Saltar al contenido principal

Cómo activar SAML SSO con Mailjet

N.Makarov
  • Actualización
Seguir

Índice 

 

¿Qué es SAML SSO? 

Utilizando el protocolo SAML 2.0, Mailjet te permite integrarte con tu proveedor de identidades para autenticar a los usuarios a través del inicio de sesión único, también conocido como SSO. En teoría, siempre y cuando tu proveedor de identidades actual soporte el protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), entonces deberías ser capaz de utilizar tu proveedor con Mailjet. 

 

Nota: SAML SSO solo está disponible para cuentas personalizadas.

 

Requisitos para activar SAML SSO en Mailjet

Dominio verificado

Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión). Actualmente, la plataforma Mailjet utiliza registros TXT para la verificación del dominio. 

Mailjet puede generar un registro TXT único que debes añadir al DNS de tu dominio corporativo y que nos permite verificar que eres el propietario del dominio. Para utilizar este método, navega hasta la página de ajustes de SAML ("Settings" (Ajustes) > "Details" (Detalles) en el menú de la izquierda, desplázate hacia abajo hasta la sección "Authentication" (Autenticación) y, en la subsección "SAML Auth" (Autenticación SAML), haz clic en "Setup SAML SSO" (Configurar SAML SSO) ), introduce tu dominio corporativo en el campo "Domain Name" (Nombre del dominio) de la sección "Domain TXT Record Generation" (Generación de registro TXT del dominio) y pulsa "Generate" (Generar). Copia el registro TXT del cuadro emergente y añádelo a los registros DNS de tu dominio.

 

Domain_verification_via_TXT_ES.PNG

Domain_verification_via_TXT_2_ES.PNG

Asegúrate de que todos los dominios de las cuentas de usuario estén verificados antes de intentar configurar SAML en Mailjet. Por ejemplo, si los dominios son mailjet.com y mailgun.com, estas acciones se deben realizar para cada uno de ellos.

 

Datos del proveedor de identidades

Tendrás que proporcionar lo siguiente a Mailjet desde tu proveedor de identidades:

  • ID del IdP , o IdP Entity ID (También conocido como Identity Provider Issuer)

  • URL de inicio de sesión único

  • Certificado X509

Datos del proveedor de servicios

Tendrás que proporcionar los siguientes detalles del proveedor SAML a tu proveedor de identidades desde Mailjet:

  • ID de entidad

  • URL del servicio de consumidor de aserciones

  • URL del servicio de cierre de sesión único

 

Acceso y habilitación de SAML SSO en Mailjet

Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.

Para acceder a la configuración de SAML en Mailjet, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta:

SAML1.1_ES.PNG
SAML_4_ES.PNG

Una vez allí, encontrarás los datos del proveedor de servicios correspondiente, así como el formulario que deberás rellenar:

SAML2_ES.PNG

Para habilitar tu configuración, hay que rellenar todos los campos obligatorios con los datos del proveedor de identidad.

 

Desactivación de SAML SSO

Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.

Para desactivar SAML SSO en tu cuenta, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta. Una vez allí, haz clic en el icono del engranaje y luego en "Desactivar SAML".

SAML_3_ES.PNG

 

Proveedores de identidad

Se pueden utilizar diferentes proveedores de identidad: Okta, Auth0, OneLogin, Azure AD, etc. Este artículo explica cómo hacerlo con Okta.

Configuración de SAML SSO con Okta

En primer lugar, necesitarás una cuenta de Okta. Si ya tienes una, genial. Si no, puedes registrarte en https://developer.okta.com y seguir las instrucciones para obtener una cuenta de desarrollador gratuita.

Una vez que tengas una cuenta de Okta, navega hasta "Applications" (Aplicaciones).

OKTA1.1.PNG

Una vez allí, haz clic en "Create App Integration" (Crear integración de aplicaciones). Cuando aparezca el cuadro emergente, selecciona SAML 2.0 como método de inicio de sesión y haz clic en "Next" (Siguiente).

OKTA3.PNG

Dale a tu aplicación un nombre descriptivo y un logotipo, si lo deseas. Puedes ignorar las opciones de visibilidad de la aplicación y luego hacer clic en "Next" (Siguiente).

OKTA4.PNG

Introduce tu:

  • URL de inicio de sesión único (se denomina "Assertion Consumer Service URL" (URL del servicio de consumidor de aserciones) en tu panel de control de Mailjet)

    • Deja marcada la casilla "Use this for Recipient URL and Destination URL" (Utilizar esto para la URL del destinatario y la URL de destino)

  • URI de la audiencia ("Entity ID" (ID de la entidad) en tu panel de control de Mailjet)

  • Deja en blanco "Default RelayState" (Estado de retransmisión por defecto)

  • "Name ID format" (Formato del identificador del nombre) debe ajustarse a "EmailAddress"

  • "Application username" (Nombre de usuario de la aplicación) debe establecerse como "email".

