sso/saml/callback

Paso 3: Parámetros

Añade parámetros:

Campo	Valor
email	Email
firstName	First Name
lastName	Last Name

Paso 4: Pestaña de SSO

Anota los siguientes valores:

• Punto de terminación SAML 2.0 (HTTP)
• URL del emisor
• Descarga el certificado X.509

Paso 5: Completar en Zenovay

1. Ve a Configuración → Seguridad → SSO
2. Haz clic en Añadir proveedor y selecciona SAML
3. Introduce los valores del proveedor de identidad del Paso 4
4. Haz clic en Crear
5. Añade y verifica tu dominio de correo

Completar la configuración en Zenovay

Añadir el proveedor de SSO

1. Ve a Configuración → Seguridad → SSO
2. Haz clic en Añadir proveedor
3. Selecciona SAML
4. Introduce los siguientes valores de tu proveedor de identidad:

Campo	Descripción
Nombre	Un nombre descriptivo para este proveedor (por ejemplo, "Okta corporativo")
ID de entidad	El ID de entidad del proveedor de identidad / Emisor de tu proveedor de identidad
URL SSO	La URL de inicio de sesión del proveedor de identidad / Punto de terminación SSO
URL SLO	La URL de cierre de sesión único del proveedor de identidad (opcional)
Certificado	El certificado de firma X.509 (pega el PEM completo incluyendo las líneas BEGIN/END)

5. Haz clic en Crear

Verificar dominio

Después de guardar, añade y verifica tu dominio de correo:

1. Introduce tu dominio de correo (por ejemplo company.com) en la sección Verificación de dominio
2. Haz clic en Verificar dominio
3. Añade el registro TXT mostrado a los DNS de tu dominio y luego haz clic en Verificar DNS
4. Una vez verificado, los usuarios con ese dominio serán dirigidos a SSO en el inicio de sesión

Probar la conexión

1. Abre el menú Más del proveedor y elige Probar conexión, o prueba directamente el flujo de inicio de sesión:
2. Abre una ventana de navegador privada/incógnito
3. Ve a auth.zenovay.com
4. Introduce un correo de tu dominio verificado
5. Autentica con tu proveedor de identidad
6. Verifica el retorno exitoso al panel de Zenovay

Aplicar SSO

Después de una prueba exitosa, puedes requerir SSO para que los usuarios no puedan iniciar sesión con una contraseña:

1. Asegúrate de que el proveedor esté habilitado (el interruptor junto a él)
2. Abre el menú Más del proveedor y selecciona Aplicar SSO
3. Confirma en el diálogo

Aprovisionamiento de usuarios

Aprovisionamiento justo a tiempo (JIT)

Los nuevos usuarios se crean automáticamente en su primer inicio de sesión SSO exitoso:

• La cuenta se crea a partir del correo y nombre en la aserción SAML
• No se requiere correo de invitación

Solución de problemas

Problemas comunes

Problema	Solución
"Signature verification failed"	Descarga nuevamente el certificado del proveedor de identidad y actualízalo en Zenovay
"Digest mismatch"	Asegúrate de que el certificado de firma correcto está configurado
"SSO is not configured for your domain"	Añade y verifica el dominio de correo del usuario en la configuración de SSO
"ACS URL mismatch"	Asegúrate de que la URL ACS es exactamente https://auth.zenovay.com/api/sso/saml/callback
"Entity ID mismatch"	Asegúrate de que el ID de audiencia/entidad coincide con el valor mostrado en Configuración → Seguridad → SSO (termina con tu ID de equipo)
"NameID not found"	Establece el formato NameID a EmailAddress en tu proveedor de identidad

Expiración del certificado

Los certificados del proveedor de identidad expiran — planifica con anticipación:

1. Monitoriza las fechas de vencimiento en tu proveedor de identidad
2. Descarga el nuevo certificado antes del vencimiento
3. Edita el proveedor de SSO en Zenovay y reemplaza el certificado
4. Prueba la conexión con el nuevo certificado

Mejores prácticas de seguridad

Gestión de certificados

• Monitoriza las fechas de vencimiento
• Usa firma SHA-256
• Actualiza los certificados antes de su vencimiento

Seguridad de atributos

• Solicita solo los atributos necesarios
• Verifica los asignadores de atributos
• Monitoriza cambios

Control de acceso

• Asigna usuarios/grupos específicos en tu proveedor de identidad
• Revisa el acceso regularmente
• Usa políticas de acceso condicional

Próximos pasos

• Configura OAuth/OIDC
• Aplica MFA
• Configura el registro de auditoría