Autenticación mediante inicio de sesión único (SSO)

  • Actualizado
  • Actualizado
Avatar
Written by Charissa F.
  • Actualizado
Requiere una de las siguientes licencias:

Importante

Si configura SSO utilizando la experiencia SAML que estaba disponible antes del 20 de noviembre de 2024, debe migrar a la nueva experiencia SSO antes del 7 de noviembre de 2025 para evitar interrupciones en el inicio de sesión.

Autenticación multifactor (MFA) es obligatorio para todos los usuarios con acceso elevado. Para otros usuarios, puede configurar el inicio de sesión único (SSO) para que inicien sesión con credenciales corporativas en lugar de contraseñas separadas de Samsara.

SSO centraliza la gestión de inicio de sesión a través de su proveedor de identidad (IdP), reduciendo los riesgos de seguridad. Samsara admite la autenticación de Google y proveedores externos como Okta o Microsoft Entra.

Para habilitar SSO, cree configuraciones tanto para conductores como para administradores. Si planea cubrir ambos grupos, configure una aplicación SAML separada para cada uno.

Configurar SSO para conductores

Si desea que sus conductores utilicen SSO para iniciar sesión en la aplicación Samsara Driver, configure una aplicación SAML independiente en su IdP utilizando el siguiente flujo de trabajo de configuración:

  1. Verifique su dominio para una autenticación segura mediante SSO.

    Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.

  2. Seleccione el ícono de Configuración (gear icon) en la parte inferior del menú de su Flota para ver la configuración del panel.

  3. En Organización, seleccione Inicio de sesión único.

  4. En la sección de Inicio de sesión único (SSO) para el inicio de sesión de conductores, haga clic en Agregar.

  5. Haga clic en Copiar junto a la URL de metadatos de Samsara y compártala con su administrador de IdP.

    Si su IdP no acepta la URL de metadatos, expanda los detalles para extraer el identificador de entidad del proveedor de servicios, la URL de Post-back/ACS y el Atributo SAML para el nombre de usuario del conductor y para definir la configuración de SSO en su IdP.

    • Nombre: usuario_del_conductor

    • Namespace: https://cloud.samsara.com/saml/attributes

    • Atributo de origen

    Esta información también se puede utilizar para definir la configuración de SSO con su IdP.

  6. Proporcione la URL de los metadatos o cargue un archivo de metadatos desde su IdP.

    Nota

    El certificado x.509 incluido en los metadatos de su IdP expirará. Para evitar interrupciones en el acceso, renueve el certificado en su IdP y actualice los metadatos de Samsara antes de que expire. Para obtener más información, consulte Renovar un certificado X.509.

  7. Seleccione Guardar sus cambios al terminar.

Configurar SSO para administradores de Samsara

Si desea que sus administradores utilicen SSO para iniciar sesión en el panel de Samsara, configure una aplicación SAML separada en su IdP utilizando el siguiente flujo de trabajo:

  1. Verifique su dominio para una autenticación segura mediante SSO.

    Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.

  2. Seleccione el ícono de Configuración (gear icon) en la parte inferior del menú de su Flota para ver la configuración del panel.

  3. En Organización, seleccione Inicio de sesión único.

  4. En la sección de Inicio de sesión único (SSO) para inicio de sesión de usuarios, haga clic en Actualizar.

  5. Haga clic en Copiar junto a la URL de metadatos de Samsara para registrar la URL para su uso por parte de su proveedor de identidad. Envíe esa URL al administrador de su IdP.

    Si su IdP no acepta la URL de metadatos, puede expandir los detalles para extraer el identificador de emtidad del proveedor de servicios, la URL de Post-back/ACS y los Atributos SAML para la identificación del usuario y para definir la configuración de SSO en su IdP.

  6. Extraiga los metadatos del IdP.

    Puede proporcionar una URL de metadatos o puede actualizar un archivo de metadatos proporcionado por el IdP.

  7. Seleccione Guardar sus cambios al terminar.

Establecer la configuración del tipo de autenticación para usuarios

Si los usuarios aún están utilizando la autenticación básica, necesitará convertir sus cuentas para habilitar el SSO. Puede hacer esto ya sea a través de una URL directa (explicada más adelante) o utilizando la API para actualizar los tipos de autenticación de usuario de manera programática.

