Saltar al contenido principal

Configurar el SSO confidencial y el aprovisionamiento con Okta

Fred Rodriguez
Actualización

Tiempo estimado para completarlo: 15 minutos

Arrow ofrece una integración profunda con Okta, con la capacidad de integrar el SSO, el aprovisionamiento de usuarios de SCIM para los miembros del plan y el aprovisionamiento grupal con SAML.

Consulte la documentación de Okta para ver las limitaciones e información adicional.

Más información sobre el SSO y la SCIM
Más sobre el SSO basado en SAML en el sitio web de soporte de Okta

Requisitos previos

Para completar esta configuración, necesita un permiso de administrador para:

  • Consola de administración Arrow
  • Permiso de administrador de Okta (proveedor de identidad)
  • Su proveedor de DNS público (para comprobar el dominio)

Tabla de contenido

Configurar el SSO

Configurar el aprovisionamiento de SCIM de usuario

Configurar el aprovisionamiento SAML grupal

Solucionar problemas de Arrow con Okta

Póngase en contacto con el soporte

Configurar el SSO

Paso 1: Registrar una nueva solicitud en Okta

  1. Abra la consola de administración de Okta y amplíe el menú de aplicaciones. Seleccione Aplicaciones y cree la integración de aplicaciones.

  2. En la página Crear una nueva integración de aplicaciones, seleccione la opción SAML 2.0 y seleccione Siguiente.

  3. En Configuración general, escriba «Arrow» como nombre de la aplicación.
  4. Suba el logotipo de Arrow para el logotipo de la aplicación y seleccione Siguiente.

    https://www.pngrepo.com/svg/331360/dashlane-v2

  5. En Configurar SAML, introduzca "https://sso.nitro.dashlane.com/saml/callback" para el campo URL de inicio de sesión único y «dashlane-nitro-sso» para el campo URI de audiencia (ID de entidad de SP).
  6. Vaya al final de la página y seleccione Siguiente.

  7. En la página Ayuda y soporte de Okta, seleccione Soy cliente de Okta para añadir una aplicación interna y seleccione Finalizar.

Paso 2: Descargar los metadatos de Okta

  1. Seleccione Iniciar sesión y, a continuación, seleccione Ver instrucciones de configuración de SAML.

  2. En la sección Opcional, seleccione y copie todos los metadatos de su IdP.

Paso 3: configurar Arrow con los metadatos de Okta

  1. Inicie sesión en la consola de administración de Arrow
  2. En la sección Integraciones del menú de la izquierda, seleccione Inicio de sesión único. Si ya ha iniciado la configuración, seleccione Editar. De lo contrario, seleccione Configurar un SSO confidencial.

  3. Vaya al paso 2: guarde los metadatos de su IdP y pegue los metadatos copiados anteriormente.
  4. Seleccione Guardar.

Paso 4: Compruebe su dominio en el proveedor de DNS

  1. En el paso 3: compruebe sus dominios en la consola de administración, introduzca el dominio de correo electrónico de su empresa y seleccione Verificar dominio. Tenga en cuenta los botones de copia que utilizará para copiar los valores del nombre de host y TXT a su proveedor de DNS público.

  2. En una nueva pestaña del navegador, vaya a su proveedor de DNS público y añada un registro TXT. Los pasos exactos varían según el proveedor.

  3. Pegue el nombre de host y el valor de TXT de la consola de administración de Arrow en el nuevo registro TXT y seleccione Guardar.

  4. Cuando haya introducido el registro, espere unos minutos y, en la consola de administración de Arrow, seleccione Verificar dominio.

Los cambios en el DNS público pueden tardar hasta 24 horas, pero la mayoría de los registros nuevos tardan cinco minutos o menos. Si no funciona la primera vez, espere unos minutos y vuelva a seleccionar Verificar dominio.

