Índice
- ¿Qué es SAML SSO?
- Requisitos para activar SAML SSO en Mailjet
- Acceso y habilitación de SAML SSO en Mailjet
- Desactivación de SAML SSO
- Proveedores de identidad
- Gestión de usuarios
- Iniciar sesión con SSO
¿Qué es SAML SSO?
Utilizando el protocolo SAML 2.0, Mailjet te permite integrarte con tu proveedor de identidades para autenticar a los usuarios a través del inicio de sesión único, también conocido como SSO. En teoría, siempre y cuando tu proveedor de identidades actual soporte el protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), entonces deberías ser capaz de utilizar tu proveedor con Mailjet.
Nota: SAML SSO solo está disponible para cuentas personalizadas.
Requisitos para activar SAML SSO en Mailjet
Dominio verificado
Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión). Actualmente, la plataforma Mailjet utiliza registros TXT para la verificación del dominio.
Mailjet puede generar un registro TXT único que debes añadir al DNS de tu dominio corporativo y que nos permite verificar que eres el propietario del dominio. Para utilizar este método, navega hasta la página de ajustes de SAML ("Settings" (Ajustes) > "Details" (Detalles) en el menú de la izquierda, desplázate hacia abajo hasta la sección "Authentication" (Autenticación) y, en la subsección "SAML Auth" (Autenticación SAML), haz clic en "Setup SAML SSO" (Configurar SAML SSO) ), introduce tu dominio corporativo en el campo "Domain Name" (Nombre del dominio) de la sección "Domain TXT Record Generation" (Generación de registro TXT del dominio) y pulsa "Generate" (Generar). Copia el registro TXT del cuadro emergente y añádelo a los registros DNS de tu dominio.
Asegúrate de que todos los dominios de las cuentas de usuario estén verificados antes de intentar configurar SAML en Mailjet. Por ejemplo, si los dominios son mailjet.com y mailgun.com, estas acciones se deben realizar para cada uno de ellos.
Datos del proveedor de identidades
Tendrás que proporcionar lo siguiente a Mailjet desde tu proveedor de identidades:
-
ID del IdP , o IdP Entity ID (También conocido como Identity Provider Issuer)
-
URL de inicio de sesión único
-
Certificado X509
Datos del proveedor de servicios
Tendrás que proporcionar los siguientes detalles del proveedor SAML a tu proveedor de identidades desde Mailjet:
-
ID de entidad
-
URL del servicio de consumidor de aserciones
-
URL del servicio de cierre de sesión único
Acceso y habilitación de SAML SSO en Mailjet
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
Para acceder a la configuración de SAML en Mailjet, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta:
Una vez allí, encontrarás los datos del proveedor de servicios correspondiente, así como el formulario que deberás rellenar:
Para habilitar tu configuración, hay que rellenar todos los campos obligatorios con los datos del proveedor de identidad.
Desactivación de SAML SSO
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
Para desactivar SAML SSO en tu cuenta, haz clic en "Account Settings" (Ajustes de la cuenta) > "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en la página de información de la cuenta. Una vez allí, haz clic en el icono del engranaje y luego en "Desactivar SAML".
Proveedores de identidad
Se pueden utilizar diferentes proveedores de identidad: Okta, Auth0, OneLogin, Azure AD, etc. Este artículo explica cómo hacerlo con Okta.
Configuración de SAML SSO con Okta
En primer lugar, necesitarás una cuenta de Okta. Si ya tienes una, genial. Si no, puedes registrarte en https://developer.okta.com y seguir las instrucciones para obtener una cuenta de desarrollador gratuita.
Una vez que tengas una cuenta de Okta, navega hasta "Applications" (Aplicaciones).
Una vez allí, haz clic en "Create App Integration" (Crear integración de aplicaciones). Cuando aparezca el cuadro emergente, selecciona SAML 2.0 como método de inicio de sesión y haz clic en "Next" (Siguiente).
Dale a tu aplicación un nombre descriptivo y un logotipo, si lo deseas. Puedes ignorar las opciones de visibilidad de la aplicación y luego hacer clic en "Next" (Siguiente).
Introduce tu:
-
URL de inicio de sesión único (se denomina "Assertion Consumer Service URL" (URL del servicio de consumidor de aserciones) en tu panel de control de Mailjet)
-
Deja marcada la casilla "Use this for Recipient URL and Destination URL" (Utilizar esto para la URL del destinatario y la URL de destino)
-
-
URI de la audiencia ("Entity ID" (ID de la entidad) en tu panel de control de Mailjet)
-
Deja en blanco "Default RelayState" (Estado de retransmisión por defecto)
-
"Name ID format" (Formato del identificador del nombre) debe ajustarse a "EmailAddress"
-
"Application username" (Nombre de usuario de la aplicación) debe establecerse como "email".
-
Deja "Update application username on" (Actualizar el nombre de usuario de la aplicación en) como por defecto.