Convierta a los usuarios existentes que inician sesión utilizando autenticación básica para usar SSO utilizando uno de los siguientes métodos:

  • Inicio de sesión directo: Haga que los usuarios inicien sesión en el IdP o utilicen la URL directa de SSO de Samsara.

    • https://cloud.samsara.com/signin/<orgid>

    • https://cloud.eu.samsara.com/signin/<orgid>

    Donde <orgid> es el ID único para su organización. Este inicio de sesión convertirá el método de autenticación de un usuario de autenticación básica a inicio de sesión único.

    Después de que el usuario inicie sesión, la cuenta se convierte automáticamente para usar SSO en futuros intentos de autenticación.

  • API de Samsara: Use la API de Samsara para actualizar el tipo de autenticación de usuario de Básica a SAML. Consulte la documentación de la API para conocer los puntos de conexión y los parámetros necesarios.

  • Importación en bloque: Desde el panel de Samsara puede actualizar el tipo de autenticación para sus usuarios editando e importando un archivo CSV (consulte Editar administradores en bloque). Para hacerlo, cambie el authType de Básico a SAML para los usuarios y luego importe el archivo CSV.

Seleccione el método que mejor se adapte al flujo de trabajo de su organización para garantizar una transición sin problemas a SSO para todos los usuarios.

Integrar Microsoft Entra como su IdP

Samsara admite la integración con Microsoft Entra (anteriormente conocido como Azure). Para obtener instrucciones detalladas sobre cómo crear una integración SAML, consulte Tutorial: Integración de inicio de sesión único (SSO) de Microsoft Entra con Samsara.

Antes de configurar la autenticación, asegúrese de tener acceso tanto al panel de Samsara como al centro de administración de Microsoft Entra. Utilice el siguiente flujo de trabajo para configurar SSO con Microsoft Entra:

  1. Verifique su dominio para una autenticación segura mediante SSO.

    Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.

  2. En Samsara, cree una configuración de SSO separada para administradores, conductores o ambos:

  3. En Microsoft Entra, configure una nueva aplicación SAML para Samsara.

    1. Navegue a Identidad > Aplicación > Aplicaciones empresariales.

    2. Seleccione + Nueva aplicación.

    3. + Crear su propia aplicación.

      1. Ingrese Samsara en el nombre de la aplicación.

      2. Seleccione Integrar cualquier otra aplicación que no se encuentre en la galería.

      3. Seleccione Crear la aplicación.

    4. Asignar usuarios y grupos.

      1. Haga clic en + Agregar usuario/grupo.

      2. Debajo de Usuarios, haga clic en Ninguno seleccionado.

      3. Seleccione los usuarios que quiere agregar y luego haga clic en Seleccionar.

      4. Haga clic en Asignar.

    5. Configure SAML.

      1. En la navegación lateral, seleccione Vista general.

      2. Seleccione Comenzar en el cuadro de configuración de inicio de sesión único.

      3. Haga clic en SAML.

      4. Seleccione Editar en la Configuración Básica de SAML para agregar los campos SAML proporcionados por el administrador de Samsara.

        Copie el enlace de Id. de entidad del proveedor de servicio en el campo del identificador (Id. de entidad).

        Copie el enlace de URL de Post-back/ACS al campo de URL de respuesta (URL del servicio de consumo de aserciones).

      5. Seleccione Guardar sus cambios.

    6. Agregue declaraciones para los atributos de usuario de Samsara que sean necesarios.

      sso-entra-idp-manage-claim.png

      Para pasar los detalles del usuario durante la autenticación, defina las declaraciones para el correo electrónico y el nombre del usuario. Para asignar roles o etiquetas al iniciar sesión, agregue declaraciones para esos valores también.

      1. Seleccione Editar en la sección de Atributos y declaraciones.

      2. Hacer clic en Agregar una nueva declaración.

      3. Para definir la declaración, seleccione Editar en la sección de Atributos y declaraciones y Agregar una nueva declaración para cada uno de los atributos de usuario de Samsara.

        • Nombre del atributo: Le recomendamos que configures el atributo fuente para name al valor que le gustaría que se mapee al nombre de Samsara. Por ejemplo, puede usar user.displayname como el atributo fuente.

        • Atributo de correo electrónico: Le recomendamos que configure el atributo de origen para correo electrónico al valor que le gustaría que se mapeará al nombre de Samsara. Por ejemplo, puede usar user.mail como su atributo de origen.

