Añadir una conexión SSO para una organización
Acerca de la adición de una conexión
En esta página se explica cómo conectar su organización de Qualtrics con el inicio de sesión único (SSO) SAML u OAuth 2.0. Para comenzar, vaya a la pestaña Autenticación de la Configuración de su Organización y seleccione Agregar una conexión.
Solo Administradores Marca/organización Puede completar estos pasos.
Información general
- Nombre: Nombre de la conexión. Este es un campo obligatorio.
Consejo Q: Este nombre aparece en la pestaña SSO de su configuración de organización para que pueda distinguir entre las diferentes conexiones que ha añadido. Esto no aparecerá en su página de inicio de sesión.
- Contacto técnico: Añada la dirección de correo electrónico de un contacto técnico que probablemente sea alguien de su equipo de TI. Esta es la persona con la que Qualtrics puede contactar si hay preguntas técnicas o actualizaciones relacionadas con esta conexión SSO. Este campo es opcional, pero se recomienda encarecidamente.
- Nombre de visualización: el nombre de visualización es lo que se mostrará en la página de inicio de sesión de su organización cuando se pida a los usuarios que seleccionen una conexión SSO. Los nombres de visualización pueden tener una longitud máxima de 120 caracteres. Consulte más información en Habilitar y deshabilitar conexiones SSO.
Consejo Q: Esto solo se puede aplicar a las conexiones SSO. El nombre de visualización no se puede cambiar para el inicio de sesión predeterminado de Qualtrics.
Configuración de una conexión de Google
Un tipo de OAuth 2.0 que puede añadir es una conexión de Google. Conectar su organización a Google SSO permitirá a sus usuarios registrarse o iniciar sesión con sus cuentas de Google.
- En Información de protocolo, seleccione OAuth 2.0.
- En Seleccionar tipo OAUth, seleccione Google.
- Configure las opciones de aprovisionamiento de usuario que desee incluir.
- En Dominios de correo electrónico válidos, introduzca los dominios de correo electrónico que se pueden utilizar para inscribirse en una cuenta de Qualtrics con su licencia. Si añade un asterisco ( * ), se puede utilizar cualquiera de los dominios de su organización para inscribirse.
Ejemplo: Barnaby trabaja en Tread, donde todos los empleados tienen un correo electrónico de empleado personalizado, por ejemplo, barnabys@treadmade.org. Sus dominios de correo electrónico válidos serían treadmade.orgConsejo Q: Este campo está vacío de forma predeterminada, así que asegúrese de añadir un asterisco (*) o los dominios de Gmail de su empresa. Separe varios dominios con comas.
- Configure las opciones de migración de usuarios.
- Aplique las modificaciones.
Configuración de una conexión OAuth 2.0
Una vez fijada la información del protocolo en OAuth 2.0, aparecerán varios campos. Todos estos campos son necesarios para configurar su conexión OAuth 2.0, excepto el nombre.
- En Información de protocolo, seleccione OAuth 2.0.
- En Seleccionar tipo de OAuth, seleccione Personalizado.
- Escriba un nombre para su conexión. (Opcional)
- Proporcione un ID de cliente.
Consejo Q: Los ID de cliente identifican y autentican al cliente (en este caso, Qualtrics). El ID de cliente se puede adquirir del servidor de autorización (es decir, su proveedor OAuth).
- Proporcione un secreto de cliente.
Consejo Q: El secreto de cliente identifica y autentica al cliente. Se adquiere del servidor de autorización.Consejo Q: Haga clic en el icono del ojo para mostrar el secreto del cliente.
- Pegue la URL correcta en el campo Punto de acceso de autorización.
Consejo Q: Un punto final de autorización gestiona la autenticación y el consentimiento del usuario. Después de que el usuario se autentica y consiente en el acceso de sus recursos, se devuelve un código de autorización al cliente.
- Pegue la dirección URL correcta en el campo Punto de acceso de token.
Consejo Q: El punto de acceso de token es un punto de acceso en el servidor de autorización que gestiona el intercambio de códigos de autorización por tokens de acceso. - Seleccione uno o ambos métodos de autorización de punto de acceso de token. Se utiliza para el punto de acceso de token.
- Secreto de cliente básico: El secreto de cliente está codificado en la cabecera de autorización.
