La nueva aplicación SSO ofrece múltiples métodos de autenticación, como SAML y One-Time token. Esto hace que el proceso de inicio de sesión sea seguro, ágil y eficiente.


Información importante:

  • La función es privada y se puede activar como complemento para clientes con plan Enterprise. Póngase en contacto con su Account Manager para obtener más información sobre esta solución y costos.

  • La aplicación no funciona con cuentas de TIMIFY individuales. Sólo funciona con Branch Manager y sus sucursales, es decir, las cuentas asociadas a su Branch Manager.

  • Solo puede tener un método de autenticación activo al mismo tiempo.

  • La aplicación no limita las sucursales que un usuario ve en el Selector de ubicación después de iniciar sesión correctamente.

  • La aplicación se encuentra disponible sólo en idioma inglés.

  • Es posible ingresar utilizando la SSO App a través de la web, App para el móvil y tablet, no a través de la App para escritorio.

Por el momento, TIMIFY solo admite SAML y One-Time token como método de autenticación.


Estructura del artículo:

1. Cómo instalar la aplicación SSO

2. Configuración (SAML)

3. Ajustes

4. Importación de usuarios

5. Parámetros

6. Paso final


1. Cómo instalar la aplicación SSO.

El propietario de la Branch Manager, los administradores, así como los gerentes con permisos para acceder a la sección de aplicaciones en el Marketplace, pueden instalar la aplicación después de proporcionar a TIMIFY una clave de acceso privado desde la pestaña "Aplicaciones privadas".

Después de instalar la aplicación, es necesario definir si la aplicación debe configurarse globalmente o configurarse a nivel individual en cada cuenta o sucursal. La primera opción da la posibilidad de configurar la App para todas las sucursales desde el Branch Manager. La segunda opción le permitirá definir diferentes configuraciones en cada sucursal, esto significa que cada propietario de sucursal y/o usuario administrador podrá configurar la aplicación por separado.


2. Configuración.

La configuración de esta aplicación dependerá del método de autenticación que se seleccione en el primer paso.

Tenga en cuenta que actualmente sólo dispone de las siguientes opciones:

One-Time Token

Si selecciona el método One-Time token, el uso es muy simple. Utilizará un enlace secreto generado por TIMIFY para iniciar sesión en otra aplicación. Este enlace se mostrará en su sistema y se puede seleccionar para poder iniciar sesión en TIMIFY. Se pueden agregar algunos parámetros adicionales al enlace, como Nombre, Correo electrónico, ID de sucursal, entre otros.

SAML Configuration

Si seleccionó la opción SAML, debe configurar el método de autenticación para comunicarse con el Identity Provider (IdP). Para ello, tendrá que copiar desde la aplicación SSO un URL Assertion Consumer Service generada por nosotros. Este es el URL donde esperamos recibir el token de autenticación. También deberá pegar el URL de su IdP, al cual debemos redirigir al intentar iniciar sesión. Para garantizar esto, deberá proporcionar un certificado x.509, llamado Certificado público (Public Certificate).

Opcionalmente, puede agregar un Identificador (Identity ID). El ID único que identifica su aplicación ante el IdP (debe ser el mismo que usa en su IdP). TIMIFY genera automáticamente el Secret Generator y este URL es único.

💡 Al seleccionar un método de autenticación, la aplicación genera automáticamente un "secret" en la base de datos. También será posible generar uno nuevo desde las configuraciones.


3. Ajustes

En este paso, puede definir cómo se comportará la aplicación SSO. Esta configuración aparecerá en cada método de autenticación que seleccione.

  • Limite la autenticación de SSO por nombre(s) de dominio - (Limit the SSO authentication by domain name(s): para mayor seguridad, el acceso está limitado solo a aquellos dominios de correo electrónico permitidos desde nuestra aplicación. Si los usuarios intentan iniciar sesión con un dominio de correo electrónico diferente al especificado, el usuario será redirigido a una página de bloqueo de acceso.

  • Identificador único - Unique Identifier: seleccione su identificador de usuario único: correo electrónico o ID externo.

    💡Si selecciona ExternalID como identificador único, debe agregar un dominio en la sección Dominio de correo electrónico restringido mencionada anteriormente, esta sección no puede quedar vacía.

