Estamos experimentando dificultades. Nuestros ingenieros están trabajando. Consulte status.mailgun.com para obtener actualizaciones en tiempo real.

Autenticación SAML SSO

Utilizando el protocolo SAML 2.0, Mailgun te permite integrarte con tu proveedor de identidades para autenticar a los usuarios a través del inicio de sesión único, también conocido como SSO. En teoría, siempre y cuando tu proveedor de identidades actual soporte el protocolo SAML 2.0 (Okta, Auth0, Onelogin, Azure AD, etc.), entonces deberías ser capaz de utilizar tu proveedor con Mailgun.

Mailgun admite el aprovisionamiento justo a tiempo (JiT), de modo que cuando un usuario inicia sesión en Mailgun utilizando nuestra integración SSO, ese usuario se convierte automáticamente en un usuario bajo tu cuenta de Mailgun.

Nota: la autenticación SAML SSO sólo está disponible en los Planes Scale y superiores. Consulta nuestra comparación de planes aquí.

 

Requisitos para habilitar SAML SSO en Mailgun:

Dominio verificado

Para configurar SAML, tendrás que verificar que eres el dueño de tu dominio corporativo (el dominio que se utiliza en la configuración de SAML para iniciar sesión). Hay dos métodos para verificar tu dominio corporativo en la plataforma Mailgun:

  • Dominio de envío verificado: si a futuro o ahora utilizas tu dominio corporativo para el envío en Mailgun, puedes utilizar nuestro método actual de añadir registros SPF y DKIM para verificar el dominio como dominio de envío en Mailgun. Este dominio debe coincidir con el FQDN de tu dirección de email corporativa utilizado para la autenticación. Si el dominio ya es un dominio de envío verificado en tu cuenta, no es necesario realizar ninguna otra acción.
  • Registro TXT: Mailgun puede generar un registro TXT único que debes añadir al DNS de tu dominio corporativo y que nos permite verificar que eres el propietario del dominio. Para utilizar este método, navega hasta la página de ajustes de SAML (consulta la sección "Acceso y habilitación de SAML SSO en Mailgun" a continuación), introduce tu dominio corporativo en el campo "Domain Name" (Nombre del dominio) de la sección "Domain TXT Record Generation" (Generación de registro TXT del dominio) y pulsa "Generate" (Generar). Copia el registro TXT del cuadro emergente y añádelo a los registros DNS de tu dominio.

Tendrás que proporcionar lo siguiente a Mailgun desde tu proveedor de identidades:

  • ID del IdP , o IdP Entity ID (También conocido como Identity Provider Issuer)
  • URL de inicio de sesión único
  • Certificado X509

Tendrás que proporcionar los siguientes detalles del proveedor SAML a tu proveedor de identidades desde Mailgun:

  • ID de entidad
  • URL del servicio de consumidor de aserciones
  • URL del servicio de cierre de sesión único

 

Acceso y habilitación de SAML SSO en Mailgun

Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.

Para acceder a los ajustes de SAML en Mailgun, navega hasta la parte superior derecha de la página junto a tu nombre de usuario, haz clic en la flecha hacia abajo y selecciona la opción "Account" (Cuenta). También puedes utilizar este enlace directo. En la página siguiente, verás varios grupos o secciones de ajustes. En la sección "Authentication" (Autenticación), localiza el campo "SAML Auth" (Autenticación SAML). Haz clic en el botón gris claro "Setup" (Configuración) para iniciar el proceso de configuración:

Configuracion.PNG

Una vez allí, encontrarás los detalles pertinentes del proveedor de SAML, así como la información que tendrás que proporcionar a Mailgun:

Configuracion.png

Desactivación de SAML SSO

Nota: solo los usuarios administradores tienen acceso a activar/desactivar SAML en una cuenta.

Para desactivar la autenticación SSO SAML en tu cuenta, navega hasta la parte superior derecha de la página junto a tu nombre de usuario, haz clic en la flecha hacia abajo y selecciona la opción "Account" (Cuenta). También puedes utilizar este enlace directo. Desplázate hasta la sección "Authentication" (Autenticación) y, junto a la opción "SAML Auth" (Autorización SAML), haz clic en el botón gris claro "Deactivate" (Desactivar).

Los usuarios creados antes de activar SAML podrán iniciar sesión en https://login.mailgun.com/ con su combinación anterior de nombre de usuario y contraseña para su cuenta de Mailgun. Cualquier usuario que haya sido creado usando JiT a través de SAML tendrá que iniciar un restablecimiento de contraseña en https://login.mailgun.com/recovery/new.

 

Okta

Configuración de SAML SSO con Okta

En primer lugar, necesitarás una cuenta de Okta. Si ya tienes una, genial. Si no, puedes registrarte en https://developer.okta.com y seguir las instrucciones para obtener una cuenta de desarrollador gratuita.

Las siguientes instrucciones y capturas de pantalla están hechas asumiendo que estás utilizando la interfaz de usuario clásica de Okta, a la que se puede acceder mediante su menú desplegable en la esquina superior izquierda.

