Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Workplace by Meta

En este tutorial, obtendrá información sobre cómo integrar Workplace by Meta. con Microsoft Entra ID. Al integrar Workplace by Meta. con Microsoft Entra ID, puede hacer lo siguiente:

  • Controlar en Microsoft Entra ID quién tiene acceso a Workplace by Meta.
  • Permitir que los usuarios puedan iniciar sesión automáticamente en Workplace by Meta con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Requisitos previos

Para empezar, necesita los siguientes elementos:

  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Una suscripción habilitada para inicio de sesión único (SSO) de Workplace by Meta.

Nota

Meta tiene dos productos: Workplace Standard (gratis) and Workplace Premium (de pago). Todo inquilino de Workplace Premium puede configurar la integración de SCIM y SSO sin otras implicaciones de coste ni requerimiento de licencias. SSO y SCIM no están disponibles en las instancias de Workplace Standard.

Descripción del escenario

En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

  • Workplace by Meta admite el inicio de sesión único iniciado por SP.
  • Workplace by Meta admite el aprovisionamiento Just-In-Time.
  • Workplace by Meta admite el aprovisionamiento automático de usuarios.
  • La aplicación móvil de Workplace by Meta puede configurarse ahora con Microsoft Entra ID para habilitar el SSO. En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

Para configurar la integración de Workplace by Meta en Microsoft Entra ID, deberá agregar Workplace by Meta desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Workplace by Meta en el cuadro de búsqueda.
  4. Seleccione Workplace by Meta en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo desea, puede usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puede agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Workplace by Meta

Configure y pruebe el inicio de sesión único de Microsoft Entra con Workplace by Meta mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Workplace by Meta.

Para configurar y probar el inicio de sesión único de Microsoft Entra con Workplace by Meta, lleve a cabo los siguientes pasos:

  1. Configuración del inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único de Workplace by Meta: para configurar los valores del inicio de sesión único en la aplicación.
    1. Creación de un usuario de prueba de Workplace by Meta: para tener un homólogo de B. Simon en Workplace by Meta que esté vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a la página de integración de aplicaciones Identidad>Aplicaciones>Aplicaciones empresariales>Workplace by Meta, busque la sección Administrar y seleccione Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, seleccione SAML.

  4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Edit Basic SAML Configuration

  5. En la sección Configuración básica de SAML, especifique los valores de los siguientes campos:

    a. En el cuadro de texto URL de inicio de sesión (que se encuentra en WorkPlace como Dirección URL del destinatario), escriba una dirección URL con el siguiente patrón: https://.workplace.com/work/saml.php

    b. En el cuadro de texto Identificador (Id. de entidad) (que se encuentra en WorkPlace como Dirección URL de la audiencia), escriba una dirección URL con el siguiente patrón: https://www.workplace.com/company/

    c. En el cuadro de texto URL de respuesta (que se encuentra en WorkPlace como Servicio de consumidor de aserciones), escriba una dirección URL con el siguiente patrón: https://.workplace.com/work/saml.php

    Nota:

    Estos valores no son reales. Actualícelos con la dirección URL de inicio de sesión, el identificador y la dirección URL de respuesta reales. Consulte la página de autenticación del panel de la empresa Workplace para obtener los valores correctos de la comunidad Workplace; esta operación se explica más adelante en el tutorial.

  6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque Certificado (Base64) y seleccione Descargar para descargarlo y guardarlo en el equipo.

    The Certificate download link

  7. En la sección Configurar Workplace by Meta, copie las direcciones URL adecuadas según sus necesidades.

    Copy configuration URLs

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Vaya aIdentidad>Usuarios>Todos los usuarios.
  3. Seleccione Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, siga estos pasos:
    1. En el campo Nombre para mostrar, escriba B.Simon.
    2. En el campo Nombre principal de usuario, escriba username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Active la casilla Show password (Mostrar contraseña) y, después, anote el valor que se muestra en el cuadro Contraseña.
    4. Seleccione Revisar + crear.
  5. Seleccione Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, va a permitir que B.Simon acceda a Workplace by Meta mediante el inicio de sesión único.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Workplace by Meta.
  3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
  4. Seleccione Agregar usuario o grupo. A continuación, en el cuadro de diálogo Agregar asignación, seleccione Usuarios y grupos.
    1. En el cuadro de diálogo Usuarios y grupos, seleccione B.Simon de la lista de usuarios y haga clic en el botón Seleccionar de la parte inferior de la pantalla.
    2. Si espera que se asigne un rol a los usuarios, puede seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verá seleccionado el rol "Acceso predeterminado".
    3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración del inicio de sesión único de Workplace by Meta

  1. En otra ventana del explorador web, inicie sesión como administrador en el sitio de la empresa Workplace by Meta

    Nota:

    Como parte del proceso de autenticación SAML, es posible que Workplace use cadenas de consulta de hasta 2,5 kilobytes de tamaño para pasar parámetros a Microsoft Entra ID.