  • Deja "Update application username on" (Actualizar el nombre de usuario de la aplicación en) como por defecto.

    OKTA5.PNG

Deja vacía la sección de "Attribute Statements" (Declaraciones de Atributos) y haz clic en "Next" (Siguiente).

En la siguiente página, elige "I'm an Okta customer adding an internal app" (Soy un cliente de Okta añadiendo una aplicación interna), y haz clic en "Finish" (Finalizar).

OKTA6.PNG

Llegarás a la pestaña "Sign On" de la aplicación que acabaa de configurar.

OKTA7.PNG

Busca el botón "View Setup Instructions" (Ver instrucciones de configuración) y haz clic en él para que aparezcan los datos reales que debes añadir en Mailjet. Debería tener el siguiente aspecto:

OKTA9.PNG

Copia los datos en la página "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en Mailjet y envía el formulario. Si todo es correcto, debería estar listo.

 

Configuración de SAML SSO con Azure

Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión) en ambas plataformas (Mailjet y Azure).

 

Verificación de un dominio en el Azure Active Directory

Ve a tu "Azure Active Directory" y selecciona "Nombres de dominio personalizados".

SSO_Azure_ES_1.PNG

Haz clic en "Agregar un dominio personalizado" y sigue los pasos indicados.

SSO_Azure_ES_2.PNG

Una vez que hayas añadido el dominio, se mostrará en tu página de "Nombres de dominio personalizados". El estado del dominio debería ser "Disponible" para que funcione SSO.

SSO_Azure_ES_3.png

 

Verificación de un dominio en la aplicación de Mailjet

Sigue el procedimiento indicado aquí.

Una vez que tu dominio esté verificado en ambas partes, podrás empezar a configurar la autenticación SSO entre Azure y Mailjet.

 

Configuración de SSO en Azure

Entra en tu cuenta de Azure y navega a "Azure Active Directory".

SSO_Azure_ES_4.PNG

Una vez allí, haz clic en "Aplicaciones empresariales".

SSO_Azure_ES_5.PNG

Elige "Nueva aplicación" en la parte superior de la pantalla.

SSO_Azure_ES_6.PNG

Entonces haz clic en "Crear tu propia aplicación" y sigue los pasos para terminar la configuración.

SSO_Azure_ES_7.PNG

Una vez que has creado tu aplicación, haz clic en ella.

SSO_Azure_ES_6.5.png

Y elige la segunda opción "Configurar inicio de sesión único".

SSO_Azure_ES_9.PNG

Elige "SAML" como método de inicio de sesión único.

SSO_Azure_ES_10.PNG

En la siguiente página encontrarás los datos del proveedor de identidades correspondiente y los formularios que deberás rellenar.

Para el primer paso de "Configuración básica de SAML", tendrás que tomar los datos correspondientes de Mailjet como proveedor de servicios y rellenar las secciones indicadas a continuación.

SSO_Azure_ES_11.PNG

 

Proporcionar información de Mailjet a Azure

Azure
 
Mailjet

Identificador (ID de entidad)

ID de entidad

URL de respuesta (URL del servicio de consumidor de aserciones)

URL del servicio de consumidor de aserciones

URL del cierre de sesión (opcional)

Servicio de cierre de sesión único

 

Salta al tercer paso de "Certificados SAML" y elige "Firmar respuesta y aserción SAML" del menú desplegable junto a "Opción de firma". El campo de "Algoritmo de firma" debería dejarse como está (SHA-256).

SSO_Azure_ES_12.PNG

No te olvides de descargar el certificado Base64 ya que lo necesitarás más adelante para la configuración de Mailjet.

SSO_Azure_ES_13.PNG

Una vez que hayas completado los pasos 1 y 3, tendrás que hacer lo mismo en Mailjet.

 

Para acceder a la configuración SAML en Mailjet, haz clic en "Ajustes de la cuenta" --> "Autenticación SAML (SSO)" en la página de información de la cuenta.

SAML1.1_ES.PNG

Elige "Configurar autenticación SAML".

SAML_4_ES.PNG

Ahí encontrarás el formulario que tendrás que rellenar.

SAML2_ES.PNG

Para habilitar tu configuración de SSO, hay que rellenar todos los campos obligatorios con los datos del proveedor de identidad de Azure.

