Índice
- ¿Qué es SAML SSO?
- Requisitos para activar SAML SSO en Mailjet
- Acceso y habilitación de SAML SSO en Mailjet
- Desactivación de SAML SSO
- Proveedores de identidad
- Gestión de usuarios
- Iniciar sesión con SSO
¿Qué es SAML SSO?
Utilizando el protocolo SAML 2.0, Mailjet te permite integrarte con tu proveedor de identidades para autenticar a los usuarios a través del inicio de sesión único, también conocido como SSO. En teoría, siempre y cuando tu proveedor de identidades actual soporte el protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), entonces deberías ser capaz de utilizar tu proveedor con Mailjet.
Nota: SAML SSO está disponible desde el plan 100,000 Premium y cuentas personalizadas.
Actualmente, una cuenta de Mailjet solo puede utilizar la autenticación de dos factores (2-FA) o la Inicio de sesión único (SSO), pero no ambas al mismo tiempo.
Requisitos para activar SAML SSO en Mailjet
Dominio verificado
Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión). Actualmente, la plataforma Mailjet utiliza registros TXT para la verificación del dominio.
Mailjet puede generar un registro TXT único que debes añadir al DNS de tu dominio corporativo y que nos permite verificar que eres el propietario del dominio. Para utilizar este método, navega hasta la página de ajustes de SAML ("Settings" (Ajustes) > "Details" (Detalles) en el menú de la izquierda, desplázate hacia abajo hasta la sección "Authentication" (Autenticación) y, en la subsección "SAML Auth" (Autenticación SAML), haz clic en "Setup SAML SSO" (Configurar SAML SSO) ), introduce tu dominio corporativo en el campo "Domain Name" (Nombre del dominio) de la sección "Domain TXT Record Generation" (Generación de registro TXT del dominio) y pulsa "Generate" (Generar). Copia el registro TXT del cuadro emergente y añádelo a los registros DNS de tu dominio.
Asegúrate de que todos los dominios de las cuentas de usuario estén verificados antes de intentar configurar SAML en Mailjet. Por ejemplo, si los dominios son mailjet.com y mailgun.com, estas acciones se deben realizar para cada uno de ellos.
Datos del proveedor de identidades
Tendrás que proporcionar lo siguiente a Mailjet desde tu proveedor de identidades:
-
ID del IdP , o IdP Entity ID (También conocido como Identity Provider Issuer)
-
URL de inicio de sesión único
-
Certificado X509
Datos del proveedor de servicios
Tendrás que proporcionar los siguientes detalles del proveedor SAML a tu proveedor de identidades desde Mailjet:
-
ID de entidad
-
URL del servicio de consumidor de aserciones
-
URL del servicio de cierre de sesión único
Acceso y habilitación de SAML SSO en Mailjet
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
Para acceder a la configuración de SAML en Mailjet, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta:
Una vez allí, encontrarás los datos del proveedor de servicios correspondiente, así como el formulario que deberás rellenar:
Para habilitar tu configuración, hay que rellenar todos los campos obligatorios con los datos del proveedor de identidad.
Desactivación de SAML SSO
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
Para desactivar SAML SSO en tu cuenta, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta. Una vez allí, haz clic en el icono del engranaje y luego en "Desactivar SAML".
Proveedores de identidad
Se pueden utilizar diferentes proveedores de identidad: Okta, Auth0, OneLogin, Azure AD, etc. Este artículo explica cómo hacerlo con Okta.
Configuración de SAML SSO con Okta
En primer lugar, necesitarás una cuenta de Okta. Si ya tienes una, genial. Si no, puedes registrarte en https://developer.okta.com y seguir las instrucciones para obtener una cuenta de desarrollador gratuita.
Una vez que tengas una cuenta de Okta, navega hasta "Applications" (Aplicaciones).
Una vez allí, haz clic en "Create App Integration" (Crear integración de aplicaciones). Cuando aparezca el cuadro emergente, selecciona SAML 2.0 como método de inicio de sesión y haz clic en "Next" (Siguiente).
Dale a tu aplicación un nombre descriptivo y un logotipo, si lo deseas. Puedes ignorar las opciones de visibilidad de la aplicación y luego hacer clic en "Next" (Siguiente).
