Skip to content
← Blog
Producto

SSO de autoservicio: conecte Okta, Azure AD o Google Workspace en minutos

La mayoría de las plataformas le hacen enviar un ticket de soporte y esperar días para SSO. JieGou permite que su equipo de TI configure SAML 2.0 o OIDC por sí mismos — 7 proveedores de identidad, mapeo de grupos a roles, aprovisionamiento JIT y diagnósticos de conexión en un flujo de configuración de 9 pasos.

JT
JieGou Team · · 7 min de lectura

SSO es un checkbox top-3 en cada tarjeta de evaluación empresarial. Y en la mayoría de las plataformas, habilitarlo significa enviar un ticket de soporte, programar una llamada con un ingeniero de soluciones y esperar 3-5 días hábiles para que alguien active un interruptor en su nombre.

Los equipos de TI empresariales no quieren esperar. Quieren abrir una página de configuración, pegar una URL de metadatos, probar la conexión y seguir adelante. Eso es lo que hace la configuración SSO de autoservicio de JieGou.

7 proveedores de identidad, 2 protocolos

JieGou soporta 7 presets de proveedores de identidad listos para usar:

ProveedorProtocolos
OktaSAML 2.0, OIDC
Azure AD (Entra ID)SAML 2.0, OIDC
Google WorkspaceSAML 2.0, OIDC
OneLoginSAML 2.0, OIDC
Auth0SAML 2.0, OIDC
Ping IdentitySAML 2.0, OIDC
Proveedor personalizadoSAML 2.0, OIDC

La opción de Proveedor personalizado funciona con cualquier proveedor de identidad compatible con SAML 2.0 o OIDC. Si su IdP habla uno de esos protocolos, funciona con JieGou.

Detalles de protocolo

SAML 2.0

Ingrese una URL de metadatos y JieGou obtiene automáticamente el documento XML, extrayendo el entity ID, la URL de SSO y el certificado X.509 automáticamente. Sin copiar y pegar certificados manualmente.

Opciones de configuración:

  • 4 formatos de Name ID — email, persistente, transitorio, no especificado
  • Firma de solicitud de autenticación — firmar solicitudes de autenticación SAML para proveedores que lo requieran
  • Huella digital del certificado — validación de huella digital SHA-256 para el certificado de firma del IdP

OpenID Connect (OIDC)

Ingrese una URL de descubrimiento y JieGou la auto-normaliza — agregando /.well-known/openid-configuration si es necesario — luego obtiene el documento de descubrimiento para poblar los endpoints automáticamente.

Opciones de configuración:

  • Client ID + client secret cifrado — el client secret se cifra vía key-vault antes del almacenamiento
  • Scopes configurables — por defecto: openid profile email groups
  • 3 métodos de autenticación de endpoint de tokenclient_secret_basic, client_secret_post, private_key_jwt

El flujo de configuración

La configuración toma 9 pasos:

  1. Navegar a configuración de cuenta — La configuración SSO vive bajo la configuración de seguridad de su cuenta
  2. Seleccionar protocolo — SAML 2.0 o OIDC
  3. Elegir preset de proveedor — elija de los 7 presets, o seleccione Personalizado
  4. Ingresar dominio de email — unicidad forzada en todas las cuentas, para que no dos organizaciones puedan reclamar el mismo dominio
  5. Completar campos específicos del proveedor — URL de metadatos para SAML, URL de descubrimiento para OIDC, más cualquier configuración específica del proveedor
  6. Configurar aprovisionamiento — activar o desactivar auto-aprovisionamiento, establecer el rol predeterminado para nuevos usuarios
  7. Configurar mapeos de grupo a rol — mapear grupos del IdP a roles de JieGou
  8. Guardar configuración — valida todos los campos antes de persistir
  9. Probar conexión — ejecutar diagnósticos, revisar resultados, luego habilitar

Los pasos 1-8 son configuración. El paso 9 es donde verifica que todo funciona antes de pasar a producción.

Prueba de conexión con diagnósticos

El botón de prueba ejecuta una suite completa de diagnósticos contra su configuración de IdP. Un clic, y ve indicadores de pasa/falla por verificación con resultados codificados por color.

Diagnósticos SAML:

  • ¿Documento de metadatos obtenido exitosamente?
  • ¿URL de SSO accesible?
  • ¿Certificado X.509 válido y no expirado?

Diagnósticos OIDC:

  • ¿Documento de descubrimiento obtenido exitosamente?
  • ¿Endpoint de token accesible?
  • ¿Claim de grupo encontrado en la respuesta del token?

Cada verificación muestra un claro pasa o falla. Si algo se rompe, ve exactamente qué paso falló — no un mensaje genérico de “error de configuración SSO”. Los resultados de las pruebas se almacenan para su pista de auditoría, para que tenga un registro de cuándo se validó la conexión y por quién.

Mapeo de grupo a rol

JieGou tiene una jerarquía de 6 roles: Owner, Admin, Dept Lead, Member, Auditor y Viewer. El mapeo de grupo a rol SSO le permite conectar la estructura de grupos de su IdP a estos roles directamente.

