Búsqueda

Guía de configuración personalizada de SAML SCIM a través de Entra ID

Una aplicación SAML personalizada creada en Microsoft Entra ID, anteriormente llamada Azure, ofrece una provisión automática limitada, incluyendo la creación y eliminación de usuarios.

Lo que necesitarás

  • Antes de poder configurar el aprovisionamiento, necesitas tener habilitado el SAML personalizado para tu entorno de trabajo.
  • Solo los administradores de Entra ID pueden configurar Entra ID SCIM.

Configura la aplicación SAML personalizada de Microsoft Entra ID

Para configurar la aplicación SAML personalizada:

  1. Crea una nueva aplicación SAML personalizada en Microsoft Entra ID.

    Esta no es la aplicación oficial de la galería de identificación de Microsoft Entra Plataforma de Productividad de ClickUp.

    Captura de pantalla de alguien configurando una nueva aplicación SAML personalizada en Microsoft Entra ID.

  2. En ClickUp, en la esquina superior izquierda, haz clic en el avatar de tu entorno de trabajo. 
  3. Selecciona Ajustes.
  4. En la barra lateral de Todos los ajustes, haz clic en Seguridad y permisos.
  5. En la sección de inicio de sesión único (SSO), selecciona SAML.
    Captura de pantalla de la opción SAML en los ajustes de Seguridad y Permisos de ClickUp.
  6. Para una nueva aplicación de Microsoft Entra ID, copia el ID de entidad SP de ClickUp.
    Captura de pantalla del ID de entidad SP de ClickUp.
  7. Pega el ID de entidad SP de ClickUp en el campo Identificador (ID de entidad) en Microsoft Entra ID.
    Captura de pantalla de alguien pegando el ID de la entidad SP en el campo Identificador.
  8. Copia la URL de inicio de sesión único (URL ACS) de ClickUp y pégala en el campo URL de respuesta (URL del Servicio de Consumidor de Aserciones) en Microsoft Entra ID.
  9. Haz clic en Guardar en Microsoft Entra ID.
    Captura de pantalla del botón de guardar en Microsoft Entra.

Vincular SSO en ClickUp

Ahora que la aplicación está configurada, puedes completar la conexión SSO en ClickUp:

  1. Asegúrate de que la persona encargada de configurar la integración de SSO esté asignada en la app de Microsoft Entra ID. Otros pueden ser añadidos más tarde.
  2. Copia la URL de inicio de sesión y el Certificado público IDP de Microsoft Entra ID.
    Captura de pantalla de la URL de inicio de sesión y el certificado público IDP en Microsoft Entra ID.
  3. Pega estos valores en texto sin formato en los campos vacíos de ClickUp al seleccionar el conector SAML.
    • Para obtener el certificado en texto plano, descargue y haga clic derecho en el archivo para abrirlo con el editor de texto de su elección. El texto comienza con -----BEGIN CERTIFICATE-----. Pega el valor de texto completo sin realizar ninguna edición en el campo Certificado Público IDP.
      Captura de pantalla de un certificado. 
  4. Selecciona Guardar metadatos.
    Captura de pantalla del botón Guardar metadatos.
  5. Se te solicitará completar el enlace iniciando sesión con SSO. Si tienes éxito, serás redirigido a ClickUp.
  6. En la página de Seguridad y permisos en ClickUp, verás tres nuevas opciones:
    • URL base de SCIM: Ingresarás esta información en el siguiente paso. 
    • Token de API SCIM: Ingresarás esta información en el siguiente paso. 
    • Política de inicio de sesión: Elige una de estas cuatro opciones:
      • Todos los usuarios deben usar autenticación SAML: Todos los usuarios de tipo miembro y invitado deben usar autenticación SAML.
      • Todos los usuarios excepto los invitados deben usar autenticación SAML: Los usuarios de tipo invitado no están obligados a usar autenticación SAML. 
      • Todos los usuarios, excepto los miembros limitados e invitados, deben usar la autenticación SAML: miembros limitados, miembros limitados solo lectura, y todos los usuarios de tipo invitado no están obligados a usar la autenticación SAML. 
      • El uso de autenticación SAML es opcional: El uso de autenticación SAML es opcional para todos los usuarios. 
  7. Continúa al siguiente paso para provisionar a las demás personas en tu entorno de trabajo. 

