En este artículo se explica cómo configurar el inicio de sesión único (SSO) con SAML 2.0 en Personio. SAML (Security Assertion Markup Language) 2.0 es un estándar de autenticación muy utilizado. Con esta configuración, la organización puede utilizar un proveedor de identidad (IdP) existente para iniciar sesión en Personio. Esto significa que los empleados no tienen que gestionar una contraseña de Personio independiente.
Personio es compatible con cualquier proveedor de identidad (IdP) que cumpla con el estándar SAML 2.0. Entre otros, se incluyen los siguientes:
- Microsoft Entra ID (Azure AD)/ADFS
- Okta
- OneLogin
- JumpCloud
Antes de empezar
- Para configurar el SSO con SAML, necesitas los siguientes permisos:
- Un rol de administrador de Personio.
- Un rol de empleado con permiso de edición en Configuración de la cuenta > Autenticación.
- Comprueba que ya has invitado a los empleados a Personio. Cada uno de ellos tiene que activar la cuenta para poder iniciar sesión.
- Necesitas permiso de acceso de administrador en el IdP para registrar una aplicación nueva de proveedor de servicios.
- El IdP tiene que ser compatible con SAML 2.0 y con el SSO iniciado por el proveedor de servicios.
- Personio asocia a los usuarios autenticados con los registros de los empleados mediante el correo electrónico. Todos los empleados que utilicen el SSO mediante SAML tienen que tener ya un perfil del empleado en Personio con un correo electrónico que coincida.
Paso 1: Abre la configuración de SAML en Personio
Sigue estos pasos:
- En Personio, ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, ve a SAML y haz clic en Configurar.
- En la sección Ajustes del proveedor, Personio muestra varios campos de metadatos y valores preestablecidos. Necesitarás estos valores en el siguiente paso, al registrar a Personio en el IdP. En la siguiente tabla se enumeran los distintos valores de metadatos y las tareas pendientes que hay que realizar con ellos.
| Campo | Detalles |
| URL del servicio de consumidor de aserciones (ACS) | El endpoint al que el IdP envía la respuesta SAML una vez que un usuario se ha autenticado. |
| Identificador (ID de entidad) |
Un identificador único en el mundo que representa a Personio en la federación SAML. |
| Certificado de firma (opcional) |
Un certificado que se utiliza para validar las solicitudes de autenticación SAML firmadas. Todas las solicitudes de autenticación procedentes de Personio se firman mediante RSA-SHA256 y se envían mediante HTTP-POST. Descarga el certificado, ya que lo necesitarás para el siguiente paso. Puedes elegir entre el formato .cer o .pem, según sea necesario. |
Paso 2: Registra a Personio como proveedor de servicios en el IdP
Utilizando los valores de Ajustes del proveedor del paso 1, registra a Personio como una aplicación de SAML nueva en el IdP. Los pasos exactos dependen del IdP, pero normalmente tienes que hacer lo siguiente:
- Crea una aplicación de SAML en el IdP (a veces denominada “aplicación empresarial”, “relación de confianza de usuario autenticado” o “conexión de proveedor de servicios”).
- Configura la URL del servicio de consumidor de aserciones (ACS) y la URL de respuesta con los valores de Personio indicados en el paso 1.
- Establece el ID de entidad/identificador en el ID de entidad de Personio del paso 1.
- Opcional: Sube el certificado de firma de Personio (descargado en el paso 1) para que el IdP pueda verificar las solicitudes firmadas.
- Configura el IdP para que envíe el correo electrónico del usuario como un atributo. Personio identifica al empleado comprobando si existe un atributo de correo electrónico en este orden: un correo electrónico estándar (para los IdP que no sean de Microsoft); a continuación, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress; y, por último, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier. Esta dirección tiene que coincidir con la que figura en el expediente del empleado en Personio para que se le otorgue el acceso.
- En el IdP, configura el formato del ID de nombre como Correo electrónico. De este modo, te aseguras de que el IdP envíe la identidad del usuario en el formato que espera Personio. Sin esto, es posible que los empleados vean un mensaje de error al intentar iniciar sesión.
- Una vez guardado, encuentra la dirección de los metadatos SAML del IdP. Normalmente, esto se encuentra en los ajustes de la aplicación del IdP, bajo una etiqueta como URL de metadatos de federación de aplicación, URL de metadatos SAML o Endpoint de metadatos de federación. Copia esta dirección, ya que la necesitarás en el siguiente paso.