- Publicación de secreto de cliente: el secreto de cliente se incluye en el cuerpo de la solicitud como parámetro de formulario.
- Pegue la dirección URL correcta en el campo Punto final de información de usuario.
Consejo Q: El punto de acceso de la información de usuario en el servidor de recursos acepta y valida un token de acceso del cliente y devuelve la información de usuario al cliente.
- Pegue la dirección URL correcta en el campo Punto final de claves públicas.
Consejo Q: Este punto final de claves públicas se utiliza durante la validación del token de ID. El cliente (Qualtrics) va a este punto de acceso para recuperar las claves públicas e intentar hacer coincidir el ID de clave encontrado en el token de ID con una de las claves públicas. Este campo no es necesario si el token id está firmado con un algoritmo basado en MAC (por ejemplo, HMAC256, HMAC512).
- Pegue la dirección URL correcta en el campo Emisor de token.
Consejo Q: El campo Emisor de token se utiliza durante la validación del token de ID.
- Añada los algoritmos utilizados para firmar el token de ID.
Consejo Q: Este campo se utiliza para la validación del token de ID cuando se especifica el alcance de openid en el campo Alcance (paso 14). Puede añadir varios algoritmos que se pueden utilizar para firmar el token de ID. El valor predeterminado es RS256. No es necesario añadir algoritmos si el token de ID está firmado con un algoritmo basado en MAC.
- Seleccione un tipo de vinculación de tipo de solicitud autenticada. Se utiliza para el punto de acceso de información de usuario.
- Cabecera: el token de acceso se incluye en la cabecera de autorización.
- Cuerpo: el token de acceso se incluye en el cuerpo de la respuesta como parámetro de formulario.
- Consulta: el token de acceso se incluye en el cuerpo de la respuesta como parámetro de consulta.
- Introduzca un alcance.
Consejo Q: El alcance se utiliza para especificar qué recursos se solicitan desde el punto de acceso de la información del usuario (es decir, la lista de recursos que el propietario del recurso envía al cliente). Los alcances de ejemplo incluyen openid, correo electrónico y perfil.
- El campo Tipo de respuesta está configurado como “código” y no se puede editar. Actualmente, Qualtrics solo admite el flujo de códigos de autorización.
- El campo Tipo de concesión está fijado en “Authorization_code” y no se puede editar. Actualmente, Qualtrics solo admite el flujo de códigos de autorización por ahora.
- Recibirá un punto de acceso de redirección de OAuth. Este es el punto final al que el proveedor de identidades redirige de vuelta con un código de autorización. El intercambio de información de token y usuario tiene lugar en este punto final.
Consejo Q: Usted y su equipo de TI deben configurar su proveedor de identidades por su parte. Los representantes de Qualtrics no pueden realizar este paso por usted.
- Añada campos de atributo de usuario.
- Configure las opciones de asignación.
- Configure las opciones de aprovisionamiento de usuario.
- Configure las opciones de migración de usuarios.
- Configurar atributos de dashboard.
- Aplique las modificaciones.
Configurar una conexión SAML
- En Información de protocolo, seleccione SAML.
- Cargar opciones del proveedor de identidades.
- Configure opciones adicionales.
- Configure las opciones del proveedor de servicios.
- Añada campos de atributo de usuario.
- Configure las opciones de asignación.
- Configure las opciones de aprovisionamiento de usuario.
- Configure las opciones de migración de usuarios.
- Configurar atributos de dashboard.
- Aplique las modificaciones.
Carga de la configuración del proveedor de identidades (SAML)
Si tiene la información de sus metadatos de IdP disponible en formato XML, haga clic en Cargar metadatos de IdP y péguela en la ventana que se abre. Esto rellenará los campos en los pasos siguientes (ID de entidad, vinculaciones de servicio de inicio de sesión único, certificados) con la información que proporcione.
ID de entidad
El ID de entidad es el identificador único para su proveedor de identidades y se puede encontrar en sus metadatos de IdP. Este campo se rellenará automáticamente a partir de la carga de metadatos o puede añadirlo manualmente.
Vinculaciones de servicio de inicio de sesión único
Las vinculaciones de servicio de inicio de sesión único son puntos finales que se utilizan para conectarse al proveedor de identidades y se pueden encontrar en sus metadatos de IdP.
