Índice
Resumen
Configuración general
Verificación del dominio SAML
Habilitación de SAML SSO
Desactivación de SAML SSO
Okta
Crear una cuenta de Okta (si es necesario)
Crear una nueva aplicación de Okta
Configurar la integración SAML en Okta
Configurar los atributos en Okta
Asignación de roles de Mailgun en Okta
OneLogin
Configuración de SAML SSO con OneLogin
Configuración de atributos en OneLogin & Rolemapping
¿Tienes preguntas?
Resumen
Nota: SAML SSO está disponible en los Planes Scale y superiores. Consulta nuestra comparativa de planes aquí .
Utilizando el protocolo SAML 2.0, Mailgun te permite integrarte con tu proveedor de identidades para autenticar a los usuarios a través del inicio de sesión único, también conocido como SSO. En teoría, siempre y cuando tu proveedor de identidades actual soporte el protocolo SAML 2.0 (Okta, Auth0, OneLogin, Azure AD, etc.), entonces deberías ser capaz de utilizar tu proveedor con Mailgun.
Mailgun admite el aprovisionamiento justo a tiempo (JiT), de modo que cuando un usuario inicia sesión en Mailgun utilizando nuestra integración SSO, ese usuario se convierte automáticamente en un usuario bajo tu cuenta de Mailgun.
En definitiva, este proceso de configuración requiere el intercambio de información entre los dos sistemas:
-
Proporciona a Mailgun la siguiente información de tu proveedor de identidades
- ID del IdP , o IdP Entity ID (también conocido como Identity Provider Issuer)
- URL de inicio de sesión único
- Certificado X509
-
Proporciona a tu proveedor de identidades la siguiente información de Mailgun
- ID de entidad
- URL del servicio de consumidor de aserciones
- URL del servicio de cierre de sesión único
Configuración general
Verificación del dominio SAML
Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión). Hay dos métodos para verificar tu dominio corporativo en la plataforma Mailgun:
- Dominio de envío verificado: Si a futuro o ahora utilizas tu dominio corporativo para el envío en Mailgun, puedes utilizar nuestro método actual de añadir registros SPF y DKIM para verificar el dominio como dominio de envío en Mailgun.Este dominio debe coincidir con el FQDN de tu dirección de email corporativa utilizado para la autenticación.Si el dominio ya es un dominio de envío verificado en tu cuenta, no es necesario realizar ninguna otra acción.
-
Registro TXT: Mailgun puede generar un registro TXT único para que lo añadas a las DNS de tu dominio corporativo que nos permitirá verificar que eres el propietario de este dominio. Para utilizar este método:
- Navega hasta la página de ajustes de configuración de SAML (consulta la sección Habilitación de SAML SSO más abajo).
- Introduce tu dominio corporativo en el campo Nombre de dominio en la sección Generación de registros TXT de dominio.
- Haz clic en el botón Generar.
- Por último, copia el registro TXT del recuadro emergente, y añádelo a tu proveedor de alojamiento DNS para tu dominio corporativo.
Habilitación de SAML SSO
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
En cuanto a la habilitación de SAML SSO, te mostramos cómo hacerlo a continuación:
- En primer lugar, inicia sesión en el Panel de control de Mailgun (si aún no lo has hecho).
- A continuación, en la esquina superior derecha de la página, haz clic en el menú desplegable Perfil para ampliar su lista de opciones.
- A continuación, haz clic en la opción "Account" (Cuenta). También puedes utilizar este enlace directo.
- En la página que se abre, en la sección "Authentication" (Autenticación), haz clic en el botón "Setup" (Configuración) para la configuración de SAML Auth.
Una vez allí, encontrarás los detalles del proveedor SAML (SP) correspondiente [por ejemplo,detalles de Mailgun que le hayas proporcionado a tu proveedor de identidad], así como los detalles del proveedor de identidad (IdP) [es decirdetalles del proveedor de identidad que has proporcionado a Mailgun]. Este artículo repasa la información específica y los pasos adicionales necesarios en las secciones pertinentes del proveedor de identidad (por ejemplo, Okta, OneLogin, etc.).
Desactivación de SAML SSO
Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.