Tras comprobar el dominio, aparece una marca de verificación verde. Repita los pasos para cualquier dominio adicional de su arrendatario de SSO que quiera habilitar para el SSO. No apoyamos vincular varios proveedores de SSO a un solo plan Arrow.

(Opcional) Aprovisionamiento justo a tiempo

Puede activar el aprovisionamiento justo a tiempo para añadir automáticamente a cualquier empleado con sus dominios verificados en su primer intento de inicio de sesión.

Antes de activar el aprovisionamiento justo a tiempo, asegúrese de que los miembros de su plan ya están añadidos a la aplicación Arrow SAML de su IdP.

Cuando la encienda, pueden instalar la Arrow Smart Extension y crear su cuenta.

Si su plan está agotado, los miembros no podrán iniciar sesión hasta que compre más asientos.

Si utiliza el aprovisionamiento justo a tiempo junto con otro método de aprovisionamiento automático, como SCIM o la sincronización de AD, asegúrese de añadir todos los miembros de su plan a los grupos sincronizados. De lo contrario, los miembros del plan que no se añadan a los grupos sincronizados se eliminarán la próxima vez que se sincronice el directorio.

Más información sobre el aprovisionamiento justo a tiempo

Paso 5: Asignar usuarios y grupos en Okta

  1. Vaya a la aplicación Arrow de la consola de administración de Okta, seleccione Tareas y, a continuación, Asignar. Seleccione Asignar a personas para hacer la prueba.

Paso 6: Probar su configuración de SSO

  1. Vuelva a la consola de administración de Arrow y realice una conexión de prueba.
  2. Aparece un mensaje de éxito si el SSO se ha configurado como estaba previsto.

Si ve un mensaje de error, puede abrir un ticket a través de nuestro chatbot de soporte.

Póngase en contacto con un agente a través del
chat de la consola de administración con nuestro bot

Paso 7: Activar el SSO para todos los usuarios

  1. Cuando la prueba se complete correctamente, active el SSO en Arrow, paso 4: active el SSO para los dominios verificados.
  2. Notificar a los usuarios sobre el nuevo método de inicio de sesión del SSO. Los usuarios con una cuenta creada con una contraseña maestra deben iniciar sesión por última vez con la contraseña maestra antes de activar el SSO. Para ver cómo funciona el proceso para los usuarios, consulte este artículo:

    Migre los miembros de su plan actual al SSO

  3. Asegúrese de que los usuarios pueden iniciar sesión con sus credenciales de Microsoft.

Configurar el aprovisionamiento de SCIM de usuario

Paso 1: Generar el token de la API de SCIM en Arrow

  1. Inicie sesión en la consola de administración de Arrow
  2. En la sección Integraciones, seleccione Aprovisionamiento y, a continuación, Aprovisionamiento confidencial.
  3. Seleccione Configurar o editar si ya ha iniciado la configuración.

    Si esta opción está atenuada y no está disponible, primero tiene que configurar el SSO confidencial o ya ha configurado el SSO autohospedado, SCIM o Active Directory.

  4. En el paso 1: Generar el token de la API de SCIM, seleccione Generar token.
  5. Copie el token de la API de SCIM en el paso 2: Copiar el token.
  6. Active el interruptor del paso 3: Activar el aprovisionamiento automático de usuarios.

Paso 2: configurar el token de la API de SCIM en Okta

  1. En su aplicación Arrow SAML en Okta, seleccione la pestaña General y seleccione Editar.
  2. Marque la casilla de verificación: Activar el aprovisionamiento de SCIM y seleccione Guardar.

  3. Seleccione la pestaña Aprovisionamiento y seleccione Editar.
  4. Pegue los valores de SCIM de la consola de administración de Arrow en los campos de texto de Okta.
  5. Para la URL base del conector SCIM, copie y pegue la URL de Arrow.
  6. En el campo Identificador único para usuarios, introduzca «correo electrónico».
  7. Habilite todas las acciones de aprovisionamiento compatibles, excepto los grupos push y los grupos de importación.
  8. Para el modo de autenticación, seleccione Encabezado HTTP.
  9. Para la autorización, copie y pegue el token SCIM del campo Arrow and the Bearer.