UI_clasico.png

Una vez que tengas una cuenta de Okta, navega hasta "Applications" (Aplicaciones) y haz clic en "Add Application" (Añadir aplicación) y luego en "Create New App" (Crear nueva aplicación). Cuando aparezca el modal, selecciona la Plataforma Web y SAML 2.0 como método de inicio de sesión.

SAML_crear_app.png

Dale a tu aplicación un nombre descriptivo y un logotipo, si lo deseas, y haz clic en "Next" (Siguiente).

Introduce tu:

    • URL de inicio de sesión único (se denomina "Assertion Consumer Service URL" (URL del servicio de consumidor de aserciones) en tu panel de control de Mailgun)
    • URI de la audiencia ("Entity ID" (ID de la entidad) en tu panel de control de Mailgun)
    • Deja "Default RelayState" (Estado de retransmisión por defecto) en blanco
    • "Name ID format" (Formato del identificador del nombre) debe ajustarse a "EmailAddress"
    • "Application username" (Nombre de usuario de la aplicación) debe establecerse como "email".


SAML_Configuracion.png


Configuración de atributos en Okta

AtributosUsuario.png

Deberás proporcionar declaraciones de atributos para "FirstAndLastName" (de lo contrario, proporcionaremos un nombre genérico)

Okta organiza a los usuarios en grupos. Normalmente esos grupos organizan a los usuarios por el rol que tienen dentro de la organización. Esos grupos deben asignarse a los roles dentro de Mailgun también. El siguiente es un ejemplo sencillo para configurar la asignación de roles en Mailgun. Esta configuración simplemente pasará los nombres de los grupos de Okta en la aserción SAML en el atributo "UserGroup" y permitirá que el mapeo de roles de Mailgun decida qué rol debe asignarse al usuario.

En Mailgun, esto significa que el atributo IdP "UserGroup" (que configuramos arriba para pasar el nombre del Grupo Okta) que tiene el nombre "Developers" debe ser asignado al rol "Developer".

SAMLmapeadoRoles.png

Notas:

  • Un usuario debe asignarse a un rol particular o no se permitirá el acceso y se mostrará el mensaje de error correspondiente.
  • No todos los roles de Mailgun necesitan tener una asignación. Por ejemplo, si no hay necesidad de que el rol de "Analyst" (Analista) inicie sesión en Mailgun, simplemente deja esa asignación en blanco en la interfaz de usuario de Mailgun.
  • La función de mapeo de roles de Mailgun sólo admite coincidencias de cadenas sensibles a mayúsculas y minúsculas. Las expresiones regulares (regex) no son compatibles en este momento.
  • Los propietarios de las cuentas nunca pueden realizar un flujo de inicio de sesión iniciado por SP, introduciendo su dirección de correo electrónico en login.mailgun.com. Esto es para evitar que el propietario de la cuenta se bloquee. Sin embargo, el propietario de la cuenta puede realizar un inicio de sesión iniciado por el IdP.

 

Es totalmente posible que un usuario pueda estar en dos grupos en Okta o que tenga asignados varios roles en Mailgun. Si esto sucede, Mailgun utilizará el rol de mayor prioridad para ese usuario. Los roles tienen la siguiente prioridad en orden descendente.

  • administrador/a
  • desarrollador/a
  • asistencia
  • facturación
  • analista

 

Así, por ejemplo, si un usuario se asigna a un "desarrollador" y a un "administrador", será "administrador" en Mailgun ya que tiene mayor prioridad.

OneLogin

Configuración de SAML SSO con OneLogin

Accede a tu página de administración de OneLogin; en la barra de navegación dirígete a "Applications" (Aplicaciones)
mceclip0.png

En "Applications" (Aplicaciones), crea tu propia aplicación seleccionando "Add App" (Añadir aplicación)

mceclip2.png

En la página siguiente se te presentarán las categorías. Dirígete a la barra de búsqueda y busca "SAML". En los resultados selecciona "SAML Custom Connector (Advanced)"

mceclip5.png

Dale a la aplicación del conector algunos detalles, como un nombre para mostrar y una descripción para que otros administradores de tu organización la vean, por ejemplo recomendaciones de configuración o procesos. También puedes elegir si quieres que la aplicación sea visible para los usuarios de los paneles/perfiles de OneLogin. Puedes personalizar el logotipo utilizando nuestros activos en nuestra GitHub Repo

mceclip7.png

Cuando guardes, llegarás a una página similar con opciones adicionales para seleccionar, como se ve a continuación.

mceclip0.png

Para la siguiente sección, carga los detalles de SAML de Mailgun desde tu panel de control si no los tienes ya en otra pestaña/ventana. Copia los detalles del proveedor de servicios de Mailgun, fíjate en los botones de copia para asegurarte de que no hay problemas de formato de caracteres o espacios iniciales o finales.
mceclip9.png

Copia estos en OneLogin yendo a "Configuration" (Configuración)