En cuanto a la desactivación de SAML SSO, te mostramos cómo hacerlo a continuación:
- En primer lugar, inicia sesión en el Panel de control de Mailgun (si aún no lo has hecho).
- A continuación, en la esquina superior derecha de la página, haz clic en el menú desplegable Perfil para ampliar su lista de opciones.
- A continuación, haz clic en la opción "Account" (Cuenta). También puedes utilizar este enlace directo.
- En la página que se abre, en la sección "Authentication" (Autenticación), junto al ajuste "SAML Auth" (Autenticación SAML), haz clic en el botón "Disable" (Deshabilitar).
Nota especial: Cualquier usuario creado antes de activar SAML podrá iniciar sesión en https://login.mailgun.com/ con su combinación anterior de nombre de usuario y contraseña para su cuenta de Mailgun. Cualquier usuario creado usando JiT a través de SAML tendrá que iniciar un restablecimiento de contraseña en https://login.mailgun.com/recovery/new.
Okta
Crear una cuenta de Okta (si es necesario)
En primer lugar, necesitarás una cuenta de Okta. Si ya tienes una, ¡genial! Si no, puedes registrarte en https://developer.okta.com y seguir las instrucciones para obtener una cuenta de desarrollador gratuita.
Crear una nueva aplicación de Okta
Una vez que tengas una cuenta de Okta, navega hasta "Applications" (Aplicaciones) en el panel de navegación de la izquierda. En la página que se abre, haz clic en el botón "Create App integration" (Crear integración de aplicación).
Cuando aparezca el elemento emergente, selecciona SAML 2.0 como método de inicio de sesión. En el siguiente elemento emergente, se te ofrece la oportunidad de darle a tu aplicación un nombre descriptivo y un logotipo, si lo deseas, antes de continuar el proceso haciendo clic en el botón Siguiente.
Configurar la integración SAML en Okta
A continuación, se te presentarán varios campos. Te explicamos qué datos debes asignar a cada campo:
-
- URL de inicio de sesión único (URL del servicio de consumidor de aserciones en tu panel de control de Mailgun)
- URI de la audiencia ("Entity ID" (ID de la entidad) en tu panel de control de Mailgun)
- Deja "Default RelayState" (Estado de retransmisión por defecto) en blanco
- "Name ID format" (Formato del identificador del nombre) debe ajustarse a "EmailAddress"
- "Application username" (Nombre de usuario de la aplicación) debe establecerse como "email"
- "Update application username on" (Actualizar el nombre de usuario de la aplicación en) debe establecerse como "Create and update"
Configurar los atributos en Okta
Nota: te pedimos que proporciones declaraciones de atributos para FirstAndLastName ya que, de lo contrario, le proporcionaremos un nombre genérico.
Hay tres atributos en total (uno de los cuales será un atributo de grupo) que habrá que añadir. Te explicamos qué datos debes asignar a cada campo:
- Attribute Statement 1
- "Name" (Nombre): FirstAndLastName
- "Name format" (Formato del nombre): dejar como "Unspecified" (Sin especificar)
- "Value" (Valor): user.firstName + " " + user.lastName
- Nota: los caracteres especiales y el espaciado específico en el valor anterior son intencionales
- Attribute Statement 2
- Nombre: email
- "Name format" (Formato del nombre): dejar como "Unspecified" (Sin especificar)
- "Value" (Valor): user.email
- Group Attribute Statement 1
- "Name" (Nombre): UserGroup
- "Name format" (Formato del nombre): dejar como "Unspecified" (Sin especificar)
- "Filter" (Filtro):
- Desplegable: selecciona Matches regex en el desplegable
- Cuadro de texto: .*
Asignación de roles de Mailgun en Okta
Okta organiza a los usuarios en grupos. Por lo general, estos grupos organizan a los usuarios según el papel que desempeñan dentro de la organización (por ejemplo asistencia, facturación, etc.). Estos grupos deben ser asignados a los roles dentro de Mailgun también. El siguiente es un ejemplo sencillo de configuración del mapeo de roles en Mailgun. Esta configuración pasará los nombres de los grupos de Okta en la aserción SAML dentro del atributo UserGroup , permitiendo en última instancia que el mapeo de roles de Mailgun decida qué rol debe asignarse a un usuario determinado.
