Integre Arrow con su proveedor de identidad (IdP) para el SSO y la SCIM

El inicio de sesión único, conocido como SSO, es un esquema de autenticación que permite a sus empleados iniciar sesión en todo el software de su organización con un solo inicio de sesión.

Cuando se integra con Arrow, el SSO permite a los miembros de su plan Business u Omnix iniciar sesión en Arrow con su inicio de sesión único en lugar de con una contraseña maestra. Los miembros pueden iniciar sesión en Arrow con el SSO en la web, el móvil y la aplicación Arrow para macOS. Con la extensión Arrow para Safari, el SSO autohospedado no está disponible en este momento debido a las limitaciones de Apple, pero puede usarlo en otro navegador, como Chrome, Firefox o Edge.

El sistema de gestión de identidades entre dominios, conocido como SCIM, le permite utilizar el estado de cada miembro en su proveedor de identidad para aprovisionar y desaprovisionar a los miembros.

Cuando se integra con Arrow, SCIM facilita añadir y eliminar miembros o miembros de Arrow.

Muchas organizaciones utilizan un proveedor de identidad para gestionar y autenticar el acceso de los miembros a las aplicaciones y el software con el SSO y el SCIM. Los proveedores de identidad más populares incluyen Azure, Okta y Google Workspace.

Puede utilizar muchos proveedores de identidad SAML 2.0, incluidos Azure, Okta y Google Workspace.

Si bien muchos gestores de contraseñas no estarían seguros con el SSO, Arrow utiliza un servicio de cifrado para permitir el SSO y, al mismo tiempo, conserva nuestra arquitectura de conocimiento cero. De esa forma, los datos almacenados en Arrow permanecen cifrados. Ni Arrow ni su proveedor de identidad tienen su clave de cifrado, por lo que, aunque alguno de los dos sufriera una infracción, nadie podría acceder a sus datos.

Libro blanco: Los principios y la arquitectura de seguridad de Arrow

Sus datos de inicio de sesión e información personal siempre están «cifrados» en Arrow. El cifrado codifica sus datos para que nadie pueda leerlos. Se necesita una clave de cifrado única para descifrar los datos cifrados y acceder a ellos.

Un «servicio de cifrado» es un servicio que proporciona esa clave de cifrado única. Sin el SSO, su contraseña maestra actúa como clave de cifrado porque solo usted la sabe. Con el SSO, necesitamos una forma de verificar su identidad con su proveedor de identidad sin una contraseña maestra. Para eso está el servicio de cifrado.

Exigimos a cualquiera que configure el SSO o el SCIM con Arrow que utilice un servicio de cifrado. Es una capa esencial de nuestra arquitectura de conocimiento cero que protege sus datos en caso de una infracción.

Ofrecemos dos opciones para su servicio de cifrado: el SSO confidencial de Arrow y el SSO autohospedado.

El servicio de cifrado puede beneficiar a su organización más que las soluciones de la competencia. El cifrado de extremo a extremo y las claves de uso compartido cifradas requieren un nivel de seguridad necesario que SAML y SCIM no ofrecen de fábrica. Puede utilizar el servicio de cifrado para integrar Arrow sin problemas con estos protocolos y, al mismo tiempo, mantener las claves de cifrado seguras y una experiencia intuitiva para los miembros y administradores del plan.

Este gráfico explica cómo el servicio de cifrado se ajusta a las arquitecturas SSO y SCIM:

Como el conector SSO de Arrow necesita comunicarse con su proveedor de identidad para comprobar su inicio de sesión, tiene que estar conectado a Internet para iniciar sesión en su cuenta Arrow con el SSO. Sin embargo, los miembros del SSO con el desbloqueo biométrico activado en sus dispositivos móviles pueden acceder a su bóveda mediante datos biométricos.

Aprenda a activar el desbloqueo biométrico

Si un empleado creó una cuenta Arrow antes de unirse a su plan y antes de que usted verificara el dominio de correo electrónico de su organización, verá un mensaje en la pestaña Usuarios de la consola de administración. Este mensaje le da la opción de descargar un CSV de los empleados que:

• Tiene cuentas que utilizan el dominio de correo electrónico verificado de su organización y ha iniciado sesión en Arrow en los últimos 90 días
• Aún no me han invitado a unirse a su plan

Sí, Arrow SSO es totalmente compatible con VDI.

Si utiliza Azure como su IdP, estos pasos le ayudarán a renovar su certificado.

Si utiliza un IdP diferente, estos pasos pueden seguir siendo de orientación o puede ponerse en contacto con el servicio de asistencia.

Póngase en contacto con un agente a través de la consola de administración

Si lo prefiere, vea el vídeo de Azure con estos pasos

1. En una nueva pestaña del navegador, abra Azure Portal y busque o seleccione Aplicaciones empresariales.
2. Seleccione su aplicación Arrow de la lista de aplicaciones.
3. Seleccione Inicio de sesión único en el menú.
4. Seleccione Editar los certificados SAML y, a continuación, seleccione Nuevo certificado. Aparece un nuevo certificado en la lista con el estado.
5. Seleccione Guardar. Aparece una notificación de que su certificado se ha actualizado y el estado del nuevo certificado se actualizará a «Inactivo».
6. Seleccione el menú de 3 puntos del nuevo certificado «Inactivo», seleccione Activar el certificado y, a continuación, seleccione Sí para confirmar.
7. Seleccione el menú de 3 puntos del certificado «Inactivo», seleccione Eliminar certificado y, a continuación, seleccione Sí para confirmar. Aparece una notificación de que su certificado ha sido eliminado.
8. Vuelva a la página de inicio de sesión único y cierre las ventanas emergentes. Vaya a Certificados SAML y seleccione Descargar para ver el XML de metadatos de la federación.
9. Abra el archivo descargado en un editor de texto, seleccione todo el texto y cópielo en el portapapeles.
10. Seleccione el icono de la flecha D en la barra de herramientas de su navegador e introduzca su contraseña maestra de administrador si se le pide. En la ventana emergente de la extensión, seleccione Más y, a continuación, abra la consola de administración.
11. En la sección Integraciones del menú lateral, seleccione Inicio de sesión único y, a continuación, Editar SSO confidencial o Editar SSO autohospedado, según su configuración.
12. Seleccione Editar para la configuración del SSO.
13. Opcional: copie y guarde el texto del cuadro de texto Añadir metadatos del proveedor de identidad para su registro.
14. A continuación, borre todo ese texto y pegue el texto que copió antes.
15. Seleccione Guardar cambios.

    Si los metadatos contienen más de un certificado, la consola de administración de Arrow muestra un mensaje de error. Si aparece un error al guardar los nuevos metadatos, compruebe que ha eliminado el certificado inactivo en el paso 7.

16. Seleccione Probar la conexión SSO para confirmar que la actualización se ha realizado correctamente.
17. Pida a un miembro del equipo que pruebe el inicio de sesión.

Vea nuestro vídeo que muestra cómo renovar un certificado en Azure.

Si recibe este error, siga estos pasos de solución de problemas:

1. Asegúrese de que sus miembros y grupos están asignados a la aplicación Arrow SAML que creó en su IdP durante la configuración.
2. Asegúrese de que el perfil de su navegador ha iniciado sesión con la misma dirección de correo electrónico. Comprobar esto es importante para los administradores que utilizan varios perfiles en los navegadores Google Chrome.
3. Asegúrese de que su ID de entidad y las URL de ACS coincidan con las de su consola de administración y de que al ID de entidad no le falta la «/» al final.
4. Asegúrese de que el miembro inicia sesión con la dirección de correo electrónico que aparece en la consola de administración.