      4. (Opcional) Para asignar roles o etiquetas durante el inicio de sesión, defina declaraciones adicionales en Microsoft Entra y asígnelas a los valores correctos utilizando condiciones de declaración. Utilice el siguiente flujo de trabajo para configurar el comportamiento de las declaraciones:

        1. En la sección Atributos y declaraciones del usuario, agregue las siguientes declaraciones:

          • https://cloud.samsara.com/saml/atributos/role_name

          • https://cloud.samsara.com/saml/atributos/role_tags

        2. Para cada declaración de role_name y role_tags:

          1. Establezca Tipo de usuario en Miembros.

          2. Haga clic en Elegir grupos y elija el grupo o los grupos a los que desea aplicar la declaración.

            Para simplificar la configuración y el mantenimiento futuro, recomendamos utilizar una convención de nombres coherente para los nombres de los grupos.

          3. Establezca al Atributo como Fuente.

          4. Ingrese el rol o el nombre de la etiqueta en el campo de Valor.

            Las comillas se añaden automáticamente.

          5. Haga clic en Guardar para finalizar la creación de la declaración.

      5. Haga clic en Guardar para aplicar la configuración completa de SAML.

  4. Para completar la conexión entre Microsoft Entra y Samsara, cargue los metadatos del IdP en la configuración de SSO correspondiente en el panel de Samsara:

    1. En Microsoft Entra, copie la URL de metadatos de federación de la aplicación o descargue el archivo XML de metadatos.

    2. En el panel de Samsara, abra la configuración de SSO relevante (administrador o conductor).

    3. Pegue la URL de los metadatos o cargue el archivo.

    4. Haga clic en Guardar para aplicar los cambios.

Integrar Okta como su IdP en Samsara

Antes de configurar la autenticación, asegúrese de tener acceso tanto a la panel de Samsara como a su consola de administración de Okta, y luego configure SSO con Okta utilizando el siguiente flujo de trabajo:

  1. Verifique su dominio para una autenticación segura mediante SSO.

    Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.

  2. En Samsara, cree una configuración de SSO separada para administradores, conductores o ambos:

  3. Para cada configuración establecida en el paso anterior, copie la siguiente configuración de conexión SSO para su uso en Okta:

    • URL de inicio de sesión único: URL de Post-back/ACS (servicio de consumidor de aserciones)

    • URI de la audiencia: Identificador de la entidad del proveedor de servicios

  4. En su consola de administración de Okta, cree una integración de aplicación interna SAML 2.0 utilizando la configuración copiada en el paso anterior.

    Para obtener instrucciones completas, consulte la documentación de Okta.

    okta-sso-app-settings.png

  5. Configure los siguientes atributos para garantizar la autenticación adecuada para cada tipo de usuario:

    • Para administradores:

      • https://cloud.samsara.com/saml/attributes/email: user.mail

      • https://cloud.samsara.com/saml/attributes/name: user.displayName

        Si su IdP no ofrece soporte para un campo de nombre completo, puede construir uno usando user.firstName+" "+user.lastName. En algunos casos, es posible que necesite utilizar el formato regex u Okta Expression Language para dar el formato adecuado al valor.

    • Para conductores:

      • https://cloud.samsara.com/saml/atributos/driver_username: el campo de identificador de inicio de sesión de conductor

  6. (Opcional) Para asignar roles o etiquetas durante el inicio de sesión, defina atributos personalizados en Okta y asígnelos a los valores correctos. Utilice el siguiente flujo de trabajo para configurar el paso de atributos SAML:

    1. Agregue los siguientes atributos SAML a la integración de su aplicación de Okta:

      Estos atributos están incluidos en la afirmación SAML y Samsara los utiliza para asignar roles y etiquetas durante el inicio de sesión.

      • https://cloud.samsara.com/saml/atributos/role_name: appuser.samsaraRole

      • https://cloud.samsara.com/saml/atributos/role_tags: appuser.samsaraRoleTags

    2. Defina el atributo personalizado en Okta para admitir appuser.samsaraRole:

      1. Desde la pestaña Iniciar sesión de la aplicación, haga clic en Configurar mapeo de perfiles.

      2. Si aparece una ventana con asignaciones existentes, ciérrela para acceder al editor de perfiles.

      3. En el editor de perfiles, haga clic en + Agregar atributo.

      4. Ingrese los siguientes valores:

        • Tipo de dato: Cadena

        • Nombre para mostrar: Rol de Samsara

        • Nombre de la variable: samsaraRole

        • Enum: Habilitado; agregue los nombres de los roles de Samsara que planea asignar.

