Ir al contenido principal

Integrarse con un proveedor de identidad e iniciar sesión con SAML SSO

Configura SAML SSO para que tu equipo pueda iniciar sesión en Intercom usando tu proveedor de identidad como Okta o OneLogin.

Escrito por Eric Fitzgerald

Integrar Intercom con tu proveedor de identidad (IdP) facilita y asegura el inicio de sesión para tu equipo.

Sigue los pasos de este artículo para configurar tu proveedor de identidad, para requerir SAML SSO (Inicio de sesión único) de todos tus compañeros, o para ofrecerlo como una de tus opciones de inicio de sesión. Una vez configurado, SAML SSO también funcionará con la app Intercom Conversations.

Antes de comenzar

Importante:

  • SAML SSO solo está disponible en el plan Expert de Intercom. Consulta nuestros planes y precios para saber más sobre este plan.

  • Debes tener permisos para acceder a Configuración > Workspace > Seguridad en Intercom, así como acceso administrativo a tu proveedor de identidad.

Paso 1: Habilitar SAML SSO en Intercom

Primero, necesitas habilitar SAML SSO en tu workspace de Intercom para obtener las URLs para tu proveedor de identidad.

  1. Ve a Configuración > Workspace > Seguridad > Métodos de autenticación

  2. Activa SAML SSO.

  3. Una vez activado, aparecerá la sección de configuración de SAML SSO.

  4. Lo primero que verás es la URL SAML única para tu workspace. Mantén esta página abierta; necesitarás esta URL para el siguiente paso.

Paso 2: Configura tu proveedor de identidad

En la configuración de tu proveedor de identidad (como Okta o OneLogin), necesitarás agregar Intercom como una aplicación. Necesitarás la URL SAML del Paso 1.

Usa los siguientes parámetros en la configuración de tu IdP:

  • URL de inicio de sesión único: <URL SAML>/consume

  • URL de receptor: <URL SAML>/consume

  • Restricción de audiencia/ID de entidad: <URL SAML>

  • NameID: Dirección de correo electrónico

  • Aserciones firmadas:

  • Atributos mapeados:

    • firstName (Nombre del usuario)

    • lastName (Apellido del usuario)

  • Cifrado: AES256_CBC con este certificado:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Nota: Si tu proveedor de identidad lo soporta, puedes definir una duración de sesión en la configuración de tu IdP. Esto establece el tiempo antes de que expire la sesión de un compañero y deba iniciar sesión en Intercom nuevamente. Si no se establece, la duración predeterminada es de 3.5 días.

Paso 3: Configura Intercom con los detalles de tu IdP

Después de configurar tu IdP, debes agregar sus detalles de vuelta en Intercom.

  1. Regresa a la página de configuración de SAML SSO en Intercom (Configuración > Workspace > Seguridad).

  2. Agrega la siguiente información de tu proveedor de identidad:

    • URL de inicio de sesión único del proveedor de identidad: Esta es la URL usada para iniciar el proceso de inicio de sesión.

    • Certificado público: Esto permite a Intercom validar las solicitudes SAML de tu IdP. Debe ser un certificado X.509.

Paso 4: Agrega y verifica tus dominios permitidos

Debes especificar qué domains están permitidos para autenticarse con SAML SSO.

  1. Ingresa un domain bajo "Dominios permitidos" y haz clic en Agregar domain.

  2. Debes verificar que eres propietario del domain agregando un registro TXT en la configuración DNS con los valores proporcionados.

  3. Después de agregar el registro TXT, haz clic en Verificar registro DNS.

  4. Una vez verificado, verás un mensaje de éxito y el domain será agregado. Repite este proceso si necesitas agregar más de un domain.

Nota: Si acabas de crear el registro DNS, puede que aún se esté propagando. Si ves un mensaje de advertencia ("No se puede verificar el registro DNS. Por favor, inténtalo de nuevo más tarde."), espera unos minutos (o hasta unas horas) y vuelve a intentarlo.

Para desmarcar esta opción y hacer que SAML SSO sea el método de inicio de sesión requerido, debes haber iniciado sesión con SAML SSO. Puedes hacerlo después de guardar tus configuraciones.