Introduce tu:
-
URL de inicio de sesión único (se denomina "Assertion Consumer Service URL" (URL del servicio de consumidor de aserciones) en tu panel de control de Mailjet)
-
Deja marcada la casilla "Use this for Recipient URL and Destination URL" (Utilizar esto para la URL del destinatario y la URL de destino)
-
-
URI de la audiencia ("Entity ID" (ID de la entidad) en tu panel de control de Mailjet)
-
Deja en blanco "Default RelayState" (Estado de retransmisión por defecto)
-
"Name ID format" (Formato del identificador del nombre) debe ajustarse a "EmailAddress"
-
"Application username" (Nombre de usuario de la aplicación) debe establecerse como "email".
-
Deja "Update application username on" (Actualizar el nombre de usuario de la aplicación en) como por defecto.
Deja vacía la sección de "Attribute Statements" (Declaraciones de Atributos) y haz clic en "Next" (Siguiente).
En la siguiente página, elige "I'm an Okta customer adding an internal app" (Soy un cliente de Okta añadiendo una aplicación interna), y haz clic en "Finish" (Finalizar).
Llegarás a la pestaña "Sign On" de la aplicación que acabaa de configurar.
Busca el botón "View Setup Instructions" (Ver instrucciones de configuración) y haz clic en él para que aparezcan los datos reales que debes añadir en Mailjet. Debería tener el siguiente aspecto:
Copia los datos en la página "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en Mailjet y envía el formulario. Si todo es correcto, debería estar listo.
Configuración de SAML SSO con Azure
Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión) en ambas plataformas (Mailjet y Azure).
Verificación de un dominio en el Azure Active Directory
Ve a tu "Azure Active Directory" y selecciona "Nombres de dominio personalizados".
Haz clic en "Agregar un dominio personalizado" y sigue los pasos indicados.
Una vez que hayas añadido el dominio, se mostrará en tu página de "Nombres de dominio personalizados". El estado del dominio debería ser "Disponible" para que funcione SSO.
Verificación de un dominio en la aplicación de Mailjet
Sigue el procedimiento indicado aquí.
Una vez que tu dominio esté verificado en ambas partes, podrás empezar a configurar la autenticación SSO entre Azure y Mailjet.
Configuración de SSO en Azure
Entra en tu cuenta de Azure y navega a "Azure Active Directory".
Una vez allí, haz clic en "Aplicaciones empresariales".
Elige "Nueva aplicación" en la parte superior de la pantalla.
Entonces haz clic en "Crear tu propia aplicación" y sigue los pasos para terminar la configuración.
Una vez que has creado tu aplicación, haz clic en ella.
Y elige la segunda opción "Configurar inicio de sesión único".
Elige "SAML" como método de inicio de sesión único.
En la siguiente página encontrarás los datos del proveedor de identidades correspondiente y los formularios que deberás rellenar.
Para el primer paso de "Configuración básica de SAML", tendrás que tomar los datos correspondientes de Mailjet como proveedor de servicios y rellenar las secciones indicadas a continuación.
Proporcionar información de Mailjet a Azure
Azure
|
Mailjet
|
|
Identificador (ID de entidad) |
ID de entidad |
|
URL de respuesta (URL del servicio de consumidor de aserciones) |
URL del servicio de consumidor de aserciones |
|
URL del cierre de sesión (opcional) |
Servicio de cierre de sesión único |
Salta al tercer paso de "Certificados SAML" y elige "Firmar respuesta y aserción SAML" del menú desplegable junto a "Opción de firma". El campo de "Algoritmo de firma" debería dejarse como está (SHA-256).
No te olvides de descargar el certificado Base64 ya que lo necesitarás más adelante para la configuración de Mailjet.
Una vez que hayas completado los pasos 1 y 3, tendrás que hacer lo mismo en Mailjet.
Para acceder a la configuración SAML en Mailjet, haz clic en "Ajustes de la cuenta" --> "Autenticación SAML (SSO)" en la página de información de la cuenta.
Elige "Configurar autenticación SAML".
Ahí encontrarás el formulario que tendrás que rellenar.
Para habilitar tu configuración de SSO, hay que rellenar todos los campos obligatorios con los datos del proveedor de identidad de Azure.