Para añadir una nueva vinculación manualmente,
- Seleccione un tipo de vinculación. Qualtrics actualmente es compatible con HTTP POST y HTTP Redirect.
Consejo Q: Si HTTP POST está activado, se firmará la solicitud SAML.
- En Ubicación de vinculación, introduzca la URL.
- Haga clic en Añadir vinculación.
- Una vez que añada una vinculación, aparecerá en la parte superior. Si ha añadido varias vinculaciones, solo puede seleccionar 1 para activarlas.
Puede borrar vinculaciones utilizando el icono de papelera a la derecha de una vinculación.
Certificados
El certificado es la clave que se utiliza para autenticar la conexión SAML. Qualtrics requiere un certificado de firma para los inicios de sesión iniciados por SP, que se encuentra en los metadatos de IdP. Si planifica utilizar solo inicios de sesión iniciados por IdP, no se requiere un certificado de firma.
Para agregar un certificado nuevo,
- Fije el Tipo de certificado en Firma.
- En Certificado, pegue la clave.
- Haga clic en Agregar certificado.
Puede añadir varios certificados de firma.
Puede borrar certificados utilizando el icono de papelera a la derecha de un certificado.
Opciones adicionales (SAML)
Las siguientes parametrizaciones son opcionales. Lea detenidamente qué hace cada uno antes de habilitarlos o desactivarlos.
- Solicitud de firma: Si tiene una vinculación que es una solicitud de AuthN y necesita que la firmemos, active esta configuración. Para garantizar que la solicitud provenga de Qualtrics y no de alguien que haya interceptado el mensaje, firmaremos la solicitud enviada al proveedor de identidades.
- Forzar autenticación: Cuando se activa, Qualtrics obliga a los usuarios de IdP a autenticarse aunque haya una sesión activa. Solo funciona si su IdP admite este tipo de configuración.
- Activar prevención de reproducción de aserción: Cuando está activada, Qualtrics no reutilizará una aserción que ya hemos visto, lo que es 1 forma de evitar ataques de reproducción SAML. Le recomendamos que active esta opción.
Opciones de proveedor de servicios (SAML)
Después de configurar su información de protocolo en SAML, se le pedirá que introduzca la configuración de su proveedor de identidades y podrá descargar nuestros metadatos del proveedor de servicios haciendo clic en Descargar metadatos del proveedor de servicios. Esto solo está disponible después de haber guardado las opciones de conexión por primera vez.
Al configurar los metadatos del proveedor de servicios (SP) en su portal IdP, no dude en consultar nuestra guía sobre proveedores de identidades comunes. Si planea utilizar inicios de sesión iniciados por IdP, aplique el estado de retransmisión predeterminado a su configuración de IdP.
Campos de atributo de usuario (ambos)
En esta sección, introducirá los nombres de los atributos que planea enviar en el intercambio SSO. El único campo obligatorio es la dirección de correo electrónico, pero recomendamos encarecidamente incluir un campo de nombre, apellido y nombre de usuario para completar el perfil de usuario en Qualtrics. Los campos Tipo de usuario, División y Grupo son campos opcionales que se pueden utilizar para la asignación de roles.
Para una respuesta SAML, todos los nombres de atributo distinguen entre mayúsculas y minúsculas y deben escribirse exactamente como aparecen en la sección Declaración de atributo de su respuesta SAML. Qualtrics no puede autenticarse a partir del campo “NameID” de su respuesta SAML.
- Campo Correo electrónico: El nombre del campo que contiene los correos electrónicos de los usuarios. Este campo es obligatorio.
- Campo de nombre de usuario: El campo que contiene los nombres de usuario, si desea que sean distintos de las direcciones de correo electrónico. Este campo es opcional y se utilizará por defecto en el campo de correo electrónico si no se proporciona nada.
Atención: Si está utilizando el aprovisionamiento just-in-time y desea cambiar el atributo asignado al campo de nombre de usuario, póngase en contacto con el soporte técnico de Qualtrics. Cambiar este valor de atributo después de que se haya configurado puede afectar a los inicios de sesión SSO.Advertencia: Si se activan varias conexiones SSO, existe la posibilidad de duplicar nombres de usuario en todos los proveedores de SSO. En tal situación, Qualtrics los considerará el mismo usuario y concederá acceso a la cuenta asignada a dicho nombre de usuario. Para evitar esta situación, utilice un campo unívoco que no se modifique en todos los proveedores SSO.Consejo Q: Se recomienda utilizar un campo exclusivo que anule el cambio para el nombre de usuario. Puede ser una dirección de correo electrónico o un identificador único, como un ID de empleado.