La siguiente captura de pantalla es de Mailgun en la página de configuración de SAML. En este ejemplo, siempre que un usuario Okta tenga el atributo de grupo del proveedor de identidades (UserGroup) asignado a "Developers", Mailgun a su vez asignará al usuario un rol de "desarrollador".Un ejemplo similar podría ser un "UserGroup" de Okta de "Supervisors" que se mapea al rol de Mailgun de "admin".
Aspectos importantes a tener en cuenta:
- Un usuario debe asignarse a un rol particular o no se le denegará el acceso con un mensaje de error correcto.
- No todos los roles de Mailgun necesitan tener una asignación. Por ejemplo, si no necesitas usar el rol de "Analista" en Mailgun, deja esa asignación en blanco en el Panel de control de Mailgun.
- La función de mapeo de roles de Mailgun solo admite coincidencias de cadenas sensibles a mayúsculas y minúsculas.Las expresiones regulares (regex) no son compatibles en este momento.
- Los propietarios de las cuentas nunca pueden realizar un inicio de sesión iniciado por SP, introduciendo su dirección de correo electrónico en login.mailgun.com.Esto es para evitar que el propietario de la cuenta se bloquee.Sin embargo, el propietario de la cuenta puede realizar un inicio de sesión iniciado por el IdP.
- Es totalmente posible que un usuario pueda estar en dos grupos en Okta o que tenga asignados varios roles en Mailgun. Si esto sucede, Mailgun utilizará el rol de mayor prioridad para ese usuario. Por ejemplo, si un usuario tiene asignados tanto el rol de "desarrollador" como el de "administrador", se le asignará "administrador" en Mailgun ya que tiene mayor prioridad. Los roles tienen la siguiente prioridad en orden descendente:
- administrador/a
- desarrollador/a
- asistencia
- facturación
- analista
OneLogin
Configuración de SAML SSO con OneLogin
Accede a tu página de administración de OneLogin; en la barra de navegación dirígete a "Applications" (Aplicaciones)
En "Applications" (Aplicaciones), crea tu propia aplicación seleccionando "Add App" (Añadir aplicación)
En la página siguiente se te presentarán las categorías. Dirígete a la barra de búsqueda y busca "SAML". En los resultados selecciona "SAML Custom Connector (Advanced)"
Dale a la aplicación del conector algunos detalles, como un nombre para mostrar y una descripción para que otros administradores de tu organización la vean, por ejemplo recomendaciones de configuración o procesos. También puedes elegir si quieres que la aplicación sea visible para los usuarios de los paneles/perfiles de OneLogin. Puedes personalizar el logotipo utilizando nuestros recursos en nuestra GitHub Repo.
Cuando guardes, llegarás a una página similar con opciones adicionales para seleccionar, como se ve a continuación.
Para la siguiente sección, carga los detalles de SAML de Mailgun desde tu panel de control si no los tienes ya en otra pestaña/ventana. Copia los detalles del proveedor de servicios de Mailgun, fíjate en los botones de copia para asegurarte de que no hay problemas de formato de caracteres o espacios iniciales o finales.
Copia estos en OneLogin yendo a "Configuration" (Configuración)
- "Entity ID" (ID de la entidad) irá en el campo "Audience (EntityID)".
- La "Assertion Consumer Service URL" (URL del servicio de consumo de aserción o URL de ACS) irá en el campo "ACS (Consumer) URL Validato" y en el campo "ACS (Consumer) URL".
- El "Single Logout Service" (Servicio de cierre de sesión único) irá en el campo "Single Logout URL"
- NOTA: Mailgun requiere que AMBOS , tanto la aserción como la respuesta estén firmados. Es necesario cambiar el "SAML signature element" (elemento de firma SAML) a AMBOS.
Ahora tendrás que proporcionar información de OneLogin a Mailgun. Dirígete a la sección "SSO". Ten en cuenta los botones de copia para facilitar las cosas.
Para copiar el certificado X.509 tendrás que hacer clic en "View Details" (Ver detalles) y eso te llevará a esta página (observa que hay otro botón de copia). No cambies nada más, NO HAGAS CLIC EN "DELETE" y simplemente navega de vuelta a la configuración de tu aplicación.