Deja vacía la sección de "Attribute Statements" (Declaraciones de Atributos) y haz clic en "Next" (Siguiente).
En la siguiente página, elige "I'm an Okta customer adding an internal app" (Soy un cliente de Okta añadiendo una aplicación interna), y haz clic en "Finish" (Finalizar).
Llegarás a la pestaña "Sign On" de la aplicación que acabaa de configurar.
Busca el botón "View Setup Instructions" (Ver instrucciones de configuración) y haz clic en él para que aparezcan los datos reales que debes añadir en Mailjet. Debería tener el siguiente aspecto:
Copia los datos en la página "SAML Auth (SSO)" (Autenticación SAML (SSO) ) en Mailjet y envía el formulario. Si todo es correcto, debería estar listo.
Configuración de SAML SSO con Azure
Para habilitar SAML SSO para tu aplicación de Azure, sigue la documentación oficial de Azure. Es importante proporcionar los datos necesarios siguiendo las correspondencias a continuación.
Proporcionar información de Mailjet a Azure
Azure
|
Mailjet
|
| Identifier (Entity ID) | Entity ID |
| Reply URL (Assertion Consumer Service URL) | Assertion Consumer Service URL |
| Logout Url (Optional) | Single Logout Service |
Proporcionar información de Azure a Mailjet
Mailjet |
Azure |
Comentario |
| Associated domain(s) | - |
El nombre de dominio personalizado debe agregarse y verificarse en Azure y Mailjet |
| IdP Entity ID |
Azure AD Identifier |
|
| Request signing preference | SAML Signing Certificate section > Edit > Signing option | Debería ser Sign SAML response and assertion |
| Single Sign-On URL | Login URL | |
| Single Logout Service URL |
Logout URL |
|
| X.509 certificate | Certificate (Base64) | Debe descargarse como Base64 y abrirse en un editor de texto, para que el valor se pueda copiar en el formato requerido |
Nota: Los usuarios deben tener acceso asignado a Mailjet en Azure AD para iniciar sesión.
Gestión de usuarios
Mailjet
Nuestro SSO basado en SAML proporcionará a tus usuarios finales acceso a la aplicación de Mailjet a través de un proveedor de identidades (IdP) a elegir. Todos los usuarios a los que hayas dado acceso compartido a tu cuenta aparecerán en la sección "Users" (Usuarios).
Nota: la función de inicio de sesión único estará desactivada por defecto para todos los usuarios. Solo los usuarios activos con un dominio asociado en la configuración SAML podrán iniciar sesión en tu cuenta a través de SSO.
Puedes habilitar la funcionalidad SSO para todos los usuarios a la vez, haciendo clic en el botón "Enable SAML for all" (Habilitar SAML para todos)...
... o elegir manualmente habilitar o deshabilitar el acceso de los usuarios individuales uno por uno a través del icono del engranaje.
Proveedor de identidad (Okta)
Una vez que hayas activado tus usuarios dentro de la aplicación Mailjet, también deberás agregarlos a tu proveedor de identidad (IdP), en este caso Okta.
Abre tu cuenta de Okta, va a "Directory --> People" (Directorio --> Personas) y haz clic en "Add person" (Agregar persona).
Una vez que hayas ingresado toda la información requerida, selecciona "Save" (Guardar).
Nota: Si deseas notificar inmediatamente al nuevo usuario y enviarle un correo de activación, marca la casilla "Send user activation email now" (Enviar correo de activación de usuario ahora). Luego se le pedirá al usuario que haga clic en un enlace para activar su cuenta de Okta.
El siguiente paso será visitar la página "Applications" (Aplicaciones) y seleccionar la aplicación a la que deseas asignar el usuario recién agregado.
Selecciona "Assign to people'" (Asignar a personas) en el menú desplegable "Assign" (Asignar).
Haz clic en "Assign" (Asignar) en el usuario que agregraste anteriormente.
Nota: Solo se mostrarán los usuarios no asignados.
Luego serás redirigido a la página "People" (Personas) para encontrar todos los usuarios agregados a tu cuenta de Okta y su estado actual.
Si todos los pasos mencionados anteriormente se han seguido correctamente, los usuarios finales con acceso a tu aplicación Mailjet no deberían tener problemas para iniciar sesión a través de SSO.
Iniciar sesión con SSO
Para iniciar sesión, haz clic en el botón "Iniciar sesión con SSO" en la página de inicio de sesión de Mailjet.
A continuación, aparecerá una nueva ventana con un único formulario de entrada para tu email.
Una vez que introduzcas tu email y hagas clic en el botón "Conectarse", serás redirigido al panel de control de tu cuenta.
Nota: si un usuario compartido tiene SSO habilitado, ya no podrá iniciar sesión en la cuenta de la forma habitual. El usuario aún deberá iniciar sesión a través de la opción SSO.