Configura el aprovisionamiento automático con ClickUp

Admitimos el aprovisionamiento de usuarios individuales y grupos con SCIM. Al aprovisionar grupos en ClickUp, los nuevos usuarios se aprovisionan como individuos, y tanto los usuarios nuevos como los existentes se añaden a un equipo de ClickUp. Si no deseas que estos usuarios se agreguen a un equipo, elimina el equipo después del aprovisionamiento.

Al agregar un perfil de usuario a la aplicación SAML personalizada, no se considerará usuario de ClickUp hasta que lo aprovisiones a través de SCIM.

El aprovisionamiento automático se puede realizar bajo demanda o en ciclos, que por defecto duran 30 minutos. Los usuarios asignados a la aplicación solo se añadirán cuando se ejecute el siguiente ciclo de aprovisionamiento automático. Obtén más información sobre cómo funciona el aprovisionamiento de aplicaciones en Microsoft Entra ID

Captura de pantalla del botón de provisión bajo demanda.

Para configurar la provisión automática:

  1. En Microsoft Entra ID, abre la pestaña Provisionamiento y cambia el desplegable de Manual a Automático. Esto hará que aparezca la ventana de Credenciales de Administrador en la pestaña de Provisionamiento.
    • Si deseas provisionar hasta cinco usuarios a la vez manualmente, en la pestaña de Provisionamiento, selecciona Provisionar bajo demanda.
      Captura de pantalla de la ventana de credenciales de administrador en la pestaña de Provisionamiento.
  2. Introduce la URL base SCIM desde tu página de Seguridad y Permisos de ClickUp en el campo URL del inquilino.
  3. Introduce el Token API SCIM desde tu página de Seguridad y Permisos de ClickUp en el campo Token Secreto.
  4. Haz clic en Probar conexión.
    Captura de pantalla del botón de prueba de conexión.
  5. Una vez que la prueba sea exitosa, SCIM estará configurado en tu entorno de trabajo. Los usuarios pueden iniciar sesión en ClickUp utilizando el ID de Microsoft Entra.

Seleccione los roles de usuario de ClickUp que desea asignar

El rol de usuario predeterminado es miembro a menos que selecciones los roles de usuario de ClickUp que deseas provisionar. 

Para mapear el ID de Microsoft Entra a los roles de usuario de ClickUp:

  1. Como administrador, inicia sesión en el centro de administración de Microsoft Entra. 
  2. Seleccione Identidad, Aplicaciones y luego Aplicaciones empresariales.
  3. Desde la página de aplicaciones Enterprise, selecciona tu aplicación SAML.
  4. Desde la página de Panorámica en la barra lateral izquierda, selecciona Aprovisionamiento.
  5. En la página de Aprovisionamiento, haz clic en Mapeos.
  6. Selecciona Provisionar usuarios de Microsoft Entra ID para ver una lista de atributos.
  7. Desplázate hasta el final de la página y marca la casilla Mostrar opciones avanzadas.
  8. Haz clic en Editar lista de atributos.
    Captura de pantalla de alguien seleccionando Mostrar opciones avanzadas y Editar lista de atributos
  9. Desplázate hasta la última fila de la columna Nombre e introduce este atributo urn para las funciones de usuario: urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  10. En el desplegable de la columna Tipo, asegúrate de que esté seleccionado Cadena 
  11. En la esquina superior izquierda, haz clic en Guardar
    • Si el nombre no se guarda, selecciona Descartar y prueba de nuevo. Si sigue viendo que el nombre no se guarda, intente restablecer sus mapeos a los valores predeterminados.
  12. Serás redirigido a la página de Mapeo de Atributos .
  13. Selecciona Agregar nueva asignación.
  14. En la página de Editar Atributo , para el tipo de mapeo selecciona Constante.
    • Para realizar una asignación dinámica, consulta la sección Asignación dinámica de roles de usuario más abajo.
  15. Para Valor constante, ingresa uno de los siguientes valores:
    • para administradores.
    • 3 para miembros.
    • 4 para invitados. 
    • 100 para miembros limitados.
    • {custom_role_id} para roles personalizados.
  16. Para el atributo Destino, introduce urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  17. Haz clic en OK y Guardar.
  18. Cualquier usuario que provisiones será asignado como ese rol de usuario de ClickUp.  
    • Para asignar otra función de usuario, comienza por el paso 5 y selecciona un valor constante diferente. Para realizar una asignación dinámica, consulta la sección Asignación dinámica de roles de usuario más abajo.

