Configurar el inicio de sesión único (SSO) mediante Servicios de Federación de Directorio Activo (AD FS) para tu cuenta de ClickUp permitirá que los usuarios inicien sesión en ClickUp con tu cuenta de Microsoft autoalojada.
Si utilizas Microsoft 365 o Azure Active Directory, deberás utilizar nuestra opción de inicio de sesión único de Microsoft en su lugar.
Lo que necesitarás
- Sólo los propietarios y administradores pueden configurar SAML SSO.
- El SAML personalizado solo está disponible en el plan Enterprise. Para aprender sobre nuestros diferentes planes, haz clic aquí.
Configura el Directorio Activo local de Microsoft con el Servicio de Federación de Directorio Activo y SSO SAML
Hay cinco pasos para configurar SAML SSO para tu cuenta de ClickUp con Microsoft Active Directory local.
- Recopila los detalles de SAML SSO en ClickUp
- Configura la confianza de la parte confiable para AD FS.
- Añade reglas a AD FS
- Exportar certificado de firma
- Completa el proceso de configuración en ClickUp
Paso 1: Recopila los detalles de SAML SSO en ClickUp
El primer paso es recopilar los detalles de SSO SAML en ClickUp.
- Haz clic en el avatar de tu entorno de trabajo y luego haz clic en Ajustes.
- Selecciona Seguridad y Permisos.
- Desde la sección Inicio de sesión único (SSO) , selecciona SAML.
- Cualquier configuración previa de SSO en tu entorno de trabajo será sobrescrita.
- Bajo Configurar SSO SAML verás los siguientes elementos que necesitarás referenciar en los pasos siguientes:
- Certificado SP
- URL de inicio de sesión único
- URL de audiencia (ID de entidad SP)
- Copia todo el texto de Certificado SP y pégalo en un editor de texto, como VS code.
- Guarda el archivo como
clickup.cert
.El certificado de seguridad no funcionará si se elimina algún texto del Certificado SP .
Paso 2: Configurar la confianza de la parte confiable para AD FS
Después de guardar tu certificado de seguridad, crearás una Confianza de Parte Confiante en Administrador del Servidor de Windows. Esto permitirá que ClickUp se conecte a tu implementación de Active Directory
- En Windows Server Manager, haz clic en Herramientas y luego selecciona Gestión de AD FS.
- En la columna de Acciones a la derecha, haz clic en Agregar Confianza de Parte Confiable. Esto abre un asistente que te guía a través del proceso de configuración.
- En la página de Bienvenida, elige Reclamaciones conscientes y haz clic en Iniciar.
- En el paso de Seleccionar fuente de datos, elige la opción Ingresar datos sobre la parte confiable manualmente y haz clic en Siguiente.
- Agrega un nombre para mostrar y luego haz clic en Siguiente. Recomendamos nombrar esto
ClickUp
. - En el paso Configurar certificado, haz clic en el botón Examinar.
- Selecciona el archivo clickup.cert creado en el paso anterior y haz clic en Siguiente.
- En el paso Configurar URL, marca Activar compatibilidad con el protocolo SAML 2.0 WebSSO.
- Pega la URL de inicio de sesión único del paso anterior en el campo URL del servicio SAML 2.0 de la parte confiable y haz clic en Siguiente.
- En el paso de Configurar Identificadores, pega tu URL de Audiencia (ID de Entidad SP) del paso anterior en el campo Identificador de confianza de la parte confiable.
- Haz clic en Agregar y luego en Siguiente.
- En el paso Elige la Política de Control de Acceso, selecciona Permitir a todos y luego haz clic en Siguiente. Esto determina quién puede autenticar su cuenta de ClickUp mediante SSO.
- En el paso Listo para agregar confianza, haz clic en Siguiente y cierra el asistente.
Paso 3: Agrega reglas a AD FS
A continuación, necesitas agregar dos reglas en AD FS en Windows Server Manager. Esto garantizará que la integración envíe atributos del Protocolo de Acceso a Directorios Ligeros (LDAP) como reclamaciones.
- Desde Administrador del Servidor Windows, haz clic en Herramientas.
- Selecciona Gestión de AD FS.
- En el árbol de la consola, bajo AD FS, haz clic en Fideicomisos de partes dependientes.
-
Haz clic con el botón derecho del mouse en el Nombre de pantalla creado en el paso anterior y selecciona Editar política de emisión de reclamaciones.