  • Reglas de discrepancia de correo electrónico - Email Mismatch Rules: en caso de discrepancia entre el proveedor de identidad de su usuario y el definido en la aplicación, elija cuál debemos usar durante el proceso de inscripción del usuario. Hay una tercera opción que le permite no usar ninguno de los dos (en caso de que hayas usado ID externo, por ejemplo). Esto significa que los recursos y los usuarios de SSO pueden tener diferentes correos electrónicos y no se sobrescribirán.

  • Permisos de usuario - User Permissions: defina un tipo de permiso predeterminado o haga coincidir todos los tipos de permisos con grupos en el proveedor de identidad según lo que haya definido para sus usuarios.

  • Acceso de usuarios a sucursales - User Branch Access: esta opción solo aparece si la aplicación SSO está instalada a nivel global (Branch Manager). A nivel local, este paso no es obligatorio. Si selecciona la opción Proveedor de identidad (IdP), debe crear un parámetro en su extremo o simplemente seleccionar la opción SSO App. Esto significa que más adelante podrá definir qué usuario puede acceder a qué sucursal/es.

  • Reglas de recursos - User Details Overwrite: aquí puede seleccionar si desea crear un nuevo recurso (en caso de que no haya creado ninguno) o directamente no crear un nuevo recurso.

  • Sobrescritura de las informaciones del usuario - User Details Overwrite: Esto es en caso de que tenga información diferente a la de sus usuarios en su IdP y TIMIFY. Aquí puede definir sobrescribir esta información en TIMIFY o en la aplicación SSO.

  • Tipos de permisos predeterminados - Default Permission Types: puede definir el tipo de permiso para todos sus usuarios importados o agregados manualmente sin permisos definidos previamente. Debe asignar todos los tipos de permisos existentes (tipos de permisos globales o locales según la configuración de la aplicación) con grupos de permisos dentro del proveedor de identidad. Dado que no es posible asegurar que los permisos en el Proveedor de Identidad serán los mismos que en TIMIFY, la mejor solución es definir, por ejemplo, el permiso "Tipo A" corresponde al Permiso del Proveedor de Identidad "Grupo A". Esto se hace proporcionando una identificación externa o un identificador único de ese grupo de permisos. Cuando no hay tipos de permisos creados dentro de TIMIFY, solo el permiso de administrador se mostrará en la lista por default.


4. Importación de usuarios

En esta sección, tiene la posibilidad de Importar un archivo CSV con todos sus usuarios. En caso de que necesite omitir este paso, es importante saber que puede hacerlo más adelante ya que tiene la posibilidad de agregar usuarios manualmente. La carga se realiza a través de un archivo CSV al que puede acceder descargando nuestra plantilla. En la plantilla, es posible que deba definir identificación externa, los nombres, el correo electrónico y la identificación de la sucursal. Si el archivo se descarga desde una sola cuenta, la pestaña ID de sucursal no se mostrará. En caso de que un usuario necesite acceder a varias cuentas (sucursales) puede agregarlas todas divididas por una coma "," (no agregue sucursales divididas solo por un espacio).

En caso de que haya un error al cargar el archivo, aparecerá un mensaje de advertencia y se proporcionará un enlace para descargar un CSV con un informe de todos los errores.

Tenga en cuenta que incluso si utiliza la opción ID externa para iniciar sesión, es necesario agregar una dirección de correo electrónico (puede ser una dirección de correo electrónico ficticia), de lo contrario no podrá guardar y continuar.


5. Parámetros

Una vez que se haya configurado todo el SAML, puede hacer clic en los tres puntos en SAML (Método de autenticación actual) para hacer coincidir todos sus parámetros.

  • Nombres - Names: No todos los clientes tendrán 1 campo para nombres como nosotros. Para esto, puede usar múltiples parámetros combinados con +, por ejemplo: usuario.FName + usuario.LName.

  • Correo electrónico - Email

  • Identificación externa del usuario - User External ID

  • ID de sucursal - Branch ID: cuando la aplicación se utiliza y configura desde el Branch Manager, no es necesario agregar una ID de sucursal, ya que los usuarios solo tendrán acceso a la sucursal que les haya sido asignada.

  • Tipo de permiso - Permission Type: Este parámetro se muestra dependiendo de la selección en el paso anterior en la configuración de Permisos de usuario

6. Paso final

El último paso se mostrará una vez que la aplicación SSO esté configurada.