Los siguientes atributos de roles de usuario también pueden ser mapeados:

Modelo Atributos del rol de usuario
Base

ID

Nombre de usuario

Nombre: {givenName and familyName}

Activo

Correos electrónicos

Matriz de correos electrónicos con propiedad de valor y propiedad primaria (booleano)

Título

Administrador
Extensión

Rol

customRoleId: Ingresa el ID de Rol Personalizado de ClickUp.

Para encontrar el ID de Rol Personalizado, envía la solicitud Obtener Usuario desde la API de ClickUp. Este punto final solo está disponible en los planes Enterprise.

customRoleName: Ingrese el nombre del Rol Personalizado de ClickUp.
Enterprise Administrador

Provisión dinámica de roles de usuario

Administra dinámicamente los roles de usuario en ClickUp en función de los roles de usuario asignables en Entra. Esto se logrará compartiendo dinámicamente los valores de los roles con el atributo de destino. El resultado te permitirá asignar roles en Entra que se correspondan con los roles de ClickUp, lo que simplificará el aprovisionamiento.

Para ajustar la asignación de atributos de destino de constante a expresión para aprovisionar dinámicamente roles de usuario:

  1. En la página Descripción general de la barra lateral izquierda, selecciona Aprovisionamiento.
  2. En la página Aprovisionamiento, haz clic en Asignaciones y, a continuación, en Aprovisionar usuarios de Microsoft Entra ID.
    • Si aún no lo has hecho, desplázate hasta la última fila de la columna Nombre e introduce este atributo urn para los roles de usuario: urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  3. Selecciona Editar a la derecha del atributo de la urna.
  4. Elige el tipo de asignación de expresiones y añade esta expresión: Switch(SingleAppRoleAssignment([appRoleAssignments]), "3", "ClickUpAdmin", "2", "ClickUpGuest", "4", "ClickUpLimitedMember", "100").
    • En esta expresión, 3 es el valor predeterminado, seguido de los pares clave-valor correspondientes para el rol de Entra / el rol de ClickUp. Más información sobre cómo escribir expresiones para asignaciones de atributos en Microsoft Entra ID
    • Puedes nombrar estas funciones de Entra como quieras al crearlas en la sección Registro de aplicaciones. Siempre que el siguiente argumento se asigne al valor correcto del rol de usuario de ClickUp y selecciones esos roles de Entra al asignar usuarios a ClickUp, se aprovisionarán correctamente.
    • Puedes elegir otras expresiones lógicas si lo prefieres, siempre y cuando al atributo ClickUp urn se le asigne un número válido que se corresponda con una función de usuario.
  5. Haz clic en Guardar.
  6. Ahora, al asignar usuarios o grupos en Usuarios y grupos, selecciona el rol correspondiente que deseas que tenga ese usuario en ClickUp.

  7. Cuando se le asigne ese usuario, se le asignará el rol correcto.

    Si un usuario está configurado como usuario único y también en un grupo, asegúrate de que no se le asignen dos roles de aplicación diferentes, ya que esto provocará errores.