Paso 5: Prueba y aplica SAML SSO

Antes de aplicar SAML para todos los compañeros, debes probar la configuración.

  1. Prueba tu configuración: Para asegurar que todos los compañeros puedan iniciar sesión exitosamente con SAML SSO antes de desactivar otros métodos, deja activadas las opciones Google Sign-On y Email and password.

  2. Guarda tus configuraciones al final de la página.

  3. Cierra sesión e intenta iniciar sesión de nuevo usando la opción Iniciar sesión con SAML SSO para probar tu configuración.

  4. Aplicar SAML SSO (Opcional): Una vez que hayas iniciado sesión exitosamente y confirmado que la configuración funciona, puedes regresar a las configuraciones y desmarcar los otros métodos de inicio de sesión.

Nota:

  • Para desmarcar las otras opciones de inicio de sesión y aplicar SAML SSO como el único método, debes haber iniciado sesión con SAML SSO tú mismo.

  • Una vez que tu workspace tenga SAML SSO habilitado, los compañeros no podrán editar su propia dirección de correo electrónico desde su página de Seguridad de la cuenta. El campo de correo electrónico será de solo lectura.

Cómo funciona SAML SSO para tu equipo

Cómo inician sesión los compañeros de equipo

Una vez que SAML SSO está habilitado, los compañeros de equipo verán un botón Iniciar sesión con SAML SSO en la página de inicio de sesión. La experiencia de inicio de sesión variará según su dirección de correo electrónico:

  • Correo electrónico no registrado: Si el correo electrónico ingresado no coincide con un compañero de equipo en un workspace con SAML habilitado, verán un mensaje de error.

  • Correo electrónico registrado para un workspace SAML: El compañero de equipo es redirigido al proveedor de identidad para iniciar sesión.

  • Correo electrónico registrado para múltiples workspaces SAML: Se muestra al compañero de equipo el selector de workspace. Después de seleccionar un workspace, es redirigido al proveedor de identidad correcto para ese workspace.

Dependiendo del proveedor de identidad que el compañero de equipo tenga para cada workspace, es redirigido a la experiencia de inicio de sesión del proveedor de identidad correcto. Después de iniciar sesión, el usuario es llevado de vuelta al workspace correcto y autenticado.

Cambiar entre workspaces

SAML SSO es compatible al cambiar entre workspaces:

  • Si un compañero de equipo ha iniciado sesión en dos workspaces que usan el mismo proveedor SAML SSO, puede cambiar entre ellos sin necesidad de volver a autenticarse.

  • Si el compañero de equipo tiene acceso a un tercer workspace que usa correo electrónico/contraseña, y no ha iniciado sesión, será redirigido al selector de workspace para iniciar sesión con su contraseña.

Iniciar sesión en la aplicación móvil (app Intercom Conversations)

SAML SSO es compatible en la app Intercom Conversations para iOS y Android Intercom Conversations app.

  1. Navega a la pantalla de inicio de sesión y toca el botón Iniciar sesión con SAML SSO.

  2. Introduce tu correo electrónico de trabajo y toca Continuar.

  3. Si tienes acceso a múltiples workspaces, verás una lista para elegir. (Si solo tienes uno, esta pantalla se omite).

  4. Seleccionar un workspace abrirá una vista web para iniciar sesión en tu proveedor SAML.

  5. Una vez que inicies sesión, estarás autenticado en la app.

Si no tienes SAML SSO configurado para tu cuenta y tratas de iniciar sesión con SAML SSO, verás un mensaje de error.

Invitaciones al workspace

SAML SSO es compatible con las invitaciones al workspace. Cuando un compañero de equipo acepta una invitación, el correo electrónico de la invitación debe coincidir con el correo electrónico que devuelve el proveedor de identidad, o la invitación fallará.

Cómo cambiar las direcciones de correo electrónico de los perfiles de compañero de equipo/administrador si el Workspace tiene SAML SSO habilitado

1. El administrador debe habilitar "Correo electrónico y contraseña" como método de inicio de sesión, si no está habilitado ya.