        • Atributo obligatorio: Sí

        • Alcance: Habilitar personal de usuario

  7. Para completar la conexión entre Okta y Samsara, cargue los metadatos del IdP en la configuración de SSO correspondiente en el panel de Samsara:

    1. En Okta, copie la URL de metadatos de federación de la aplicación o descargue el archivo XML de metadatos.

    2. En el panel de Samsara, abra la configuración de SSO relevante (administrador o conductor).

    3. Pegue la URL de los metadatos o cargue el archivo.

    4. Haga clic en Guardar para aplicar los cambios.

Otros IdP

Aunque Samsara admite oficialmente a Microsoft Entra y Okta como IdPs, también puede utilizar muchos otros proveedores de identidad que admiten el protocolo SAML 2.0.

Como otros IdP aún no han sido probados, Samsara no puede garantizar la compatibilidad total en este momento. Para probar un IdP por su cuenta, cree una conexión SAML desde el panel de Samsara.

  1. Verificar dominios para una autenticación de SSO segura.

    Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.

  2. Configure las opciones de SSO deseadas:

    Samsara recomienda que importe la configuración SAML de metadatos de Samsara en lugar de la configuración manual, si puede hacerlo para su IdP.

  3. Configure los atributos de SAML.

    Nombre

    Valor

    https://cloud.samsara.com/saml/attributes/email

    Correo electrónico del usuario

    https://cloud.samsara.com/saml/attributes/name

    Nombre del usuario

  4. Agregue al administrador de Samsara como usuario a la nueva aplicación.

  5. Intercambia la información de metadatos de Samsara con el IdP para completar la configuración.

Aprovisionamiento JIT Samsara

El aprovisionamiento Just-in-Time (JIT) utiliza el protocolo SAML para crear automáticamente cuentas de usuario. Cuando un nuevo usuario inicia sesión por primera vez a través de un Proveedor de Identidad (IdP) como Okta o Microsoft Entra, el IdP envía sus detalles a la aplicación (por ejemplo, el panel de Samsara) y la cuenta se crea sin configuración del administrador.

Samsara admite el aprovisionamiento JIT para dos tipos de cuentas:

  • panel de SamsaraUsuarios : Cuando un nuevo administrador inicia sesión con SSO por primera vez,panel de Samsara Crea automáticamente una cuenta con el rol de Mantenimiento y acceso a toda la organización. Si el administrador necesita un rol o acceso a etiquetas diferente, agregue o actualice su cuenta mediante la carga de un archivo CSV y asigne el acceso a etiquetas correspondiente.

  • Conductores: Samsara admite la provisión JIT para SSO de conductores. Cuando un conductor inicia sesión con SSO por primera vez, su cuenta se crea automáticamente en el Dashboard. El sistema utiliza el atributo driver_username de su IdP para mapear la cuenta, eliminando la necesidad de configuración manual.

Cuando se utiliza el aprovisionamiento JIT con SSO, pueden ocurrir incidencias si el correo electrónico de un usuario está vinculado a múltiples organizaciones. Debido a que JIT depende de identificadores únicos de correo electrónico, los correos electrónicos duplicados pueden causar errores o problemas de acceso.

Para evitar esto, asegúrese de que cada usuario tenga un correo electrónico único en su dominio. Para los usuarios que necesitan acceso a múltiples organizaciones, utilice alias de correo electrónico separados o trabaje con su IdP para gestionar el acceso.

Eliminar una configuración de SSO

Para eliminar una configuración de SSO, comuníquese con el servicio de Soporte de Samsara. El panel de Samsara no permite la eliminación autoservicio para proteger la configuración de autenticación de su organización. El soporte le ayudará a eliminar la configuración de manera segura.

Comentarios

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 11 de 22
¿Tiene comentarios adicionales? Si es así, queremos recibirlos.
Have more questions? Submit a request
Regresar al inicio

Comentarios

0 comentarios

El artículo está cerrado para comentarios.

Artículos relacionados

Artículos en esta sección

©2024 Samsara Inc.

Chatee con nosotros