Una vez que su conexión SSO está configurada y probada, puede requerir SSO para que su equipo inicie sesión a través de su proveedor de identidad (IdP) en lugar de una contraseña de Zenovay. Esta guía explica exactamente a quién se le aplica la aplicación, por qué los propietarios y administradores siempre conservan una contraseña como respaldo y cómo inician sesión los miembros con una dirección de correo personal.
Información
Aplicar SSO es el último paso, no el primero. Configure y verifique primero su proveedor usando Configuración SAML o Configuración OAuth / OIDC, confirme que un inicio de sesión de prueba funciona y solo entonces active la aplicación.
Cómo funciona el enrutamiento de SSO (la idea clave)
Zenovay decide si enviar a alguien a su IdP basándose en el dominio de la dirección de correo que escribe al iniciar sesión, comparándolo con los dominios que ha verificado para su proveedor de SSO.
- Si el dominio del correo coincide con su dominio verificado (por ejemplo
@acme.com), Zenovay dirige a esa persona a su IdP. - Si no coincide (por ejemplo una dirección personal
@gmail.com), Zenovay no puede dirigirla a su IdP, porque su IdP no gestiona ese dominio.
Esta única regla explica todos los casos a continuación.
Qué cambia "Aplicar SSO"
| Aplicación DESACTIVADA | Aplicación ACTIVADA | |
|---|---|---|
| Miembro con un correo de dominio verificado | Puede elegir contraseña o SSO | Debe iniciar sesión a través de su IdP |
| Propietario o administrador con un correo de dominio verificado | Puede elegir contraseña o SSO | Conserva el acceso por contraseña (vidrio de emergencia) y aún puede usar SSO |
| Cualquiera (cualquier correo) | El botón "Continue with SSO" siempre está disponible | El botón "Continue with SSO" siempre está disponible |
Con la aplicación activada, un miembro normal que introduce un correo de dominio verificado es enviado directamente a su IdP y ya no puede recurrir a una contraseña de Zenovay.
Los propietarios y administradores conservan una contraseña (vidrio de emergencia)
Los propietarios y administradores del espacio de trabajo están intencionadamente exentos de la aplicación y siempre pueden iniciar sesión con su contraseña.
Información
Este es un mecanismo de seguridad, no un descuido. Si su IdP alguna vez tiene una interrupción o una mala configuración (un certificado vencido, un punto de terminación modificado), la aplicación estricta de lo contrario bloquearía a todos, incluidas las mismas personas que necesitan iniciar sesión para corregir la configuración de SSO. Conservar una vía de contraseña para propietarios y administradores garantiza que siempre pueda volver a entrar.
Los propietarios y administradores aún pueden iniciar sesión a través de SSO siempre que quieran, usando la opción Continue with SSO en la pantalla de inicio de sesión. La aplicación simplemente no se lo impone.
Advertencia
Vale la pena comprender la contrapartida: como un propietario o administrador puede iniciar sesión con una contraseña, esa contraseña es una vía de acceso al espacio de trabajo que no pasa por su IdP. Mantenga las cuentas de propietario y administrador protegidas con contraseñas robustas y únicas y autenticación multifactor, y mantenga reducido el número de administradores.
Miembros con una dirección de correo personal
Un compañero de equipo que fue añadido con una dirección que no está en su dominio verificado, por ejemplo un contratista que usa un @gmail.com personal, no puede usar SSO, porque ese correo no pertenece a su proveedor de identidad. Inician sesión con su contraseña de Zenovay con normalidad.
Este es el comportamiento esperado, no una carencia que haya que sortear. SSO está vinculado a los dominios que verifica, así que cualquiera fuera de esos dominios simplemente no es un usuario de SSO. Si quiere que todos se autentiquen a través de su IdP, asegúrese de que cada miembro sea invitado con un correo en un dominio que haya verificado para SSO.
Cualquiera aún puede elegir SSO manualmente
El botón Continue with SSO en la pantalla de inicio de sesión de auth.zenovay.com siempre está disponible. Un usuario puede seleccionarlo, introducir el dominio de su empresa y autenticarse a través de su IdP, independientemente de la aplicación. La aplicación solo controla si a un miembro de dominio verificado se le requiere pasar por SSO cuando escribe su correo.
Activar la aplicación
Verifique primero su dominio
En Configuración → Seguridad → SSO, añada y verifique el dominio de correo en la sección Verificación de dominio (añade un registro TXT a sus DNS y hace clic en Verificar DNS). La aplicación no tiene efecto hasta que se verifica al menos un dominio.
Confirme que un inicio de sesión de prueba funciona
Use la opción Probar conexión del proveedor, o inicie sesión desde una ventana de incógnito con un correo de dominio verificado, y confirme que regresa al panel. Nunca aplique una conexión SSO que no haya probado con éxito.
Habilite la aplicación
Asegúrese de que el proveedor esté habilitado, luego abra el menú Más del proveedor y seleccione Aplicar SSO, y confirme en el diálogo.
Antes de activar la aplicación, asegúrese de que al menos un propietario pueda iniciar sesión con correo y contraseña como respaldo, de modo que una interrupción del proveedor de identidad nunca pueda bloquear a todo su espacio de trabajo.
Desactivar la aplicación
Si necesita que los miembros usen una contraseña de nuevo (por ejemplo, mientras reconfigura su IdP), abra el menú Más del proveedor en Configuración → Seguridad → SSO y vuelva a desactivar Aplicar SSO. Los miembros de dominio verificado podrán entonces volver a iniciar sesión con una contraseña. La conexión SSO en sí permanece en su lugar, así que puede volver a habilitar la aplicación en cualquier momento.
Nuevos usuarios y SSO
Cuando SSO está aplicado y una persona nueva de su dominio verificado inicia sesión por primera vez, su cuenta se crea automáticamente (aprovisionamiento Just-In-Time). No se añaden a su espacio de trabajo con un rol automáticamente, así que un propietario o administrador aún los añade al equipo y les asigna un rol desde Configuración → Espacio de trabajo → Miembros. Consulte Configuración SAML para más detalles.
Solución de problemas
A un miembro se le pide una contraseña en lugar de ser enviado a SSO
- Confirme que su dominio de correo está verificado en Configuración → Seguridad → SSO (un dominio sin verificar nunca se dirige a SSO).
- Confirme que está usando su correo de empresa, no una dirección personal.
- Recuerde que los propietarios y administradores están intencionadamente exentos y verán la pantalla de contraseña por diseño. Pueden usar Continue with SSO para iniciar sesión a través del IdP.
Un administrador quiere que también se le obligue a pasar por SSO
La aplicación exime deliberadamente a propietarios y administradores como vidrio de emergencia. Si necesita que una cuenta esté sujeta a la aplicación, asígnele el rol de miembro en lugar de administrador, o inicie sesión a través de Continue with SSO manualmente.
Todos quedan bloqueados tras un cambio en el IdP
Un propietario aún puede iniciar sesión con correo y contraseña (la vía de vidrio de emergencia). Inicie sesión como propietario, vaya a Configuración → Seguridad → SSO, corrija o desactive temporalmente la aplicación, y actualice la configuración del proveedor. Luego vuelva a probar y a habilitar.