2. Todos los compañeros de equipo deben establecer/restablecer su contraseña de Intercom y confirmar que pueden iniciar sesión con su correo electrónico antiguo + contraseña.

3. El administrador deshabilita SAML SSO en el workspace (esto hace que el campo de correo electrónico sea editable para los compañeros de equipo).

4. Cada compañero de equipo inicia sesión con su correo electrónico antiguo + contraseña y actualiza individualmente su correo electrónico de inicio de sesión al nuevo domain.

5. El administrador actualiza los correos electrónicos de los users en el IdP al nuevo domain.

6. El administrador vuelve a habilitar SAML SSO en el workspace.

7. Ahora SSO funciona con los nuevos correos electrónicos. El administrador puede opcionalmente reforzar el inicio de sesión solo con SSO.

Guías específicas del IdP y solución de problemas

¿Necesitas ayuda con tu proveedor de identidad? El soporte de Intercom puede ayudarte a configurar SAML SSO dentro de Intercom. Para pasos específicos de configuración del IdP, configuración dentro de la consola de administración de tu proveedor (por ejemplo, Microsoft Entra, Okta, JumpCloud), o errores originados en tu IdP, recomendamos contactar directamente al equipo de soporte de tu proveedor de identidad; ellos tendrán acceso a tu entorno y pueden resolver problemas de su lado. Nuestra documentación de SAML está disponible para compartir con ellos como referencia.

Solución de problemas de Google Workspace

Si usas Google Workspace como tu proveedor SSO y ves un error de acceso, puedes activar los "mensajes de remediación" en tu consola de administración de Google para entender la razón del error. Una vez activados, verás información más detallada en el mensaje de error (por ejemplo, "el dispositivo... no está gestionado por la administración de endpoints de Google").

Una vez activado, podrás ver información más detallada en el mensaje de error.

Por ejemplo, el siguiente error podría indicar que el dispositivo que se está usando no está gestionado por la administración de endpoints de Google:

Elige habilitar la provisión Just-in-Time (JIT)

La provisión Just-in-Time agregará automáticamente a los compañeros de equipo a tu workspace de Intercom la primera vez que inicien sesión con SAML SSO, si aún no tienen una cuenta de Intercom.

Para habilitar esto, ve a Configuración > Workspace > Seguridad, asegúrate de que SAML SSO esté activado y haz clic en Provisioning:

Luego, define qué permisos deben tener los nuevos compañeros de equipo cuando sean agregados por la provisión JIT:

Nota: Los nuevos compañeros de equipo solo serán agregados si tienes seats disponibles.

Finalmente, guarda tus configuraciones y prueba tu configuración autenticándote con tu proveedor de identidad:

Una vez que tu workspace tenga SAML SSO habilitado con cualquier proveedor, los compañeros de equipo no podrán editar su propia dirección de correo electrónico desde su página de Seguridad de la cuenta. El campo de correo electrónico será de solo lectura.

Configurando SAML con OneLogin

Puedes usar la app "Intercom SAML 2.0" en la tienda OneLogin.

  1. En la página de administración de OneLogin, ve a Aplicaciones y haz clic en Agregar app.

  2. Busca y agrega la app Intercom SAML 2.0.

  3. Abre la pestaña Configuración e ingresa el nombre SAML para tu workspace.

  4. En la pestaña SSO, copia la URL "SAML 2.0 Endpoint" y pégala en la configuración SAML de tu workspace de Intercom.

  5. Haz clic en Ver detalles bajo el certificado, copia el certificado y pégalo en el campo Certificado público de Intercom.

  6. Guarda tus configuraciones en Intercom y prueba la conexión.

Nota: Si tu workspace está alojado en la UE o AU, contacta al equipo de OneLogin para asegurarte de que tu integración sea compatible.

Configurando SAML con Okta

Puedes usar la aplicación "Intercom" desde la Okta App Store.

  1. En Okta:

    • Abre el panel de administración de Okta y añade la aplicación Intercom.

    • Procede a las Opciones de Inicio de Sesión.

