Blinde su dominio
El inicio de sesión único no es un simple interruptor. Son tres controles que funcionan juntos para decidir exactamente quién puede acceder al inventario de su empresa. Entender cómo encajan hace evidente por qué el SSO deja entrar a las personas correctas y mantiene a todas las demás fuera.
1. Verificación de dominio: probar que es suyo
Antes que nada, reclama su dominio de correo (por ejemplo suempresa.com) y
prueba que le pertenece publicando un registro DNS TXT que nosotros generamos. Solo una persona que
controla el DNS de su dominio puede hacerlo, de modo que un dominio verificado es una señal fuerte e
infalsificable de que ese dominio pertenece realmente a su empresa. Nada aguas abajo se activa
mientras esa verificación no pase.
2. Exigir el SSO: cerrar las puertas traseras
Con un dominio verificado, puede exigir el SSO para todos sus miembros. Una vez activado, una persona cuyo correo está en su dominio ya no puede colarse con una contraseña aparte, porque el inicio de sesión se redirige a su proveedor de identidad cada vez. Esto cierra la puerta trasera del «pero creé una cuenta hace siglos» y hace pasar cada inicio de sesión por el MFA y las políticas que impone su IdP.
3. Aprovisionamiento automático: las personas correctas, de forma automática
Active el aprovisionamiento automático y la primera vez que una persona de su dominio verificado inicia sesión vía SSO, se agrega automáticamente a la empresa, sin invitación manual. Un nuevo colaborador se une al grupo correcto en su IdP, inicia sesión y ya está operativo. Déjelo desactivado y el acceso permanece solo por invitación, sirviendo el SSO simplemente como método de inicio de sesión.
Cómo se combinan
- Dominio verificado + exigencia de SSO = solo entran los miembros autenticados de su dominio, y únicamente a través de su IdP.
- + Aprovisionamiento automático = la incorporación es automática, impulsada por completo por los grupos de su proveedor de identidad.
- Elimine a alguien en su IdP = el siguiente inicio de sesión falla, en todas partes. El acceso no se prolonga.
Cada control es una casilla en los ajustes de inicio de sesión único (SSO) de su empresa. La configuración completa (desde agregar un dominio hasta activar estas opciones) se encuentra en la página de la funcionalidad de inicio de sesión único.