Uso de SSO y configuración de SAML con Payhawk

Prev Next

El Single Sign-On (SSO) es un método de autenticación que permite a los usuarios identificarse de forma segura en diversas aplicaciones y sitios web utilizando un único conjunto de credenciales.

Security Assertion Markup Language (SAML) facilita la autenticación y autorización seguras del intercambio de datos. SAML es el estándar con el que los proveedores de servicios (SP) y los proveedores de identidad (IdP) se comunican entre sí para verificar las credenciales.

  • Si necesitas cualquier tipo de ayuda durante la configuración inicial del SSO, ponte en contacto con tu director de implementación.

  • Para cualquier cambio posterior de dominios (incluido el añadido de nuevos dominios a tu cuenta), ponte en contacto con el servicio de asistencia de Payhawk en support@payhawk.com.

Resumen de alto nivel del proceso de integración SAML

En un nivel alto, para integrar Payhawk con tu IdP usando SAML, tienes que habilitar el estándar de la siguiente manera:

  1. Crea una aplicación SAML en tu IdP que se utilizará con Payhawk.

  2. Asigna la aplicación SAML a tus usuarios y grupos.

  3. Ponte en contacto con tu director de implementación de Payhawk y facilítale los siguientes datos:

    • El archivo de metadatos XML de tu IdP de SAML que se descargó durante la creación de la aplicación SAML.

    • El dominio o dominios que se utilizarán para la autenticación.

    • El mapeo de atributos que estás usando para el reconocimiento de la cuenta del usuario. Normalmente, el atributo representa la información del usuario que se envía desde el sistema SSO al sistema Payhawk, como la dirección de correo electrónico, el nombre o el rol del usuario.

      Sección de atributos de usuario que muestra los campos de correo electrónico para el proveedor de servicios y JumpCloud.

  4. Cuando Payhawk haya terminado la configuración, lleva a cabo una prueba de autenticación.

Aunque en las siguientes secciones se indican los pasos que hay que seguir para configurar Okta, Azure y Google (algunos de los IdP más comunes), puedes aplicar el mismo proceso a cualquier otro IdP de tu elección que admita SAML v2.

Una vez habilitado, SAML no admite la autenticación iniciada por el proveedor de identidad. Por lo tanto, si aún no se han autenticado, tus usuarios tendrán que iniciar sesión en Payhawk y escribir su correo electrónico en la bandeja de entrada.

Configuración de SAML en Okta: Identidad

Para crear una aplicación SAML en el motor de identidad Okta y habilitar SSO para tus usuarios, lleva a cabo los siguientes pasos:

  1. Ve a la consola de desarrollador de Okta e inicia sesión como administrador.

    Para obtener más información sobre la consola, consulta Panel de control y consola de administración rediseñados de Okta.

  2. En el menú de navegación, expande Applications y selecciona Applications.

  3. Haz clic en Crear integración con aplicaciones.

  4. En el menú Create a new app integration, selecciona SAML 2.0 como método de inicio de sesión.

  5. Haz clic en Next.

    Para obtener más información, consulta la sección Prepara tu integración de la guía Crear una integración de inicio de sesión único (SSO) en el sitio web para desarrolladores de Okta.

The Create a new app integration dialog in Okta Identity Engine with the SAML 2.0 option checked.

Ahora tienes que configurar la integración SAML para tu aplicación Okta:

  1. En la página Create SAML Integration de general Settings, escribe Payhawk como nombre de tu aplicación.

  2. (Opcional) Carga un logotipo y elige los ajustes de visibilidad para tu aplicación.

  3. Haz clic en Next.

  4. En GENERAL, para la URL de inicio de sesión único, escribe: https://id.payhawk.com/saml2/idpresponse

  5. En Audience URI (SP Entity ID), escribe: urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

  6. Deja vacío Default RelayState.

  7. En ATTRIBUTE STATEMENTS, añade una declaración con la siguiente información:

    • En Name, escribe el nombre del atributo SAML correo electrónico.

    • En Value, escribe usuario.correo electrónico.

  8. Deja los valores predeterminados del resto de ajustes de la página o cámbialos según tus preferencias.

  9. Haz clic en Next > Finish.

  10. Una vez configurada la aplicación SAML, asigna el acceso a las diferentes personas y grupos.

  11. Descarga los metadatos del IdP en forma de archivo XML y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.

Configuración de SAML en Microsoft Entra (Azure Active Directory)

Para crear una aplicación SAML en Microsoft Entra y habilitar SSO para tus usuarios, sigue estos pasos:

  1. Abre entra.microsoft.com

  2. Ve a Aplicaciones empresariales.

  3. Haz clic en Nueva aplicación > Crea tu propia aplicación.

  4. ¿Cómo se llama tu aplicación? Escribe: Payhawk

  5. Selecciona: Integrar cualquier otra aplicación que no encuentres en la galería (fuera de la galería)

  6. En la página de la aplicación, haz clic en Introducción > Inicio de sesión único > SAML

  7. En el panel de configuración SAML básica, escribe la siguiente información para configurar la aplicación Payhawk:

    • En Identificador (Id entidad), escribe: urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

    • En URL de respuesta, escribe: https://id.payhawk.com/saml2/idpresponse

    • Para Asignación de atributo de correo electrónico, introduce [la dirección de correo electrónico que utilizaste para invitar al usuario a Payhawk] → correo electrónico.

    • Deja vacío todo lo demás que sea opcional.

  8. Como Identificador único de usuario (UPN), utiliza user.userprincipalname o user.email, que coinciden con la dirección de correo electrónico que utilizaste para invitar al usuario a Payhawk, ya que los usuarios utilizan sus UPN para iniciar sesión.