- Campo de nombre: Nombres de los usuarios. El valor predeterminado es el correo electrónico si no se proporciona nada.
- Campo Apellido: Apellidos de los usuarios. El valor predeterminado es el correo electrónico si no se proporciona nada.
- Campo de tipo de usuario: Es posible que desee que se asignen usuarios a un determinado tipo de usuario en cuanto inicien sesión en Qualtrics por primera vez. Consulte Asignación de permisos de usuario para obtener más información.
Consejo Q: Si no se define nada, todos los usuarios utilizarán de forma predeterminada el tipo de usuario predeterminado de su organización.
- Campo División: Es posible que desee que los usuarios se asignen a una división determinada en cuanto inicien sesión en Qualtrics por primera vez. Consulte Asignación de permisos de usuario para obtener más información.
- Campo de grupo: Es posible que desee que se asignen usuarios a un grupo determinado en cuanto inicien sesión en Qualtrics por primera vez. Si este campo se deja en blanco, los usuarios no se asignarán a grupos. Consulte Asignación de permisos de usuario para obtener más información.
- Active Actualizar atributos de usuario en cada conmutador de inicio de sesión si desea que sus atributos de usuario se actualicen cada vez que inicien sesión. Qualtrics actualizará sus atributos de usuario al valor proporcionado por el proveedor de identidades al iniciar sesión.
Después de introducir estos nombres de atributo, puede configurar el resto de la asignación en la siguiente sección, Opciones de asignación.
Consejo Q: El nombre del atributo puede aparecer incluso como URL. Esto ocurre normalmente con ADFS y Azure IdP y puede tener este aspecto:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Asegúrese de verificar la respuesta SAML para confirmar cómo se enumera el atributo.
Opciones de asignación (ambas)
Si ha elegido establecer tipos de usuario, grupos o divisiones, tendrá que asignar los valores de atributo a los campos existentes en Qualtrics. En Qualtrics, deberá especificar qué valores corresponden a qué tipos de usuarios, grupos o divisiones.
En Valor del proveedor de identidades, introduzca el valor tal y como está configurado en su proveedor de identidades. En el valor de Qualtrics, seleccione el tipo, grupo o división correspondiente. A continuación, haga clic en Añadir asignación. Deberá completar estos pasos para cada valor que haya definido su proveedor de identidades.
Para restringir el acceso a la plataforma solo a los tipos de usuario asignados, puede habilitar la validación del tipo de usuario. Esto significa que cada vez que un usuario intenta iniciar sesión en Qualtrics mediante SSO, el sistema le pedirá que tenga un tipo de usuario que coincida con 1 de las asignaciones que ha creado. Esto es útil si el valor asociado con el campo de tipo de usuario cambia en el proveedor de identidades y permite a los administradores modificar rápidamente los permisos de usuario.
Se pueden realizar asignaciones similares para grupos y sectores, siempre que haya definido esos campos en Campos de atributo de usuario.
Si elige no asignar tipos de usuario, divisiones o grupos, a todos los usuarios se les asignará el tipo de usuario de autoinscripción predeterminado seleccionado en la pestaña Administración, en Tipos de usuario.
Opciones de aprovisionamiento de usuario (ambas)
- Aprovisionamiento just-in-time: Si un usuario no existe en Qualtrics e inicia sesión correctamente a través de SSO con un dominio de correo electrónico aprobado, cree un usuario nuevo.
- Notificar a los administradores de la creación de usuarios: Notifique a los administradores específicos cuando se cree un usuario en su organización Qualtrics. Puede especificar quién recibe esta notificación en Notificación por correo electrónico de autoinscripción.
- Dominios de correo electrónico válidos: Introduzca los dominios de correo electrónico que se pueden utilizar para inscribirse en una cuenta de Qualtrics con su licencia. De forma predeterminada, aparecerá un asterisco ( *), que indica que cualquier dominio se puede utilizar para inscribirse. Separe varios dominios con comas.
