El Single Sign-On (SSO) es un método de autenticación que permite a los usuarios identificarse de forma segura en diversas aplicaciones y sitios web utilizando un único conjunto de credenciales.
Security Assertion Markup Language (SAML) facilita la autenticación y autorización seguras del intercambio de datos. SAML es el estándar con el que los proveedores de servicios (SP) y los proveedores de identidad (IdP) se comunican entre sí para verificar las credenciales.
Si necesitas cualquier tipo de ayuda durante la configuración inicial del SSO, ponte en contacto con tu director de implementación.
Para cualquier cambio posterior de dominios (incluido el añadido de nuevos dominios a tu cuenta), ponte en contacto con el servicio de asistencia de Payhawk en support@payhawk.com.
Resumen de alto nivel del proceso de integración SAML
En un nivel alto, para integrar Payhawk con tu IdP usando SAML, tienes que habilitar el estándar de la siguiente manera:
Crea una aplicación SAML en tu IdP que se utilizará con Payhawk.
Asigna la aplicación SAML a tus usuarios y grupos.
Ponte en contacto con tu director de implementación de Payhawk y facilítale los siguientes datos:
El archivo de metadatos XML de tu IdP de SAML que se descargó durante la creación de la aplicación SAML.
El dominio o dominios que se utilizarán para la autenticación.
El mapeo de atributos, por lo general la dirección de correo electrónico al correo electrónico.
Cuando Payhawk haya terminado la configuración, lleva a cabo una prueba de autenticación.
Aunque en las siguientes secciones se indican los pasos que hay que seguir para configurar Okta, Azure y Google (algunos de los IdP más comunes), puedes aplicar el mismo proceso a cualquier otro IdP de tu elección que admita SAML v2.
Una vez habilitado, SAML no admite la autenticación iniciada por el proveedor de identidad. Por lo tanto, si aún no se han autenticado, tus usuarios tendrán que iniciar sesión en Payhawk y escribir su correo electrónico en la bandeja de entrada.
Configuración de SAML en Okta: Identidad
Para crear una aplicación SAML en el motor de identidad Okta y habilitar SSO para tus usuarios, lleva a cabo los siguientes pasos:
Ve a la consola de desarrollador de Okta e inicia sesión como administrador.
Para obtener más información sobre la consola, consulta Panel de control y consola de administración rediseñados de Okta.
En el menú de navegación, expande Applications y selecciona Applications.
Haz clic en Crear integración con aplicaciones.
En el menú Create a new app integration, selecciona SAML 2.0 como método de inicio de sesión.
Haz clic en Next.
Para obtener más información, consulta la sección Prepara tu integración de la guía Crear una integración de inicio de sesión único (SSO) en el sitio web para desarrolladores de Okta.
Ahora tienes que configurar la integración SAML para tu aplicación Okta:
En la página Create SAML Integration de general Settings, escribe Payhawk como nombre de tu aplicación.
(Opcional) Carga un logotipo y elige los ajustes de visibilidad para tu aplicación.
Haz clic en Next.
En GENERAL, para la URL de inicio de sesión único, escribe:
https://id.payhawk.com/saml2/idpresponseEn Audience URI (SP Entity ID), escribe:
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7pDeja vacío Default RelayState.
En ATTRIBUTE STATEMENTS, añade una declaración con la siguiente información:
En Name, escribe el nombre del atributo SAML correo electrónico.
En Value, escribe usuario.correo electrónico.
Deja los valores predeterminados del resto de ajustes de la página o cámbialos según tus preferencias.
Haz clic en Next > Finish.
Una vez configurada la aplicación SAML, asigna el acceso a las diferentes personas y grupos.
Descarga los metadatos del IdP en forma de archivo XML y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.
Configuración de SAML en Microsoft Entra (Azure Active Directory)
Para crear una aplicación SAML en Microsoft Entra y habilitar SSO para tus usuarios, sigue estos pasos:
Abre entra.microsoft.com
Haz clic en Nueva aplicación > Crea tu propia aplicación.
¿Cómo se llama tu aplicación? Escribe: Payhawk
Selecciona: Integrar cualquier otra aplicación que no encuentres en la galería (fuera de la galería)
En la página de la aplicación, haz clic en Introducción > Inicio de sesión único > SAML
En el panel de configuración SAML básica, escribe la siguiente información para configurar la aplicación Payhawk:
En Identificador (Id entidad), escribe:
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
En URL de respuesta, escribe:
https://id.payhawk.com/saml2/idpresponse
En Asignación de atributos, escribe [atributo de correo electrónico de tu sistema] → correo electrónico.
Deja vacío todo lo demás que sea opcional.
Como identificador único de usuario (UPN), utiliza usuario.apellidousuario porque los usuarios utilizan sus UPN para iniciar sesión.
Descarga el archivo XML de metadatos de la federación y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.
Configuración de SAML en Google Workspace (GSuite)
Para crear una aplicación SAML en Google Workspace y habilitar SSO para tus usuarios, sigue estos pasos:
Abre Google Workspace como administrador.
Desplázate a la página Aplicaciones > Aplicaciones web y móviles .
Crea una nueva aplicación SAML.
Selecciona Payhawk para el nombre de la aplicación.
Descarga el archivo de metadatos.
Cumplimenta los campos de la siguiente manera:
En URL ACS, escribe:
https://id.payhawk.com/saml2/idpresponse
En Id de entidad, escribe:
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p
Para el formato Id de nombre, escribe CORREO ELECTRÓNICO.
En Id de nombre, escribe Información básica > Correo electrónico principal.
Haz clic en Continuar.
En Asignación de atributos, añade Correo electrónico principal > correo electrónico.
Haz clic en Finalizar.
En Aplicaciones web y móviles, selecciona tu nueva aplicación Payhawk y habilítala para todos los usuarios que deban utilizarla.
Descarga los metadatos del IdP en forma de archivo XML y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.
Configuración de SAML en JumpCloud
Para crear una aplicación SAML en JumpCloud y habilitar SSO para tus usuarios, sigue estos pasos:
Abre la consola de administración JumpCloud y crea una nueva aplicación SAML.
Escribe Payhawk como nombre de la aplicación.
En la página de configuración de la aplicación, rellena los siguientes campos. Cuando hayas terminado, haz clic en Finish.
En Idp Entity ID y SP Entity ID, escribe:
urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7pEn URL ACS, escribe:
https://id.payhawk.com/saml2/idpresponseEn SAML Subject NameID, escribe correo electrónico.
En SAML Subject NameID Format, escribe Dirección correo electrónico.
En Declare Redirect Endpoint, indica Checked.
En IDP URL, escribe:
https://sso.jumpcloud.com/saml2/payhawkEn Attributes, escribe lo siguiente:
En Service Provided Attribute Name, escribe correo electrónico.
En JumpCloud Attribute Name, escribe correo electrónico.
Descarga los metadatos del IdP en forma de archivo XML y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.
Configuración de SAML en OneLogin
Para crear una aplicación SAML en OneLogin y habilitar SSO para tus usuarios, sigue estos pasos:
Inicia sesión como administrador en tu inquilino OneLogin.
Desplázate a Applications > Add App y busca Payhawk.
Deja los ajustes tal como aparecen en la pantalla inicial.
Asegúrate de que en Configuration el dominio sea: payhawk.
Asegúrate de que en Parameters, el mapeo de atributos es: correo electrónico a Correo electrónico y que está marcada la aserción Included in SAML.
Guarda la aplicación y habilítala para todos los usuarios que deban utilizarla.
Descarga los metadatos IdP en forma de archivo XML desde la parte superior derecha (More Actions > SAML Metadata) y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.