El mapeo funciona así:

Grupo del IdPRol en JieGou
engineering-leadsDept Lead
engineeringMember
finance-auditorsAuditor
executivesAdmin
contractorsViewer

También puede asignar departamentos desde grupos. Si su IdP tiene grupos como dept-engineering o dept-marketing, mapee esos a departamentos de JieGou para que los usuarios aterricen en el contexto organizacional correcto automáticamente.

Los usuarios sin un grupo coincidente obtienen el rol predeterminado — típicamente Member. Esto significa que cada usuario SSO obtiene acceso, incluso si la estructura de grupos de su IdP no refleja perfectamente el modelo de roles de JieGou.

Aprovisionamiento Just-in-Time

Cuando el aprovisionamiento JIT (Just-in-Time) está habilitado, los nuevos usuarios no necesitan una invitación separada. Esto es lo que sucede:

  1. Un usuario se autentica vía SSO
  2. Su dominio de email coincide con su dominio SSO configurado
  3. JieGou auto-crea su membresía de cuenta con el rol predeterminado configurado
  4. Los mapeos de grupo a rol se aplican, actualizando o especificando el rol si se encuentra una coincidencia
  5. Las asignaciones de departamento de los mapeos de grupo se aplican
  6. El usuario es dirigido a través del flujo de incorporación

No se requiere acción del administrador. Sin enlaces de invitación que gestionar. Un nuevo empleado inicia sesión el primer día, y su acceso se configura según los grupos a los que pertenece en su IdP.

Flujo de inicio de sesión

Desde la perspectiva del usuario, el inicio de sesión SSO son 3 clics:

  1. Hacer clic en “Iniciar sesión con SSO” en la página de login
  2. Ingresar su dirección de email
  3. El sistema realiza una búsqueda de dominio — un endpoint público, sin autenticación, que verifica si el dominio de email tiene un proveedor SSO configurado
  4. Si se encuentra un proveedor, aparece un botón “Iniciar sesión con [Nombre del proveedor]”
  5. Hacer clic, autenticarse con el IdP vía signInWithPopup y aterrizar en JieGou

El endpoint de búsqueda de dominio es intencionalmente público. No revela si una dirección de email específica existe — solo si un dominio tiene SSO configurado. Este es el patrón estándar usado por la mayoría de las implementaciones SSO para dirigir a los usuarios al IdP correcto.

Seguridad

Unicidad de dominio — Cada dominio de email solo puede ser reclamado por una cuenta. Esto previene que una cuenta maliciosa configure SSO para un dominio que no posee e intercepte flujos de autenticación.

Registro de auditoría — Cada cambio de configuración se registra en auditoría: quién cambió qué, cuándo, y los valores antes/después. La configuración, modificación, prueba, habilitación y deshabilitación de SSO se rastrean.

Acceso solo para administradores — La configuración SSO requiere el permiso account:admin. Los usuarios regulares pueden autenticarse vía SSO pero no pueden ver ni modificar la configuración.

Secretos cifrados — Los client secrets de OIDC se cifran vía key-vault antes de escribirse en la base de datos. Se descifran en memoria solo cuando se necesitan para el intercambio de tokens.

Disponibilidad

La configuración SSO/SAML de autoservicio está disponible en planes Enterprise. Incluye los 7 presets de proveedores de identidad, soporte SAML 2.0 y OIDC, mapeo de grupo a rol, aprovisionamiento JIT, diagnósticos de conexión y registro completo de auditoría. Conozca más sobre las funcionalidades enterprise o inicie una prueba.

sso saml oidc enterprise security identity

Explore more

⚙️ Enterprise Plan ⚙️ Platform Overview ⚙️ How It Works
Compartir este artículo

Artículos relacionados

El 80% de su fuerza laboral usa IA no aprobada. Esto es lo que le está costando.

La IA en la sombra no es hipotética. Más del 80% de uso no aprobado, 33% compartiendo datos propietarios, $650K+ por brecha. La crisis está cuantificada. Así es como la gobernanza la previene.

412 politicas, cero brechas: Cumplimiento empresarial para automatizacion AI

Como el marco de cumplimiento de JieGou cubre 17 dominios con 412 documentos de politicas pre-llenados, evaluacion basada en Terraform y evaluacion automatizada de postura — construido para industrias reguladas.

Por qué el estado gobernado supera a la memoria persistente para la IA empresarial

OpenAI y Amazon anunciaron un Entorno de Ejecución con Estado para agentes Frontier. He aquí por qué la arquitectura de estado gobernado de JieGou — donde cada mutación de estado es visible, auditable y con alcance — es el mejor enfoque para la IA empresarial.

¿Le gustó este artículo?

Reciba consejos sobre flujos de trabajo, actualizaciones de producto y guías de automatización en su bandeja de entrada.

No spam. Unsubscribe anytime.

← Volver a todos los artículos