 

Proporcionar información de Azure a Mailjet

Mailjet
 
Azure
 
Comentario

Dominio(s) asociado(s)

-

El nombre de dominio personalizado debe agregarse y verificarse en Azure y Mailjet

ID de entidad del IdP

Identificador de Azure AD

  

Preferencia de firma de la solicitud

Certificado de firma de SAML > Editar > Opción de firma

 Debería ser Sign SAML response and assertion

URL de inicio de sesión único

URL de inicio de sesión

  

URL del servicio de cierre de sesión único

URL de cierre de sesión

  

Certificado X.509

Certificado (Base64)

 Debe descargarse como Base64 y abrirse en un editor de texto, para que el valor se pueda copiar en el formato requerido

 

Gestión de usuarios 

Mailjet

Nuestro SSO basado en SAML proporcionará a tus usuarios finales acceso a la aplicación de Mailjet a través de un proveedor de identidades (IdP) a elegir. Todos los usuarios a los que hayas dado acceso compartido a tu cuenta aparecerán en la sección "Users" (Usuarios).

 

Nota: la función de inicio de sesión único estará desactivada por defecto para todos los usuarios. Solo los usuarios activos con un dominio asociado en la configuración SAML podrán iniciar sesión en tu cuenta a través de SSO.

Users_-_enable_SAML_3.1_ES.PNG

Puedes habilitar la funcionalidad SSO para todos los usuarios a la vez, haciendo clic en el botón "Enable SAML for all" (Habilitar SAML para todos)...

Users_-_disable_SAML_1_ES.PNG

... o elegir manualmente habilitar o deshabilitar el acceso de los usuarios individuales uno por uno a través del icono del engranaje.

Users_-_disable_SAML_2_ES.PNG

Proveedor de identidad (Okta)

Una vez que hayas activado tus usuarios dentro de la aplicación Mailjet, también deberás agregarlos a tu proveedor de identidad (IdP), en este caso Okta.

 

Abre tu cuenta de Okta, va a "Directory --> People" (Directorio --> Personas) y haz clic en "Add person" (Agregar persona).

image__13__2.PNG

Una vez que hayas ingresado toda la información requerida, selecciona "Save" (Guardar).

 

Nota: Si deseas notificar inmediatamente al nuevo usuario y enviarle un correo de activación, marca la casilla "Send user activation email now" (Enviar correo de activación de usuario ahora). Luego se le pedirá al usuario que haga clic en un enlace para activar su cuenta de Okta.

image__14__2.PNG

El siguiente paso será visitar la página "Applications" (Aplicaciones) y seleccionar la aplicación a la que deseas asignar el usuario recién agregado.

image__15_.png

Selecciona "Assign to people'" (Asignar a personas) en el menú desplegable "Assign" (Asignar).

image__16_.png

Haz clic en "Assign" (Asignar) en el usuario que agregraste anteriormente.


Nota: Solo se mostrarán los usuarios no asignados.

image__18_.png

Luego serás redirigido a la página "People" (Personas) para encontrar todos los usuarios agregados a tu cuenta de Okta y su estado actual.

User_Status.png

Si todos los pasos mencionados anteriormente se han seguido correctamente, los usuarios finales con acceso a tu aplicación Mailjet no deberían tener problemas para iniciar sesión a través de SSO.

 

Proveedor de identidades (Azure)

Una vez hayas activado tus usuarios finales en tu aplicación de Mailjet, tendrás que añadirlos también en tu proveedor de identidades. En este caso, Azure.

 

Abre tu cuenta de Azure y ve a Azure Active Directory --> Usuarios y haz clic en "Nuevo usuario".

SSO_Azure_ES_14.PNG

SSO_Azure_ES_16.png

Sigue todos los pasos necesarios para añadir un usuario nuevo, que aparecerá en la página de "Usuarios".

SSO_Azure_ES_15.PNG

Ahora necesitarás asignar tu nuevo usuario a la aplicación de Mailjet que creaste antes.

Ve a la aplicación y elige "Asignar usuarios y grupos".

SSO_Azure_ES_17.PNG

Entonces haz clic en "Agregar usuario o grupo"...

SSO_Azure_ES_18.5.png

... y elige el usuario al que quieres dar acceso SSO de la lista.

SSO_Azure_ES_19.PNG

Una vez que lo hayas seleccionado y asignado, el usuario aparecerá en la página de "Usuarios y grupos". Todos los usuarios que aparezcan en esta página tendrán acceso SSO a tu aplicación.

SSO_Azure_ES_18.PNG

Si se siguen correctamente todos los pasos mencionados anteriormente, los usuarios finales con acceso a tu aplicación de Mailjet no deberían tener ningún problema en iniciar sesión mediante SSO.

 

Iniciar sesión con SSO 

Para iniciar sesión, haz clic en el botón "Iniciar sesión con SSO" en la página de inicio de sesión de Mailjet. 

login-saml-es.PNG

A continuación, aparecerá una nueva ventana con un único formulario de entrada para tu email.

32.PNG

Una vez que introduzcas tu email y hagas clic en el botón "Conectarse", serás redirigido al panel de control de tu cuenta.

Nota: si un usuario compartido tiene SSO habilitado, ya no podrá iniciar sesión en la cuenta de la forma habitual. El usuario aún deberá iniciar sesión a través de la opción SSO.

Artículos relacionados