Consejo Q: Esta lista afecta a la inscripción SSO y a la autenticación posterior en el producto.
Opciones de migración de usuario (ambas)
Una vez que haya probado y habilitado su nueva conexión SSO, es posible que deba actualizar los nombres de usuario de cualquier usuario existente en su licencia. Cuando los usuarios inicien sesión a través de SSO, Qualtrics comprobará si tienen una cuenta existente con el atributo que ha especificado como campo Nombre de usuario. Para garantizar que el inicio de sesión SSO coincida con la cuenta de usuario existente adecuada, el nombre de usuario del usuario tal como se enumera en la pestaña Administración debe tener el siguiente formato.
Value_of_Username_field_attribute#brandID
Puede actualizar los nombres de usuario a este formato utilizando cualquiera de los cinco métodos siguientes:
Método 1: Agregar #BrandID a los nombres de usuario existentes
Si solo necesita agregar el #ID de marca al final de los nombres de usuario de los usuarios existentes, puede habilitar la opción Cambiar nombre de usuario existente al iniciar sesión. Cuando el usuario inicia sesión mediante SSO por primera vez, el #brandID se añadirá automáticamente al final de su nombre de usuario.
Método 2: Aprovisionamiento just-in-time
Si tiene activado el aprovisionamiento just-in-time en Opciones de aprovisionamiento de usuario, puede seleccionar la opción Fusionar con usuario existente al iniciar sesión. Si se cumple lo siguiente, se le solicitará al usuario la siguiente pantalla:
- Aún no hay ninguna cuenta dentro de la organización que tenga un nombre de usuario que coincida con el valor de nombre de usuario SSO para el usuario.
- El usuario inicia sesión por primera vez después de haber habilitado SSO para la organización.
- El usuario debe seleccionar Sí, tengo una cuenta preexistente aquí si ya tiene una cuenta de Qualtrics dentro de la organización. A continuación, el usuario debe introducir las credenciales de su cuenta de Qualtrics y hacer clic en Verificar cuenta. Esto actualizará su nombre de usuario de cuenta de Qualtrics existente para que coincida con el valor de nombre de usuario SSO del usuario pasado al iniciar sesión. El usuario no verá esta pantalla en el futuro:
- El usuario debe seleccionar No, no tengo una cuenta preexistente aquí si aún no tiene una cuenta de Qualtrics dentro de la organización. El usuario debe hacer clic en Iniciar sesión cuando se le solicite. Esto creará una cuenta de Qualtrics con el valor de nombre de usuario SSO del usuario pasado al iniciar sesión. El usuario no verá esta pantalla en el futuro.
Método 3: Pequeño número de usuarios
Si tiene una pequeña cantidad de usuarios existentes, puede actualizar los nombres de usuario manualmente en su página de administración.
Método 4: Gran cantidad de usuarios
Si tiene una gran cantidad de usuarios existentes y tiene API habilitada para su licencia, puede utilizar nuestra API pública para actualizar los nombres de usuario.
Método 5: Licencia de experiencia del empleado
Si utiliza la plataforma Employee Experience, puede actualizar los nombres de usuario mediante la función de carga de archivos.
Atributos de dashboard (ambos)
Si su licencia incluye dashboards de CX o cualquiera de nuestros productos de Employee Experience, puede transferir atributos adicionales a los definidos en la sección “Atributos de usuario”. Para los dashboards de CX, estos atributos adicionales se pueden utilizar para asignar automáticamente roles a los usuarios en la autenticación SSO. Para nuestros productos Employee Experience, solo podrá capturar 1 atributo adicional llamado ID único. Este campo es obligatorio para todos los participantes y se puede asignar mediante autenticación SSO o mediante la función de carga de archivos.
Para añadir atributos adicionales, active Capturar atributos adicionales para dashboards.
Una vez activada esta opción, introduzca los nombres de atributo que desea capturar exactamente como aparecen en la sección “Declaración de atributo” de su respuesta SAML.
Aplicación y anulación de cambios (ambos)
Para guardar los cambios, haga clic en Aplicar.
Si desea revertir los cambios realizados en la pantalla a la última versión guardada en lugar de aplicarlos, haga clic en Revertir.