La Autenticación multifactor (MFA) se aplica a todos los usuarios con acceso elevado, incluidos los roles predefinidos y los personalizados. Para las demás cuentas de conductor o usuario, puede configurar el inicio de sesión único (SSO) para usar un único proveedor de identidad (IdP) para gestionar el acceso a los recursos de Samsara. A diferencia de la autenticación estándar, los clientes no necesitan recordar una contraseña adicional para iniciar sesión manualmente en Samsara y pueden usar su inicio de sesión corporativo.
Debido a que los administradores de TI manejan información de inicio de sesión sensible a través de un sistema IdP, usar SSO reduce los riesgos de seguridad. Puede administrar la identidad federada utilizando la autenticación de Google o un proveedor de SSO de terceros (por ejemplo, Okta o Azure).
Para configurar SSO, puede crear una configuración de SSO para conductores y administradores basada en los metadatos asociados con Samsara y con el IdP. Si tiene la intención de usar SSO tanto para conductores como para administradores, configure aplicaciones separadas para cada caso de uso en el IdP.
Nota
Deberá renovar el certificado X.509 periódicamente. Para evitar la interrupción del acceso debido a un certificado caducado, se recomienda generar y reemplazar el certificado antes de que caduque. Para más información, consulte Renovar un certificado X.509.
Si quiere que sus conductores utilicen SSO para iniciar sesión en la aplicación Samsara Driver, puede intercambiar metadatos con el IdP. En su IdP, haga una configuración separada para los conductores y no utilice la misma configuración de IdP que usa para los administradores.
-
Verificar dominios para autenticación SSO segura.
Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.
-
Seleccione el icono de Configuración (
) en la parte inferior del menú Flota para ver la configuración del panel.
-
En Organización, seleccione Inicio de sesión único.
-
En la sección de Inicio de sesión único (SSO) para el inicio de sesión de conductores, haga clic en Agregar.
-
Haga clic en Copiar junto a la URL de metadatos de Samsara para registrar la URL para su uso por parte de su proveedor de identidad. Envíe esa URL al administrador de su IdP.
Si el IdP no puede aceptar la URL de metadatos, puede expandir los detalles para extraer el ID de entidad del proveedor de servicios, la URL de post-back/ACS y el atributo SAML para el nombre de usuario del conductor.
-
Nombre:
usuario_del_conductor
-
Namespace:
https://cloud.samsara.com/saml/attributes
-
Atributo de origen
Esta información también se puede utilizar para definir la configuración de SSO con su IdP.
-
-
Extraiga los metadatos del IdP.
Puede proporcionar una URL de metadatos o puede actualizar un archivo de metadatos proporcionado por el IdP.
-
Seleccione Guardar los cambios cuando haya terminado.
Si quiere que otros administradores utilicen SSO para iniciar sesión en el panel de Samsara, puede intercambiar metadatos con el IdP. En su IdP, haga una configuración separada para los conductores y no utilice la misma configuración de IdP que usa para los condictores.
-
Verificar dominios para autenticación SSO segura.
Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.
-
Seleccione el icono de Configuración (
) en la parte inferior del menú Flota para ver la configuración del panel.
-
En Organización, seleccione Inicio de sesión único.
-
En la sección de Inicio de sesión único (SSO) para inicio de sesión de usuarios, haga clic en Agregar.
-
Haga clic en Copiar junto a la URL de metadatos de Samsara para registrar la URL para su uso por parte de su proveedor de identidad. Envíe esa URL al administrador de su IdP.
Si el IdP no puede aceptar la URL de metadatos, puede expandir los detalles para extraer el ID de la entidad del proveedor de servicios, la URL de Post-back/ACS, y los atributos SAML. Esta información también se puede utilizar para definir la configuración de SSO con su IdP.
-
Extraiga los metadatos del IdP.
Puede proporcionar una URL de metadatos o puede actualizar un archivo de metadatos proporcionado por el IdP.
-
Seleccione Guardar los cambios cuando haya terminado.
Si su organización tiene usuarios que actualmente utilizan autenticación básica, también deberá convertir el tipo de cuenta de dichos usuarios para permitirles usar SSO. Puede elegir dos métodos para esta conversión: usar la URL directa (descrita más adelante en este documento), o un método de API donde los administradores actualizan los tipos de autenticación de usuario de manera programática.
Convierta a los usuarios existentes que inician sesión utilizando autenticación básica para usar SSO utilizando uno de los siguientes métodos:
-
Inicio de sesión directo. Haga que los usuarios inicien sesión en el IdP o utilicen la URL directa de SSO de Samsara.