Paso 3: Completa la configuración en Personio
Vuelve a la página de configuración de SAML en Personio. Introduce estos datos en el formulario:
Configuración
| Campo | Detalles |
| URL del archivo .xml de metadatos | La dirección de metadatos SAML del proveedor de identidad. Personio utiliza esta información para recuperar automáticamente el certificado de firma del IdP, los endpoint de SSO y otros ajustes. |
Experiencia de inicio de sesión (opcional)
| Campo | Detalles |
| Texto de visualización de botones |
Introduce el texto que quieres que aparezca en el botón de inicio de sesión. Por ejemplo, “Continuar con [tu texto]”. El texto personalizado no se traduce. Si dejas este campo vacío, el botón de inicio de sesión muestra “Continuar con SSO” de forma predeterminada. |
| Detección de dominio principal |
Introduce uno o varios dominios de correo electrónico separados por una coma. El sistema redirige automáticamente a los usuarios con esos dominios a este IdP al iniciar sesión. Por ejemplo, introduce tuempresa.com si los empleados utilizan direcciones de correo electrónico del tipo @tuempresa.com. Estos ajustes resultan especialmente útiles si también has activado las credenciales de Personio. De este modo, los usuarios cuyos dominios coincidan tienen que iniciar sesión a través de SAML, en lugar de hacerlo con el correo electrónico y la contraseña. |
Paso 4: Guarda y comprueba la conexión
Consejo:
Si vas a establecer el proveedor de identidad escogido como único método de inicio de sesión habilitado, haz primero una prueba de configuración. Esto evita que se bloquee si la configuración es incorrecta.
Asegúrate de haber iniciado sesión como administrador mientras compruebas la conexión. El correo electrónico de la cuenta de Personio tiene que coincidir con la de un usuario del IdP. Si la prueba falla, comprueba que la URL de ACS y el ID de entidad del IdP coincidan exactamente con los valores que Personio te ha facilitado en el paso 1. Incluso una pequeña diferencia (como una barra al final) hace que la conexión falle.
- Revisa los datos que ha ingresado en Personio.
- Haz clic en Enviar para guardar la configuración. Personio se pone en contacto con la dirección de metadatos del IdP e importa el certificado de firma, los endpoint de SSO y otros ajustes del IdP.
- Revisa los detalles del IdP importado: el correo electrónico para iniciar sesión, el nombre común del certificado y la fecha de vencimiento del certificado. De este modo, te aseguras de que has conectado el IdP correcto.
- Comprueba la conexión.
Durante la prueba, Personio inicia un flujo de autenticación SAML que te redirige para que inicies sesión con el IdP. Si la operación se realiza correctamente, te redirige a la misma página, lo que confirma que la conexión funciona.
Comprender el comportamiento inicio de sesión después de la configuración
Una vez que el SAML de SSO se ha activado:
- Inicio de sesión solo con Personio: los empleados tienen iniciar sesión a través de la página de inicio de sesión de Personio. No es compatible iniciar sesión directamente desde el panel de control del IdP (SSO iniciado por el IdP).
- Con detección de dominio de inicio: si el correo electrónico de un empleado coincide con un dominio configurado, el sistema lo redirige automáticamente a la página de inicio de sesión del IdP.
- Sin detección del dominio de inicio: los empleados hacen clic en el botón de inicio de sesión único SSO de la página de inicio de sesión de Personio. Esto los redirige al IdP. Si, en cambio, introducen el correo electrónico en el campo correspondiente, se les pedirá que introduzcan una contraseña en lugar de redirigirlos al IdP.
- Coincidencia del empleado: tras la autenticación, Personio asocia al usuario con el expediente de un empleado mediante el correo electrónico. Si no existen registros que coincidan, se deniega el acceso.
Actualiza los metadatos del IdP
Consejo:
Personio no detecta automáticamente los cambios en los metadatos del IdP. Si cambias la configuración del IdP, tendrás que volver a sincronizar manualmente siguiendo los pasos que se indican a continuación.
Si se renueva el certificado de firma del IdP o cambia su configuración, puedes actualizar los metadatos en Personio. Puedes hacerlo sin necesidad de volver a configurar la conexión.
- Ve a Ajustes.
- En la sección Seguridad e integraciones, haz clic en Seguridad y autenticación.
- En la lista de métodos de inicio de sesión, ve a SAML y haz clic en Gestionar.
- En la sección Configuración, ve al campo URL del archivo .xml de metadatos y haz clic en Actualizar.
- Introduce la dirección de los metadatos.
- Guarda los cambios.
Personio vuelve a sincronizarse con la dirección de los metadatos y actualiza el certificado y el endpoint. Podrás ver la fecha de vencimiento del certificado una vez que hayas guardado los cambios.
Comprende los ajustes de seguridad de SAML
Los siguientes ajustes de seguridad se aplican a todas las conexiones SAML en Personio. No puedes cambiarlos. En la siguiente tabla se enumeran cada uno de los ajustes y su valor.
| Ajuste | Valor/comportamiento |
| Solicitud de firma | Todas las solicitudes de autenticación SAML enviadas por Personio están firmadas de forma predeterminada. Configura el IdP para que acepte solicitudes firmadas. |
| Algoritmo para firmar | RSA-SHA256. SHA-1 no es compatible. |
| Solicitud de vinculación | Se ejecuta HTTP-POST. La redirección HTTP no es compatible. |
| Validación de aserciones | Se gestiona a través de Auth0 (la capa de identidad de Personio), que valida las aserciones, los certificados y las firmas de SAML. |