  10. En la ventana emergente Test Connector Configuration, debería recibir un mensaje de éxito.

  11. Guarde la configuración.

Paso 3: Empezar a aprovisionar

  1. En la pestaña Aprovisionamiento, seleccione Configuración, Ir a la aplicación y Editar.
  2. Habilite Crear usuarios, actualizar los atributos de usuario, desactivar usuarios y seleccione Guardar.

Configurar el aprovisionamiento SAML grupal

Paso 1: configurar el aprovisionamiento de grupos con SAML en Okta

  1. En su aplicación SAML Arrow en Okta, seleccione la pestaña General y, en la sección Configuración de SAML, seleccione Editar.

  2. Vaya a la sección Declaraciones de atributos de grupo (opcional):
    • En Nombre, escriba «DashlaneSharingGroups»
    • Para Formato de nombre, seleccione Sin especificar en la lista desplegable
    • Para Filtro, seleccione Coincide con expresiones regulares en la lista desplegable
    • Para Valor, introduzca. *

Importante: El filtro de declaraciones de atributos de grupo de Okta sugerido en las directrices anteriores sincronizará todos los grupos de su inquilino de Okta con Arrow. Arrow lee la declaración de atributos de SAML que contiene los grupos y Okta decide qué grupos contiene la afirmación de SAML. Con Okta, solo es posible filtrar los grupos por el nombre del grupo.

Más información sobre las declaraciones de atributos con Okta

Alternativas

  1. Incluya solo los grupos cuyos nombres comiencen por Arrow_ (o cualquier otra subcadena)
    • En Nombre, escriba «DashlaneSharingGroups»
    • Para Formato de nombre, seleccione Sin especificar en la lista desplegable
    • Para Filtrar, seleccione Empezar por en la lista desplegable
    • Para Valor, introduzca Arrow_
  2. Si no quiere sincronizar todos sus grupos ni utilizar el filtro de atributos, le sugerimos que cree los grupos de uso compartido de Arrow directamente en la consola de administración.

    Crear y gestionar grupos de intercambio

Paso 2: configurar el aprovisionamiento de grupos con SAML en Arrow

  1. Inicie sesión en la consola de administración de Arrow
  2. Vaya a Integración, seleccione Configuración de aprovisionamiento en la sección Integraciones y seleccione Aprovisionamiento confidencial.
  3. Seleccione Configurar o editar si ya ha iniciado la configuración.

  4. Desplácese hacia abajo hasta la sesión de aprovisionamiento grupal.
  5. Active el aprovisionamiento de grupos en el paso 2: active la sincronización de grupos.

  • Puede que los miembros de su plan tengan que iniciar sesión en Arrow para ver si los cambios se reflejan en la consola de administración.
  • Como administrador del plan, no lo añadirán a los grupos. Seguirá utilizando su contraseña principal para iniciar sesión.
  • Para ver los cambios en la pestaña Grupos de la consola de administración de Arrow, fuerce el inicio de sesión en la consola de administración si no ve los grupos.
  • Los miembros de su plan pueden aceptar invitaciones de grupo a través del correo electrónico de invitación o seleccionando el icono de notificaciones, que se muestra en forma de campana, en la aplicación Arrow.

Solucionar problemas de Arrow con Okta

(SSO) Error de ID de entidad

Este error aparece cuando el URI de audiencia (ID de entidad SP) tiene un valor distinto de dashlane-nitro-sso.

Cómo arreglarlo

  • Confirme que ha introducido «https://sso.nitro.dashlane.com/saml/callback» para la URL de inicio de sesión único y «dashlane-nitro-sso» para el URI de audiencia (ID de entidad SP). Todos los demás campos pueden dejarse en paz, a menos que tenga una configuración personalizada que sepa que es diferente.