- La "Issuer URL" (URL del emisor) irá en el campo "IdP Entity ID"
- "SAML 2.0 Endpoint (HTTP)" irá en el campo "Single Sign-On URL"
- "SLO Endpoint (HTTP)" irá en el campo "Single Logout Service URL"
- El "X.509 certificate" (Certificado X.509) irá en el campo "X.509 certificate"
Pulsa "Update" (Actualizar) y deberías recibir notificaciones Toast informándote de que cada campo se ha actualizado correctamente.
Configuración de atributos en OneLogin & Rolemapping
A partir de aquí tendrás que configurar los parámetros para que cualquiera de las dos plataformas pueda utilizar los valores y que los roles se asignen como deseas. Tendrás que configurar un "Attribute Name" (Nombre de atributo) para cada rol que quieras configurar. Dependiendo de cómo maneje tu organización su Identity Access Management (IAM) estos pueden ser iguales o diferentes. Para obtener más información sobre la mejor manera de implementar la IAM para tu organización, ponte en contacto con tu equipo de asistencia o ingeniero de OneLogin.
Para el siguiente ejemplo, configuraremos usando el "Title" (Título) de un usuario de OneLogin como el identificador en OneLogin. Aún así, puede que tu organización utilice grupos, departamentos, equipos, etc.
Para empezar creamos "MG.Role" como el Nombre del Atributo y el Valor objetivo para que se corresponda con ambos.
En OneLogin ve a "Parameters" (Parámetros) donde crearás un campo conector de parámetros personalizado que coincida con el Nombre de Atributo que elegimos en Mailgun. Para este ejemplo, "MG.Role", y asegúrate de que "Include SAML Assertion" esté activado.
La página se actualizará y te permitirá elegir tu Valor de OneLogin objetivo a la que quieres apuntar.
Notas:
- Un usuario debe asignarse a un rol particular o no se permitirá el acceso y se mostrará el mensaje de error correspondiente.
- No todos los roles de Mailgun necesitan tener una asignación. Por ejemplo, si no hay necesidad de que el rol de "Analyst" (Analista) inicie sesión en Mailgun, simplemente deja esa asignación en blanco en la interfaz de usuario de Mailgun.
- La función de mapeo de roles de Mailgun solo admite coincidencias de cadenas sensibles a mayúsculas y minúsculas. Las expresiones regulares (regex) no son compatibles en este momento.
- Los propietarios de las cuentas nunca pueden realizar un flujo de inicio de sesión iniciado por SP, introduciendo su dirección de correo electrónico en login.mailgun.com. Esto es para evitar que el propietario de la cuenta se bloquee. Sin embargo, el propietario de la cuenta puede realizar un inicio de sesión iniciado por el IdP.
Guarda todos tus cambios.
Por último, tendrás que asegurarte de que tus usuarios deseados tienen asignada la aplicación que acabas de crear. En este ejemplo, como solo tenemos un usuario, lo hicimos directamente en la sección de detalles del usuario. Es posible que la configuración de IAM de tu organización con OneLogin utilice grupos, departamentos o roles, para la asignación del Control de Acceso Basado en Roles (RBAC, por sus siglas en inglés) para utilizar aplicaciones a gran escala. Para configurar y ayudar a asegurar que los usuarios sean asignados apropiadamente trabaja con el equipo de asistencia de OneLogin.
Para probar las cosas, se recomienda crear un usuario de prueba en OneLogin, configurarlo como se desee allí, y dirigirse a nuestra "Login Page" (página de inicio de sesión) EN UNA NUEVA VENTANA EN MODO INCÓGNITO. Cuando inicies sesión como el nuevo usuario, deberías ser redirigido a autenticar el usuario con OneLogin.
Para confirmarlo, vuelve a tu sesión de navegador en caché (es decir, la que no está en modo incógnito) y navega hasta la página de seguridad de tu cuenta.Aquí, si se ha completado con éxito, verás tu nuevo usuario creado automáticamente con una etiqueta "SAML Auth".
Y ya está, hecho
¿Tienes preguntas?
¡Mailgun by Sinch tiene respuestas! Si te queda alguna duda o pregunta, abre una incidencia utilizando la página de asistencia dentro de tu panel de control de Mailgun. Nuestro equipo de asistencia estará encantado de ayudarte.