-
https://cloud.samsara.com/signin/<orgid>
-
https://cloud.eu.samsara.com/signin/<orgid>
Donde
<orgid>
es el ID único para su organización. Este inicio de sesión convertirá el método de autenticación de un usuario de autenticación básica a inicio de sesión único.Después de que el usuario inicie sesión, la cuenta se convierte automáticamente para usar SSO en futuros intentos de autenticación.
-
-
API de Samsara. Utilica la API de Samsara para actualizar el tipo de autenticación del usuario de Básico a SAML. Consulte la documentación de la API para el punto de conexión y los parámetros necesarios.
Seleccione el método que mejor se adapte al flujo de trabajo de su organización para garantizar una transición sin problemas a SSO para todos los usuarios.
Samsara admite la integración con Microsoft Entra (anteriormente conocido como Azure). Para obtener instrucciones sobre cómo integrar Azure como su IdP, consulte el Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Samsara.
-
Verificar dominios para autenticación SSO segura.
Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.
-
Configure las opciones de SSO deseadas:
-
En Microsoft Entra, configure una nueva aplicación SAML para Samsara.
-
Navegue a Identidad > Aplicación > Aplicaciones empresariales.
-
Seleccione + Nueva aplicación.
-
Seleccione + Crear su propia aplicación.
-
Ingrese el nombre de la aplicación
Samsara
. -
Seleccione Integrar cualquier otra aplicación que no se encuentre en la galería.
-
Seleccione Crear la aplicación.
-
-
Seleccione Asignar usuarios y grupos.
-
Configure SAML.
-
En la navegación lateral, seleccione Vista general.
-
Seleccione Comenzar en el cuadro de configuración de inicio de sesión único.
-
Haga clic en SAML.
-
Seleccione Editar en la Configuración Básica de SAML para agregar los campos SAML proporcionados por el administrador de Samsara.
Copie el enlace de ID de entidad del proveedor de servicio en el campo del identificador (ID de entidad).
Copie el enlace de URL de Post-back/ACS al campo de URL de respuesta (URL del servicio de consumo de aserciones).
-
Seleccione Guardar los cambios.
-
-
Agregue notificaciones para dos atributos de Samsara:
correo electrónico
ynombre
.Las notificaciones se utilizan para afirmar ciertas propiedades o características del usuario durante el proceso de autenticación. Necesitará definir notificaciones tanto para el correo electrónico del usuario como para el nombre del usuario. Para cada notificación, debe definir la siguiente información:
-
Nombre:
correo electrónico
onombre
-
Namespace:
https://cloud.samsara.com/saml/attributes
-
Atributo de origen
Para definir la notificación, seleccione Editar en la sección de Atributos y notificaciones y Agregar una nueva notificación para cada uno de los atributos de usuario de Samsara.
-
Nombre del atributo: Te recomendamos que configures el atributo Fuente para
nombre
al valor que te gustaría que se mapee al nombre de Samsara. Por ejemplo, puedes usaruser.displayname
como tu atributo fuente. -
Atributo de correo electrónico: Le recomendamos que configure el atributo de origen para
correo electrónico
al valor que le gustaría que se mapeara al nombre de Samsara. Por ejemplo, puede usaruser.mail
como su atributo de origen.
Luego, seleccioneGuardar los cambios.
-
-
En Certificados SAML, copie y comparta la URL de metadatos de federación de la aplicación o descargue el archivo XML de metadatos de federación y compártalo con su administrador de Samsara.
-
-
Intercambia la información de metadatos de Samsara con el IdP para completar la configuración.
Si utilizas Okta como tu IdP, puedes configurar la autenticación en Samsara para usar tus cuentas de usuario de Okta. Para completar la configuración, necesitarás acceso tanto al panel de Samsara como a tu Consola de Administración de Okta.
-
Verificar dominios para autenticación SSO segura.
Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.
-
Configure las opciones de SSO deseadas:
-
En su consola de administración de Okta, configure una integración de aplicaciones internas que utilice SAML 2.0 como método de inicio de sesión.
Para obtener instrucciones completas, consulte la documentación de Okta.
Durante la configuración, necesitará:
-
Configure la siguiente información:
-
URL de inicio de sesión único: Copie la URL de Post-back/ACS (servicio de consumidor de aserción) de la configuración de la conexión SSO en el panel de Samsara.
-
URI del público: Copie la ID de la entidad del proveedor de servicios de la configuración de la conexión SSO en el panel de Samsara.
-
-
Configurar los atributos de SAML.
Nombre
Valor
https://cloud.samsara.com/saml/attributes/email
user.email
https://cloud.samsara.com/saml/attributes/name
user.firstName+" "+user.lastName
Nota
Cuando se utiliza el nombre como atributo, el menú desplegable no ofrece la opción de especificar el nombre completo como valor. En este caso, utilice expresiones regulares para presentar el nombre y el apellido en el espacio.