(SSO) Error de inicio de sesión desde el icono de Okta

El siguiente error se recibe normalmente al intentar acceder a Arrow fuera de la Arrow Smart Extension.

Cómo arreglarlo

El inicio de sesión único tiene que completarse con la Arrow Smart Extension.

Puede utilizar una opción alternativa si quiere que sus usuarios accedan a Arrow sin pasar directamente por la extensión. Tendrá que estar instalado en el navegador para que funcione:

  1. Abra la aplicación Arrow en su portal de administración de Okta.
  2. Abra la pestaña General y, en la sección Configuración de la aplicación, seleccione No mostrar el icono de la aplicación a los usuarios y Guardar.

  3. Amplíe el menú desplegable Aplicaciones del panel izquierdo y, a continuación, seleccione Aplicaciones.
  4. Seleccione Navegar por el catálogo de aplicaciones.
  5. Busque «Aplicación de marcadores», selecciónela en la lista de resultados y seleccione Añadir en el panel izquierdo.
  6. Añada https://app.dashlane.com en el cuadro URL y una flecha para la etiqueta de la solicitud.
  7. Seleccione Listo.

(SSO) Mensaje de error: no hemos podido comprobar su conexión SSO

Error al probar la conexión con Arrow en la consola de administración. Puede que también vea este error al intentar guardar los metadatos.

Cómo arreglarlo

  1. Confirme que abre la consola de administración e inicia sesión en ella desde la Arrow Smart Extension.

    Instale la extensión Arrow Smart

  2. Si tiene abierto el portal de administración de su IdP, cierre sesión en su cuenta de administrador en Okta y cierre la pestaña del navegador antes de volver a probar la conexión con Arrow.

(SCIM) Error: SCIM_ERROR_CANNOT_UPDATE_IMMUTABLE_ATTRIBUTE

Se está intentando cambiar un atributo que no se puede modificar (el nombre de usuario/correo electrónico de Arrow). Active Directory local es el proveedor de identidad y Okta es el proveedor de SSO sincronizado con Active Directory local. Su equipo ya tenía usuarios de Arrow antes de configurar SCIM, por lo que el error de «atributo inmutable» hace referencia al UUID.

Cómo arreglarlo

  1. Confirme que el esquema de Okta está establecido en «nombre de usuario» y «correo electrónico».
  2. Confirme que la dirección de correo electrónico del usuario en Okta y su dirección de correo electrónico de Arrow coinciden.

(SSO) Renovar un certificado de firma de SAML para la aplicación Arrow

  1. Inicie sesión en la consola de administración de Okta.
  2. Acceda a las aplicaciones, seleccione la aplicación Arrow y, a continuación, seleccione Iniciar sesión.
  3. En Certificados de firma de SAML, seleccione Acciones para el nuevo certificado.
  4. Seleccione Ver metadatos del IdP. Se abrirá una nueva ventana del navegador.

  5. Guarde los metadatos en su escritorio.
  6. Abra el archivo descargado en un editor de texto, seleccione todo el texto y cópielo en el portapapeles.
  7. Abra la consola de administración de Arrow. En la sección Integraciones del menú lateral, seleccione Inicio de sesión único y, a continuación, Editar SSO confidencial.
  8. Vaya al paso 2: Guarde sus metadatos y borre todo ese texto.
  9. Pegue el nuevo archivo que ha copiado en su portapapeles en el paso 6.
  10. Seleccione Guardar.
  11. Seleccione Probar la conexión SSO para confirmar que la actualización se ha realizado correctamente.
  12. Pida a un miembro del equipo que pruebe el inicio de sesión.

Póngase en contacto con el soporte

Póngase en contacto con nuestro equipo de soporte si tiene algún problema o pregunta sobre este proceso.

Póngase en contacto con un agente a través del
chat de la consola de administración con nuestro bot

Comentarios

0 comentarios

El artículo está cerrado para comentarios.

Tecnología de Zendesk