  9. Descarga el archivo XML de metadatos de la federación y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.

Configuración de SAML en Google Workspace (GSuite)

Para crear una aplicación SAML en Google Workspace y habilitar SSO para tus usuarios, sigue estos pasos:

  1. Abre Google Workspace como administrador.

  2. Desplázate a la página Aplicaciones > Aplicaciones web y móviles .

  3. Crea una nueva aplicación SAML.

  4. Selecciona Payhawk para el nombre de la aplicación.

  5. Descarga el archivo de metadatos.

  6. Cumplimenta los campos de la siguiente manera:

    • En URL ACS, escribe: https://id.payhawk.com/saml2/idpresponse

    • En Id de entidad, escribe: urn:amazon:cognito:sp:eu-central-1_mcW4Iwl7p

    • Para el formato Id de nombre, escribe CORREO ELECTRÓNICO.

    • En Id de nombre, escribe Información básica > Correo electrónico principal.

  7. Haz clic en Continuar.

  8. En Asignación de atributos, añade Correo electrónico principal > correo electrónico.

  9. Haz clic en Finalizar.

  10. En Aplicaciones web y móviles, selecciona tu nueva aplicación Payhawk y habilítala para todos los usuarios que deban utilizarla.

  11. Descarga los metadatos del IdP en forma de archivo XML y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.

Configurar SAML en JumpCloud

Payhawk admite JumpCloud como proveedor de identidad (IdP) para el inicio de sesión único (SSO) mediante SAML. A continuación encontrarás una guía detallada sobre cómo configurar SSO con SAML en JumpCloud, junto con algunas consideraciones sobre el comportamiento de inicio de sesión y la transición desde otros IdP.

Para crear una aplicación SAML en JumpCloud y habilitar el SSO para tus usuarios, sigue estos pasos:

  1. Abre la consola de administración de JumpCloud y crea una nueva aplicación SAML llamada Payhawk.

  2. Configura los siguientes parámetros clave:

    • ID de entidad del IdP y ID de entidad del SP: utiliza el ID de entidad del SP proporcionado por Payhawk (por ejemplo, urn:amazon:cognito:sp:<region>-<identifier>).

    • URL de ACS: introduce la URL del Servicio de Consumo de Aserciones (ACS) proporcionada por Payhawk.

    • ID de nombre de sujeto SAML: establécelo en el email.

    • Formato del ID de nombre del sujeto SAML: selecciona emailAddress.

    • Declarar endpoint de redirección: habilita o marca esta opción.

    • URL del IdP: especifica la URL de SSO del IdP de JumpCloud.

    • Asignación de atributos: asigna Service Provided Attribute Name = email a JumpCloud

  3. Descarga los metadatos del IdP como archivo XML:

    • Exporta el archivo XML de metadatos de esta aplicación SAML.

  4. Comparte los detalles de configuración con Payhawk:

    • Proporciona al equipo de soporte de Payhawk el XML de metadatos del IdP, tus dominios de autenticación y los detalles de la asignación de atributos.

  5. Prueba la autenticación:

    • Una vez que ambas partes hayan completado la configuración, realiza una prueba introduciendo tu correo electrónico corporativo en la página de inicio de sesión de Payhawk para verificar la redirección mediante SSO.

Migración de Google a JumpCloud

Si cambias de SSO de Google a JumpCloud, no es necesario realizar ninguna migración en Payhawk, siempre que el atributo de correo electrónico que devuelve JumpCloud coincida con el correo corporativo utilizado anteriormente en Google SSO.

  • Consideración clave: Payhawk identifica a los usuarios por su correo electrónico. Para evitar cuentas duplicadas o la pérdida de acceso a tarjetas, gastos o permisos, asegúrate de que el atributo de correo electrónico de JumpCloud coincida con el correo electrónico existente en Payhawk.

  • Si el correo electrónico es diferente, se creará una nueva cuenta de usuario en Payhawk y los datos anteriores no se transferirán.

Configuración de SAML en OneLogin

Para crear una aplicación SAML en OneLogin y habilitar SSO para tus usuarios, sigue estos pasos:

  1. Inicia sesión como administrador en tu inquilino OneLogin.

  2. Desplázate a Applications > Add App y busca Payhawk.

  3. Deja los ajustes tal como aparecen en la pantalla inicial.

  4. Asegúrate de que en Configuration el dominio sea: payhawk.

  5. Asegúrate de que en Parameters, el mapeo de atributos es: correo electrónico a Correo electrónico y que está marcada la aserción Included in SAML.

  6. Guarda la aplicación y habilítala para todos los usuarios que deban utilizarla.

  7. Descarga los metadatos IdP en forma de archivo XML desde la parte superior derecha (More Actions > SAML Metadata) y envíalo al director de implementación (IM), quien lo aplicará en Payhawk.

Comportamiento tras la configuración

Una vez que el SSO esté configurado correctamente, los usuarios deberán ir a la página de inicio de sesión de Payhawk e introducir su dirección de correo electrónico corporativa. A continuación, se les redirigirá al proveedor de identidad (IdP) configurado por la organización para autenticarse. Tras autenticarse correctamente, se les redirigirá de nuevo a Payhawk y se les concederá acceso. Esto garantiza una experiencia de inicio de sesión único fluida y segura.

Consejos para la resolución de problemas

  • Coincidencia del atributo de correo electrónico: confirma siempre que el atributo de correo electrónico del usuario proporcionado por el proveedor de identidad (IdP) coincida con la dirección de correo electrónico asociada a su cuenta de Payhawk para evitar problemas de inicio de sesión.

  • Prueba de autenticación: prueba regularmente el proceso de inicio de sesión único después de realizar actualizaciones en la configuración para asegurarte de que la autenticación a través del proveedor de identidad configurado siga funcionando correctamente y que los usuarios puedan acceder a Payhawk sin interrupciones.

Recursos útiles