Si es necesario, también puede utilizar otros atributos de SAML.
-
-
Intercambia la información de metadatos de Samsara con el IdP para completar la configuración.
Aunque Samsara admite oficialmente Microsoft Entra y Okta como IdP, también puede usar cualquier otro proveedor de identidad que admita el protocolo SAML 2.0. Como otros IdP aún no han sido probados, Samsara no puede garantizar la compatibilidad total en este momento. Para probar un IdP por su cuenta, cree una conexión SAML desde el panel de Samsara.
-
Verificar dominios para autenticación SSO segura.
Debe completar la verificación de dominio antes de habilitar SSO. Solo los usuarios con dominios verificados podrán tener acceso a la organización.
-
Configure las opciones de SSO deseadas:
Samsara recomienda que importe la configuración SAML de metadatos de Samsara en lugar de la configuración manual, si puede hacerlo para su IdP.
-
Configure los atributos de SAML.
Nombre
Valor
https://cloud.samsara.com/saml/attributes/email
Correo electrónico del usuario
https://cloud.samsara.com/saml/attributes/name
Nombre del usuario
-
Agregue al administrador de Samsara como usuario a la nueva aplicación.
-
Intercambia la información de metadatos de Samsara con el IdP para completar la configuración.
#UUID-ff7f0e21-59f5-e6d4-6b81-2f090c691895_section-idm232308939905114#UUID-ff7f0e21-59f5-e6d4-6b81-2f090c691895_section-idm232308954423931panel de SamsaraEl aprovisionamiento Just-in-Time (JIT) aprovecha el protocolo SAML para automatizar la creación de cuentas de usuario para varias aplicaciones web. Funciona al pasar información del usuario desde un Proveedor de Identidad (IdP), como Okta o Microsoft Entra. Cuando un nuevo usuario inicia sesión en una aplicación autorizada por primera vez, el IdP envía los detalles necesarios a la aplicación, creando automáticamente la cuenta del usuario, eliminando la necesidad de intervención manual del administrador.
Samsara admite el aprovisionamiento JIT para dos tipos de cuentas:
-
Usuarios del panel de Samsara: Cuando un nuevo administrador inicia sesión por primera vez utilizando el inicio de sesión único (SSO) a través de su IdP, el panel de Samsara automáticamente aprovisiona una cuenta con el rol menos privilegiado: el rol de Mantenimiento. Esta cuenta recibe acceso de etiqueta a toda la organización de manera predeterminada. Si el administrador necesita un rol diferente o acceso a etiquetas específicas, se recomienda agregar o actualizar al administrador mediante CSV con el rol apropiado y acceso a etiquetas.
-
Conductores: Samsara también admite el aprovisionamiento JIT para SSO de conductores. Cuando un conductor inicia sesión por primera vez usando SSO, su cuenta se crea automáticamente en el tablero. El sistema asigna el nombre de usuario del conductor al valor del atributo
driver_username
en su IdP, asegurando un acceso optimizado sin necesidad de aprovisionamiento manual.
Al implementar el aprovisionamiento JIT con SSO, tenga en cuenta que el aprovisionamiento puede no funcionar como se espera si la dirección de correo electrónico de un usuario está asociada con múltiples organizaciones. El aprovisionamiento JIT generalmente crea o actualiza cuentas de usuario basadas en identificadores únicos de correo electrónico. Si un correo electrónico está vinculado a múltiples organizaciones, pueden surgir conflictos, lo que lleva a errores de aprovisionamiento o problemas de acceso.
Para prevenir estas incidencias, asegúrese de que la dirección de correo electrónico de cada usuario sea única dentro del dominio de tu organización. Si los usuarios necesitan acceso a múltiples organizaciones, considere usar alias de correo electrónico distintos o coordinarse con tu IdP para gestionar el acceso a múltiples organizaciones de manera eficaz.
Si configuró SSO utilizando la experiencia SAML que estaba disponible antes del 20 de noviembre de 2024, debe migrar a la nueva experiencia de SSO antes del 19 de septiembre de 2025 para evitar interrupciones al iniciar sesión. Para obtener más información, consulte [en] Migrate Your SSO Connection.
Si necesita eliminar una configuración de SSO existente de su panel de Samsara, póngase en contacto con el servicio de Soporte de Samsara para obtener asistencia.
Actualmente, el panel no admite la eliminación de configuraciones de SSO de autoservicio para garantizar la seguridad e integración de la configuración de autenticación de su organización. Nuestro equipo de soporte le guiará a través del proceso para eliminar de manera segura la configuración de SSO, según sea necesario.
Comentarios
0 comentarios
El artículo está cerrado para comentarios.