  2. Vaya a la pestaña Panel de administración>Seguridad>Autenticación.

    Admin Panel

    a. Active la opción Single-sign on (SSO) (Inicio de sesión único [SSO]).

    b. Seleccione SSO valor como predeterminado para los nuevos usuarios.

    c. Haga clic en + Add new SSO Provider (+ Agregar nuevo proveedor de SSO).

    Nota:

    Asegúrese de activar también la casilla Password login (Inicio de sesión con contraseña). Los administradores pueden necesitar esta opción para el inicio de sesión mientras realizan la sustitución del certificado para evitar quedarse bloqueados.

  3. En la ventana emergente Configuración del inicio de sesión único (SSO) , siga estos pasos:

    Authentication Tab

    a. En Name of the SSO Provider (Nombre del proveedor de SSO), escriba el nombre de la instancia de inicio de sesión único, como Azureadsso.

    b. En el cuadro de texto URL de SAML, pegue el valor de URL de inicio de sesión.

    c. En el cuadro de texto URL de emisor, pegue el valor de identificador Microsoft Entra.

    d. Abra el Certificado (Base64)que ha descargado en el Bloc de notas, copie el contenido en el Portapapeles y péguelo en el cuadro de texto Certificado SAML.

    e. Copie el valor de URL de público de su instancia y péguela en el cuadro de texto Identificador (Id. de entidad)de la sección Configuración de SAML básica.

    f. Copie el valor de URL de destinatarioy péguelo en el cuadro de texto URL de inicio de sesión de la sección Configuración básica de SAML.

    ej. Copie el valor de Dirección URL de ACS (servicio de consumidor de aserciones) de la instancia y péguelo en el cuadro de texto URL de respuesta de la sección Configuración básica de SAML.

    h. Desplácese hasta la parte inferior de la sección y haga clic en el botón Probar SSO. Como resultado aparece una ventana emergente en la que se muestra la página de inicio de sesión de Microsoft Entra. Escriba las credenciales de la forma habitual para autenticarse.

    Solución de problemas: Asegúrese de que la dirección de correo electrónico que se devuelve desde Microsoft Entra ID es la misma que la cuenta de Workplace con la que ha iniciado sesión.

    i. Una vez que la prueba se ha realizado correctamente, desplácese hasta la parte inferior de la página y haga clic en el botón Guardar.

    j. Ahora se presentará a todos los usuarios de Workplace la página de inicio de sesión de Microsoft Entra para la autenticación.

  4. Redirigir el cierre de sesión de SAML (opcional) -

    Puede optar por configurar una dirección URL de cierre de sesión de SAML que puede usarse para apuntar a la página de cierre de sesión de Microsoft Entra ID. Si esta opción está habilitada y configurada, ya no se dirige al usuario a la página de cierre de sesión de Workplace, sino que se le redirige a la dirección URL agregada en la opción de redireccionamiento del cierre de sesión de SAML.

Configuración de la frecuencia de reautenticación

Puede configurar Workplace para que solicite una comprobación SAML cada día, cada tres días, cada semana, cada dos semanas, cada mes o nunca.

Nota:

El valor mínimo para la comprobación SAML en aplicaciones móviles se establece en una semana.

También puede forzar el restablecimiento de SAML para todos los usuarios mediante el botón: Require SAML authentication for all users now (Requerir autenticación de SAML para todos los usuarios ahora).

Creación de un usuario de prueba de Workplace by Meta

En esta sección se crea un usuario llamado B. Simon en Workplace by Meta. Workplace by Meta admite el aprovisionamiento Just-In-Time, que está habilitado de forma predeterminada.

El usuario no tiene que hacer nada en esta sección. Si no existe un usuario en Workplace by Meta, se crea uno cuando intenta obtener acceso a Workplace by Meta.

Nota

Si necesita crear un usuario de forma manual, póngase en contacto con el equipo de soporte técnico al cliente de Workplace by Meta.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

  • Haga clic en Probar esta aplicación, esto redirigirá a la dirección URL de inicio de sesión de Workplace by Meta donde puede poner en marcha el flujo de inicio de sesión.

  • Vaya directamente a la dirección URL de inicio de sesión de Workplace by Meta e inicie el flujo de inicio de sesión desde allí.

  • Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Workplace by Meta en Aplicaciones, se le redirigirá a la dirección URL de inicio de sesión de Workplace by Meta. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Prueba del inicio de sesión único para Workplace by Meta (móvil)

  1. Abra la aplicación Workplace by Meta Mobile. En la página de inicio de sesión, haga clic en LOG IN (iniciar sesión).

    The sign in

  2. Escriba el correo electrónico de su empresa y haga clic en CONTINUE (CONTINUAR).

    The email

  3. Haga clic en JUST ONCE (SOLO UNA VEZ).

    The once

  4. Haga clic en Permitir.

    The Allow

  5. Finalmente, después de iniciar sesión correctamente, aparecerá la página principal de la aplicación.

    The Home page

Pasos siguientes

Una vez configurado Workplace by Meta, puede ejecutar la característica Control de sesión, que protege la filtración y la infiltración de la información confidencial de la organización en tiempo real. El control de sesión procede del acceso condicional. Aprenda a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.