Inicio de sesión único (SSO) para tu empresa

Qué hace «SSO»

Con la función «SSO» activada, tus compañeros de trabajo inician sesión en LeyApp a través del proveedor de identidades de tu empresa, en lugar de tener que recordar una contraseña diferente. Los nuevos empleados obtienen acceso en el momento en que el departamento de TI los añade al grupo de IdP correspondiente; los empleados que dejan la empresa pierden el acceso en el momento en que el departamento de TI los elimina.

SSO no sustituye las cuentas de usuario de LeyApp, sino que las vincula. Las cuentas existentes en los dominios de correo electrónico verificados de tu empresa comenzarán a autenticarse a través de SAML en cuanto actives esta opción.

Antes de poder configurar SSO

• Tu empresa debe estar **verificada** (la insignia de verificación debe aparecer en el encabezado de la página de la empresa). El acceso a SSO está restringido a las empresas verificadas, ya que el enrutamiento de la autenticación es un tema delicado.
• Tu empresa debe tener al menos un **dominio de correo electrónico** añadido en Ajustes → Empresa. SSO solo redirige a los usuarios cuyo correo electrónico coincida con un dominio configurado.
• Solo los **propietarios y administradores** de la empresa pueden ver la página SSO. Los miembros tienen acceso de solo lectura, en el que se ocultan los metadatos y los controles de la zona de peligro.

Cómo funciona la configuración

La configuración consiste en un intercambio único de metadatos entre su proveedor de identidades (IdP) y LeyApp. Usted facilita al IdP la información de nuestro proveedor de servicios (URL de ACS e ID de entidad), y envía a LeyApp los metadatos de su IdP (ya sea en formato XML sin procesar o como una URL de metadatos alojada).

Paso a paso

1. Abre **Panel de control → Empresa → SSO**. Copia la URL de ACS y el ID de entidad; estos datos se introducen en tu proveedor de identidades (IdP) al crear una nueva aplicación SAML.
2. En tu proveedor de identidades (IdP), crea una aplicación SAML 2.0 para LeyApp utilizando los valores que has copiado. Configura los atributos de usuario de modo que el campo de correo electrónico se asigne a NameID.
3. Exporta los metadatos de tu IdP en formato XML o copia la URL de los metadatos alojados.
4. Vuelve a la página LeyApp SSO, pega el XML de metadatos en el cuadro **Metadatos del IdP** (o pega la URL en el campo URL de metadatos) y haz clic en **Configurar proveedor**.
5. Comprueba el inicio de sesión cerrando la sesión y volviendo a iniciarla con el correo electrónico de dominio de un compañero. Debería redirigirse a tu IdP.

Niveles de aplicación

Una vez completada la configuración, elija el nivel de rigor con el que LeyApp aplica SSO a los usuarios de sus dominios:

**Opcional**: los usuarios de tu dominio pueden elegir entre SSO o una contraseña. **Recomendado**: se ofrece SSO de forma predeterminada, aunque el inicio de sesión con contraseña sigue funcionando. **Obligatorio**: solo se aceptan inicios de sesión mediante SSO; los inicios de sesión con contraseña en tu dominio quedan bloqueados.

Conflictos de dominios

Cada dominio de correo electrónico solo puede ser reclamado por una empresa. Si añades un dominio que ya ha verificado otra organización, aparecerá un mensaje de error y deberás presentar una reclamación a través del servicio de asistencia. La resolución del conflicto sigue el mismo procedimiento que el proceso de reclamación de la empresa: prevalece la prueba de la titularidad del dominio.

Desactivar o eliminar «SSO»

**Desactivar** mantiene la configuración, pero deja de redirigir los nuevos inicios de sesión a través de ella, lo cual resulta útil a la hora de solucionar una interrupción del servicio del IdP. **Eliminar** elimina por completo el proveedor SAML; los usuarios de tu dominio volverán a iniciar sesión con contraseña. Ambas acciones se encuentran en la zona de riesgo, en la parte inferior de la página SSO, y requieren confirmación.