Proporcionar información de Azure a Mailjet
Mailjet |
Azure |
Comentario |
|
Dominio(s) asociado(s) |
- |
El nombre de dominio personalizado debe agregarse y verificarse en Azure y Mailjet |
|
ID de entidad del IdP |
Identificador de Azure AD |
|
|
Preferencia de firma de la solicitud |
Certificado de firma de SAML > Editar > Opción de firma |
Debería ser Sign SAML response and assertion |
|
URL de inicio de sesión único |
URL de inicio de sesión |
|
|
URL del servicio de cierre de sesión único |
URL de cierre de sesión |
|
|
Certificado X.509 |
Certificado (Base64) |
Debe descargarse como Base64 y abrirse en un editor de texto, para que el valor se pueda copiar en el formato requerido |
Gestión de usuarios
Mailjet
Nuestro SSO basado en SAML proporcionará a tus usuarios finales acceso a la aplicación de Mailjet a través de un proveedor de identidades (IdP) a elegir. Todos los usuarios a los que hayas dado acceso compartido a tu cuenta aparecerán en la sección "Users" (Usuarios).
Nota importante: Ten en cuenta que la funcionalidad de Inicio de sesión único (SSO) está limitada a usuarios con acceso compartido. Esta característica no es aplicable a tu dirección de inicio de sesión.
Nota: la función de inicio de sesión único estará desactivada por defecto para todos los usuarios. Solo los usuarios activos con un dominio asociado en la configuración SAML podrán iniciar sesión en tu cuenta a través de SSO.
Puedes habilitar la funcionalidad SSO para todos los usuarios a la vez, haciendo clic en el botón "Enable SAML for all" (Habilitar SAML para todos)...
... o elegir manualmente habilitar o deshabilitar el acceso de los usuarios individuales uno por uno a través del icono del engranaje.
Proveedor de identidad (Okta)
Una vez que hayas activado tus usuarios dentro de la aplicación Mailjet, también deberás agregarlos a tu proveedor de identidad (IdP), en este caso Okta.
Abre tu cuenta de Okta, va a "Directory --> People" (Directorio --> Personas) y haz clic en "Add person" (Agregar persona).
Una vez que hayas ingresado toda la información requerida, selecciona "Save" (Guardar).
Nota: Si deseas notificar inmediatamente al nuevo usuario y enviarle un correo de activación, marca la casilla "Send user activation email now" (Enviar correo de activación de usuario ahora). Luego se le pedirá al usuario que haga clic en un enlace para activar su cuenta de Okta.
El siguiente paso será visitar la página "Applications" (Aplicaciones) y seleccionar la aplicación a la que deseas asignar el usuario recién agregado.
Selecciona "Assign to people'" (Asignar a personas) en el menú desplegable "Assign" (Asignar).
Haz clic en "Assign" (Asignar) en el usuario que agregraste anteriormente.
Nota: Solo se mostrarán los usuarios no asignados.
Luego serás redirigido a la página "People" (Personas) para encontrar todos los usuarios agregados a tu cuenta de Okta y su estado actual.
Si todos los pasos mencionados anteriormente se han seguido correctamente, los usuarios finales con acceso a tu aplicación Mailjet no deberían tener problemas para iniciar sesión a través de SSO.
Proveedor de identidades (Azure)
Una vez hayas activado tus usuarios finales en tu aplicación de Mailjet, tendrás que añadirlos también en tu proveedor de identidades. En este caso, Azure.
Abre tu cuenta de Azure y ve a Azure Active Directory --> Usuarios y haz clic en "Nuevo usuario".
Sigue todos los pasos necesarios para añadir un usuario nuevo, que aparecerá en la página de "Usuarios".
Nota: Ingresar la dirección de correo en minúsculas ya que distingue entre mayúsculas y minúsculas.
Ahora necesitarás asignar tu nuevo usuario a la aplicación de Mailjet que creaste antes.
Ve a la aplicación y elige "Asignar usuarios y grupos".
Entonces haz clic en "Agregar usuario o grupo"...
... y elige el usuario al que quieres dar acceso SSO de la lista.
Una vez que lo hayas seleccionado y asignado, el usuario aparecerá en la página de "Usuarios y grupos". Todos los usuarios que aparezcan en esta página tendrán acceso SSO a tu aplicación.
Si se siguen correctamente todos los pasos mencionados anteriormente, los usuarios finales con acceso a tu aplicación de Mailjet no deberían tener ningún problema en iniciar sesión mediante SSO.
Iniciar sesión con SSO
Para iniciar sesión, haz clic en el botón "Iniciar sesión con SSO" en la página de inicio de sesión de Mailjet.
A continuación, aparecerá una nueva ventana con un único formulario de entrada para tu email.
Una vez que introduzcas tu email y hagas clic en el botón "Conectarse", serás redirigido al panel de control de tu cuenta.
Nota: si un usuario compartido tiene SSO habilitado, ya no podrá iniciar sesión en la cuenta de la forma habitual. El usuario aún deberá iniciar sesión a través de la opción SSO.