Configurar Microsoft Active Directory local con Active Directory Federation Service y SAML SSO

Configurar el inicio de sesión único (SSO) a través de los Servicios de federación de Active Directory (AD FS) para tu cuenta de ClickUp permitirá a los usuarios iniciar sesión en ClickUp con tu cuenta de Microsoft autoalojada.

Si utilizas Microsoft 365 o Azure Active Directory, deberás usar nuestra opción de inicio de sesión único de Microsoft.

Qué necesitas

Configura el Directorio Activo local de Microsoft con el Servicio de Federación de Directorio Activo y SSO SAML

Hay cinco pasos para configurar SSO SAML para tu cuenta de ClickUp con el Directorio Activo local de Microsoft.

  1. Recopilar detalles de SAML SSO en ClickUp
  2. Configura la Confianza de la Parte Confiante para AD FS
  3. Añadir reglas a AD FS
  4. Exportar certificado de firma
  5. Completa el proceso de configuración en ClickUp.

Paso 1: Recopilar detalles de SSO SAML en ClickUp

El primer paso es recopilar los detalles de SSO SAML en ClickUp.

  1. Haz clic en el avatar de tu entorno de trabajo y, a continuación, en Ajustes.
  2. Selecciona Seguridad y permisos.
  3. Desde la sección de inicio de sesión único (SSO) , selecciona SAML.
    • Cualquier configuración previa de SSO en tu entorno de trabajo será sobrescrita.
  4. Bajo Configurar inicio de sesión único SAML verás los siguientes elementos que necesitarás referenciar en los siguientes pasos:
    • Certificado SP
    • URL de inicio de sesión único
    • URL de la audiencia (ID de entidad SP)
  5. Copia todo el texto del Certificado SP y pégalo en un editor de texto, como VS code.
  6. Guarda el archivo como clickup.cert.

    El certificado de seguridad no funcionará si se elimina cualquier texto del Certificado SP .

Paso 2: Configurar la confianza de la parte confiable para AD FS

Después de guardar tu certificado de seguridad, crearás una Confianza de Parte Confiante en Administrador del Servidor de Windows. Esto permitirá que ClickUp se conecte a tu despliegue de Active Directory

  1. En Administrador de servidores Windows, haz clic en Herramientas y, a continuación, selecciona Administración de AD FS.
  2. En la columna de Acciones a la derecha, haz clic en Agregar Confianza de Parte Confiante. Esto abre un asistente que te guía a través del proceso de configuración.
  3. En la página de Bienvenida, selecciona Consciente de reclamaciones y haz clic en Iniciar.
  4. En el paso Seleccionar origen de datos, selecciona Introducir datos sobre la parte que confía manualmente y haz clic en Siguiente.
  5. Añade un Nombre para mostrar y haz clic en Siguiente. Te recomendamos nombrar esto ClickUp.
  6. En el paso de Configurar Certificado, haz clic en el botón Examinar.
  7. Seleccione el archivo clickup.cert creado en el paso anterior y haga clic en Siguiente.
  8. En el paso de Configurar URL, marca la opción Habilitar soporte para el protocolo SAML 2.0 WebSSO.
  9. Pega la URL de inicio de sesión único delpaso anterior en el campo URL del servicio SAML 2.0 de la parte de confianza  y haz clic en Siguiente.
  10. En el paso de Configurar Identificadores, pega tu URL de Audiencia (ID de Entidad SP) del paso anterior en el campo identificador de confianza de la parte que depende.
  11. Haz clic en Añadir y luego en Siguiente.
  12. En el paso de Elegir política de control de acceso, selecciona Permitir a todos y luego haz clic en Siguiente. Esto determina quién puede autenticar su cuenta de ClickUp mediante inicio de sesión único.
  13. En el paso Listo para Añadir Confianza, haz clic en Siguiente y Cierra el asistente.

Paso 3: Añadir reglas a AD FS

A continuación, debes agregar dos reglas en AD FS en el Administrador del Servidor Windows. Esto garantizará que la integración envíe atributos del Protocolo de Acceso a Directorios Ligeros (LDAP) como reclamaciones.

  1. Desde Administrador del Servidor de Windows, haz clic en Herramientas.
  2. Selecciona Gestión de AD FS.
  3. En el árbol de la consola bajo AD FS, haz clic en Relying Party Trusts.
  4. Haz clic derecho en el nombre mostrado creado en el paso anterior y selecciona Editar política de emisión de reclamaciones.