Agregar primera regla
- Desde el cuadro de diálogo Editar política de emisión de reclamaciones, en la pestaña Reglas de transformación de emisión, haz clic en Agregar regla.
- En la página de Seleccionar plantilla de regla, bajo Plantilla de regla de reclamación, selecciona Enviar atributos LDAP como reclamaciones de la lista y luego haz clic en Siguiente.
- En la página Configurar Regla , establezca la siguiente información y haga clic en Finalizar para completar el proceso y volver al cuadro de diálogo Editar Política de Emisión de Reclamaciones:
- 1: Nombre de la regla de reclamación: ClickUp LDAP
- 2: Almacén de atributos: Active Directory
- 3: En el Atributo LDAP: Dirección de email
-
4: Tipo de reclamación de dirección de correo electrónico saliente: Dirección de correo electrónico
Agregar segunda regla
- Haz clic en Agregar regla para añadir una segunda regla de Transformación.
- En la página de Selección de Plantilla de Regla, bajo Plantilla de reclamación de regla, selecciona Transformar una reclamación entrante de la lista y luego haz clic en Siguiente para continuar.
- En la página de Configuración de la Regla de Reclamación establece la siguiente información y haz clic en Finalizarpara completar el proceso.
- 1: Nombre de la regla de reclamación: Transformar dirección de correo electrónico como NameID
- 2: Tipo de reclamo entrante: Dirección de correo electrónico.
- 3: Tipo de reclamo saliente: NameID
- 4: Formato de ID de salida: Correo electrónico
-
5: Selecciona Pasar todos los valores de reclamación.
- Desde el cuadro de diálogo Editar política de emisión de reclamaciones , haz clic en Aplicar para aplicar ambas reglas.
Paso 4: Exportar certificado de firma
Ahora necesitarás exportar tu Certificado de Firma desde el Administrador de Servidores Windows. A menudo esto se llama el certificado X509. Esto se utiliza para verificar su organización a través de su Proveedor de Identidad.
- Desde el Administrador del Servidor de Windows, haz clic en Herramientas y luego selecciona Gestión de AD FS.
- Expande la carpeta Servicio y luego selecciona Certificados.
- Haga clic derecho en el certificado de firma de token y seleccione Ver Certificado
- En el cuadro de diálogo Certificado, haz clic en la pestaña Detalles.
- Haz clic en Copiar a archivo
- Desde el Asistente de exportación de certificados, haz clic en Siguiente.
- Selecciona Base-64 codificado X.509 (CER) y haz clic en Siguiente.
- Nombra tu archivo de certificado
adfsdomain.cer
y haz clic en Siguiente. - Haz clic en Finalizar para exportar el certificado.
Asegúrate de que el certificado esté bajo la pestaña Firma y no bajo la pestaña Cifrado.
AD FS exportará el certificado a la carpeta de descargas configurada.
Paso 5: Completa el proceso de configuración en ClickUp
Ahora que tienes todo configurado en AD FS, necesitarás agregar los detalles de tu AD FS a ClickUp. Para más información, consulta Autenticación SAML única personalizada.
- Haz clic en el avatar de tu entorno de trabajo y luego haz clic en Ajustes.
- Selecciona Seguridad y Permisos.
- Desde la sección de autenticación única (SSO) , selecciona SAML.
- Añade la siguiente información de AD FS a ClickUp:
- IdP Entity ID: Esto le permite a ClickUp saber qué Proveedor de Identidad estás utilizando.
-
IdP SSO URL de destino: ClickUp empleará este enlace para conectarse al Proveedor de Identidades cuando alguien de tu Organización intente iniciar sesión a través de SAML SSO. Para AD FS, debería verse algo así: https://sso.tudominio.tld/adfs/ls/
-
Certificado de firma IDP: Este es el certificado descargado en el Paso 4.
- Abre el editor de texto de tu elección.
- Usa el editor de texto para abrir el archivo adfsdomain.cer previamente descargado en el Paso 4.
- Copia todo el valor del texto en nuestra sección Certificado Público IDP.
Consejos para solucionar problemas
El error La respuesta SAML aún no es válida puede deber a un problema de sincronización del reloj del servidor ADFS con la marca de tiempo SAML.
Para resolver esto puedes:
- Actualiza el reloj del servidor ADFS a la zona horaria de tu entorno de trabajo de ClickUp.
- Ejecuta el siguiente comando de PowerShell, que ignorará esta verificación:
Set-AdfsRelyingPartyTrust -TargetName Clickup -NotBeforeSkew 5