  • "Entity ID" (ID de la entidad) irá en el campo "Audience (EntityID)".
  • La "Assertion Consumer Service URL" (URL del servicio de consumo de aserción o URL de ACS) irá en el campo "ACS (Consumer) URL Validato" y en el campo "ACS (Consumer) URL".
  • El "Single Logout Service" (Servicio de cierre de sesión único) irá en el campo "Single Logout URL"
  • NOTA: Mailgun requiere que AMBOS , tanto la aserción como la respuesta estén firmados. Es necesario cambiar el "SAML signature element" (elemento de firma SAML) a AMBOS.
 

mceclip12.png

Ahora tendrás que proporcionar información de OneLogin a Mailgun. Dirígete a la sección "SSO". Ten en cuenta los botones de copia para facilitar las cosas. mceclip13.png

Para copiar el certificado X.509 tendrás que hacer clic en "View Details" (Ver detalles) y eso te llevará a esta página (observa que hay otro botón de copia). No cambies nada más, NO HAGAS CLIC EN "DELETE" y simplemente navega de vuelta a la configuración de tu aplicación.

mceclip14.png

  • La "Issuer URL" (URL del emisor) irá en el campo "IdP Entity ID"
  • "SAML 2.0 Endpoint (HTTP)" irá en el campo "Single Sign-On URL"
  • "SLO Endpoint (HTTP)" irá en el campo "Single Logout Service URL"
  • El "X.509 certificate" (Certificado X.509) irá en el campo "X.509 certificate"

mceclip15.png

Pulsa "Update" (Actualizar) y deberías recibir notificaciones Toast informándote de que cada campo se ha actualizado correctamente.

 

Configuración de atributos en Onelogin

A partir de aquí tendrás que configurar los parámetros para que cualquiera de las dos plataformas pueda utilizar los valores y que los roles se asignen como deseas. Tendrás que configurar un "Attribute Name" (Nombre de atributo) para cada rol que quieras configurar. Dependiendo de cómo maneje tu organización su Identity Access Management (IAM) estos pueden ser iguales o diferentes. Para obtener más información sobre la mejor manera de implementar la IAM para tu organización, ponte en contacto con tu equipo de asistencia o ingeniero de OneLogin.

Para el siguiente ejemplo, configuraremos usando el "Title" (Título) de un usuario de OneLogin como el identificador en OneLogin. Aún así, puede que tu organización utilice grupos, departamentos, equipos, etc.

Para empezar creamos "MG.Role" como el Nombre del Atributo y el Valor objetivo para que se corresponda con ambos.

mceclip16.png

En OneLogin ve a "Parameters" (Parámetros) donde crearás un campo conector de parámetros personalizado que coincida con el Nombre de Atributo que elegimos en Mailgun. Para este ejemplo, "MG.Role", y asegúrate de que "Include SAML Assertion" esté activado.

mceclip18.png

La página se actualizará y te permitirá elegir tu Valor de OneLogin objetivo a la que quieres apuntar.

mceclip20.png

Notas:

  • Un usuario debe asignarse a un rol particular o no se permitirá el acceso y se mostrará el mensaje de error correspondiente.
  • No todos los roles de Mailgun necesitan tener una asignación. Por ejemplo, si no hay necesidad de que el rol de "Analyst" (Analista) inicie sesión en Mailgun, simplemente deja esa asignación en blanco en la interfaz de usuario de Mailgun.
  • La función de mapeo de roles de Mailgun sólo admite coincidencias de cadenas sensibles a mayúsculas y minúsculas. Las expresiones regulares (regex) no son compatibles en este momento.
  • Los propietarios de las cuentas nunca pueden realizar un flujo de inicio de sesión iniciado por SP, introduciendo su dirección de correo electrónico en login.mailgun.com. Esto es para evitar que el propietario de la cuenta se bloquee. Sin embargo, el propietario de la cuenta puede realizar un inicio de sesión iniciado por el IdP.

Guarda todos tus cambios.


Por último, tendrás que asegurarte de que tus usuarios deseados tienen asignada la aplicación que acabas de crear. En este ejemplo, como sólo tenemos un usuario, lo hicimos directamente en la sección de detalles del usuario. Es posible que la configuración de IAM de tu organización con OneLogin utilice grupos, departamentos o roles, para la asignación del Control de Acceso Basado en Roles (RBAC, por sus siglas en inglés) para utilizar aplicaciones a gran escala. Para configurar y ayudar a asegurar que los usuarios sean asignados apropiadamente trabaja con el equipo de asistencia de OneLogin.

mceclip21.png

 

Para probar las cosas, se recomienda crear un usuario de prueba en OneLogin, configurarlo como se desee allí, y dirigirse a nuestra "Login Page" (página de inicio de sesión) EN UNA NUEVA VENTANA EN MODO INCÓGNITO. Cuando inicies sesión como el nuevo usuario, deberías ser redirigido a autenticar el usuario con OneLogin.
mceclip22.png

Para confirmarlo, vuelve a tu sesión de navegador en caché (es decir, la que no está en modo incógnito) y navega hasta la página de seguridad de tu cuenta. Aquí, si se ha completado con éxito, verás tu nuevo usuario creado automáticamente con una etiqueta "SAML Auth" .

mceclip23.png

Y ya está, hecho