Añadir primera regla

  1. Desde el cuadro de diálogo Editar política de emisión de reclamaciones, en la pestaña Reglas de transformación de emisión, haz clic en Añadir regla.
  2. Desde la página Seleccionar plantilla de regla, bajo Reclamar plantilla de regla, selecciona Enviar atributos LDAP como reclamaciones de la lista y luego haz clic en Siguiente.
  3. En la página de Configurar regla , establece la siguiente información y haz clic en Finalizar para completar el proceso y volver al cuadro de diálogo de Editar política de emisión de reclamaciones:
    • 1: Nombre de la regla de reclamación:  ClickUp LDAP
    • 2: Almacén de atributos: Active Directory
    • 3: En el atributo LDAP: Dirección de correo electrónico
    • 4: Tipo de reclamación saliente de la dirección de correo electrónico: Dirección de correo electrónico

Añadir segunda regla

  1. Haz clic en Añadir regla para agregar una segunda regla de Transformación. 
  2. En la página Seleccionar plantilla de regla, en Plantilla de regla de reclamación, selecciona Transformar una reclamación entrante de la lista y, a continuación, haz clic en Siguiente para continuar. 
  3. En la página Configurar Regla de Reclamación establece la siguiente información y haz clic en Finalizarpara completar el proceso.
    • 1: Nombre de la regla de reclamación: Transformar la dirección de correo electrónico como NameID
    • 2: Tipo de reclamación entrante: Dirección de correo electrónico.
    • 3: Tipo de reclamación saliente: NameID
    • 4: Formato del nombre saliente: Correo electrónico
    • 5: Selecciona Pasar por todos los valores de reclamación.
  4. En la casilla de diálogo Editar política de emisión de reclamaciones , haz clic en Aplicar para aplicar ambas reglas.

Paso 4: Exportar certificado de firma

Ahora necesitarás exportar tu Certificado de Firma desde el Gestor de Servidores Windows. Esto se conoce a menudo como el certificado X509. Esto se utiliza para verificar tu organización a través de tu Proveedor de Identidad.

  1. Desde Windows Server Manager, haz clic en Herramientas y luego selecciona Gestión de AD FS.
  2. Amplía la carpeta Servicio y selecciona Certificados.
  3. Haz clic derecho en el certificado de firma de token y selecciona Ver Certificado

  4. Desde el cuadro de diálogo Certificado, haz clic en la pestaña Detalles.
  5. Haz clic en Copiar al archivo
  6.  Desde el asistente de exportación de certificados, haz clic en Siguiente.
  7. Selecciona Base-64 encoded X.509 (CER) y haz clic en Siguiente.
  8. Nombra tu archivo de certificado adfsdomain.cer y haz clic en Siguiente.
  9. Pulsa Finalizar para exportar el certificado.

    Asegúrate de que el certificado esté bajo la pestaña de Firma y no bajo la de Encriptación.

AD FS exportará el certificado a la carpeta de descargas que hayas configurado.

Paso 5: Completa el proceso de configuración en ClickUp

Ahora que tiene todo configurado en AD FS, necesitará agregar los detalles de su AD FS a ClickUp. Para más información, consulta Inicio de Sesión Único SAML Personalizado.

  1. Haz clic en el avatar de tu entorno de trabajo y, a continuación, en Ajustes.
  2. Selecciona Seguridad y permisos.
  3. Desde la sección Inicio de sesión único (SSO) , selecciona SAML.
  4. Añade la siguiente información desde AD FS a ClickUp:
    1. IdP Entity ID: Esto le permite a ClickUp saber qué proveedor de identidad está utilizando.
    2. URL de destino SSO de IdP: ClickUp utilizará este enlace para conectarse al Proveedor de Identidad cuando alguien de su Organización intente iniciar sesión mediante SSO SAML. Para AD FS, debería verse algo así: https://sso.tudominio.tld/adfs/ls/
    3. Certificado de firma IDP: Este es el certificado descargado en Paso 4.
      1. Abre el editor de texto que prefieras.
      2. Utiliza el editor de texto para abrir el archivo adfsdomain.cer que descargaste previamente en el Paso 4
      3. Copia todo el valor del texto en nuestra sección de Certificado Público IDP.
    1.  

Consejos para la solución de problemas

El error la respuesta SAML aún no es válida puede deberse a un problema de sincronización del reloj del servidor ADFS con la marca de tiempo SAML.

Para resolver esto puedes:

  • Actualiza el reloj del servidor ADFS a la zona horaria de tu entorno de trabajo de ClickUp
  • Ejecuta este comando de PowerShell a continuación, que ignorará esta comprobación:Set-AdfsRelyingPartyTrust -TargetName Clickup -NotBeforeSkew 5

¿Fue útil este artículo?