    • Descarga el Certificado de Firma y copia la URL de Inicio de Sesión proporcionada por Okta.

  2. En Intercom:

    • Ve a Configuración > Workspace > Seguridad y activa SAML SSO.

    • Toma nota de tu URL SAML (en la parte superior de la configuración SAML).

    • Introduce los siguientes detalles de Okta:

      • URL de Inicio de Sesión del Proveedor de Identidad: (La URL de Inicio de Sesión de Okta)

      • Certificado Público: (Pega el certificado completo descargado de Okta)

    • En "Dominios Permitidos", introduce el domain de tu empresa (por ejemplo, acme.com).

    • No hagas clic en Guardar todavía.

  3. De vuelta en Okta:

    • Regresa a las Opciones de Inicio de Sesión de la aplicación Intercom en Okta.

    • En Certificado de Encriptación, sube el siguiente certificado como intercom.pem:

      -----BEGIN CERTIFICATE-----
      MIIDYzCCAkugAwIBAgIUS9LFUH5IWanIgQ78d/qyKOdojAYwDQYJKoZIhvcNAQEL
      BQAwQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkwFwYD
      VQQDDBBTQU1MIENlcnRpZmljYXRlMB4XDTI2MDExMjE3NTIzN1oXDTM2MDExMDE3
      NTIzN1owQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkw
      FwYDVQQDDBBTQU1MIENlcnRpZmljYXRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
      MIIBCgKCAQEA2LVcYLNwR0t1Co/FBNSFUEdpOJTM87X0//NPisUgQJ71l11Dohg9
      Yg1aAraqOsQ9EPR9prdQjP50lhOmogjvPDClPlXtoHdRCJ81U/3duXoBdGS02NN3
      2DetudNnyjeUefkcnPWsQ+FNZasnP9ODU8dtPKxMcLP3AmcUYOAaKp1r3WBuFDcT
      woMtbrWUoxTfBeYx6nQ9TfzJOGQFZCYs30Sx1j5LVio5DoM3oynTTh0qOzJS+KpU
      iIIqby8szpqWMfdPNTdBd7XQK2SkHmBgkgSDfQIII93kkXCP1bCOuo4rC+lIeXlF
      gIi2Z4iMxuKceBeLBgFTovG7dVDeGmTucQIDAQABo1MwUTAdBgNVHQ4EFgQUgZdt
      wisFHetsCww03EXQGt8Oq24wHwYDVR0jBBgwFoAUgZdtwisFHetsCww03EXQGt8O
      q24wDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiL3wXWof5x+k
      thOn2tAspFR/IH5NQHPLocV605FcRjt1JS1z0cBjtBroTKFarXo6T1NKQN5Lhjsu
      wrvu1J/YQcGnSmChar8OJSIbxPhHrbpA6Gg2mtkH4BTnnXY3LBgVFfCl5oiFxZqB
      ELkm6iBZmReot+MPWvE0Ypx7hQLI/3qLc5yYEw7ZNKWq/lRbbT4DLgKeHH89fSrm
      cpDa9ZHF2e6rlx95LCbZUWyEE6pPFeq+6CyQt+FkwLl1e+ZIJTknWgD/bzPsZ6CF
      XfF2fS2ObaUISKYEZMZx5o+JZnnYGr1U614lhniha+Rpykzoa+SsOdwvI0xl5ZRr
      aqD3fI3jqA==
      -----END CERTIFICATE-----

    • En "Configuración Avanzada de Inicio de Sesión", pega tu URL Base SAML de Intercom.

    • Haz clic en Guardar.

  4. Prueba y Activa:

    • Regresa a la configuración SAML de tu workspace en Intercom y haz clic en Guardar.

    • Prueba tu configuración SAML cerrando sesión y volviendo a iniciar sesión con SAML.

    • Una vez confirmado, puedes volver a la configuración y desmarcar las opciones de inicio de sesión por correo electrónico/contraseña o Google para hacer cumplir SAML.

Artículos relacionados
Preguntas frecuentes para comenzar
¿Ha quedado contestada tu pregunta?