< Back
Bienvenido al centro de ayuda de WalkMe

Please login in order to continue:

Reset password Reset EU password
Work flows better with WalkMe
Work flows better with WalkMe.
Search for anything

Integración del Proveedor de Identidad (IdP) SAML

Last Updated agosto 7, 2025
Share Article Copy link to clipboard
Applies to:
Escritorio Canadá FedRAMP Premium Para empleados Para clientes DAP

Breve descripción general

La integración del Proveedor de Identidad de WalkMe, (IDP), puede utilizar un protocolo de autenticación llamado SAML para autenticar usuarios con su proveedor de IDP organizacional y obtener atributos de usuario que se puedan utilizar más tarde para la segmentación y el análisis en WalkMe. Todos los IDP que admitan SAML deberían funcionar con WalkMe. WalkMe admite el flujo iniciado por SP.

¿Qué es SAML?

SAML, que significa "Lenguaje de marcado de afirmaciones de seguridad", es un estándar abierto que permite a los proveedores de identidad (IDP) pasar credenciales de autorización a los proveedores de servicios (SP). Permite a los clientes de computación verificar la identidad de un usuario final en función de la autenticación realizada por un servidor de autorización, así como obtener información básica del usuario final.

Casos de uso

  • Autenticación IDP del usuario final como requisito previo para presentar contenido de WalkMe.
  • Expansión de las capacidades de segmentación de contenido por parámetros de IDP (por ejemplo: grupos, región, departamento, etc.).
  • Monitoreo preciso de datos en todos los sistemas.

Requisitos previos

Es necesario crear una aplicación IDP que sirva como "puente" entre IDP y el Centro de integración de WalkMe.

Hay una guía de instrucciones disponible en el Centro de Administración en la pantalla de configuración de la integración de IDP.

Obtener metadatos y certificado del proveedor de identidad.

Estas instrucciones son genéricas. Tendrás que localizar esta información para tu proveedor de identidad específico (IdP).

  • URL de inicio de sesión único (SSO URL ) : URL en el IdP al que se deben enviar las solicitudes de autenticación SAML. Esto se denomina a menudo una URL SSO.
  • Certificado de firma X509: Certificado necesario para que el proveedor de servicios valide la firma de las afirmaciones de autenticación que han sido firmadas digitalmente por el IdP. Debe haber un lugar para descargar el certificado de firma del IdP. Si el certificado no está en .pem o .cer debes convertirlo a uno de estos formatos. Más tarde, copiarás y pegarás esto en WalkMe.
    Los métodos para recuperar este certificado varían, por lo que consulta la documentación de tu IdP si necesitas ayuda adicional.

Nota:

  • Antes de cargar el certificado de firma X.509 a WalkMe, debes convertir el archivo a Base64.
  • Para ello, utiliza una herramienta en línea o ejecuta el siguiente comando en Bash:
    cat cert.crt | base64.

Añadir metadatos del proveedor de servicios WalkMe al Proveedor de Identidad (IdP)

Añade información sobre el proveedor de servicios al proveedor de identidad para que la entidad sepa cómo recibir y responder a las solicitudes de autenticación SAML. Las instrucciones proporcionadas aquí son genéricas. Deberás encontrar las pantallas y los campos adecuados para el proveedor de identidad.

  1. Localiza las pantallas en el Proveedor de Identidad que te permita configurar SAML. Si el IdP admite la carga de un archivo de metadatos, simplemente puedes proporcionar el archivo de metadatos obtenido en el paso anterior. Si el IdP no admite la carga de un archivo de metadatos, puedes configurarlo manualmente de la siguiente manera.
  2. El IdP deberá saber a dónde enviar las afirmaciones SAML después de haber autenticado a un usuario. Este es el URL del Servicio de Declaraciones al Consumidor en WalkMe. El IdP puede llamar a esto URL del Servicio de Declaraciones al Consumidor o URL de Retorno de Aplicaciones .
    Estados Unidos: https://papi.walkme.com/ic/idp/p/saml/callback
    UE: https://eu-papi.walkme.com/ic/idp/p/saml/callback
  3. Si el IdP tiene un campo llamado Audiencia o Entidad de Audiencia , introduce en ese campo la Entidad de Audiencia de WalkMe :
    Estados Unidos: https://papi.walkme.com
    Europa: https://eu-papi.walkme.com
  4. Si el IdP proporciona una opción de vinculación, debes seleccionar Redirección HTTP para solicitudes de autenticación.

Añadir un proveedor de identidad

1. En la pestaña Integraciones de IDP del Panel de administración, haz clic en el botón "+ Añadir proveedor de identidad"

2. Selecciona el tipo de protocolo SAML

3. Proporciona los parámetros de configuración adecuados para la conexión

Descarga el archivo de metadatos

  • Puedes cargar la información de WalkMe en tu sistema a través de un archivo de metadatos en lugar de tener que copiar y pegar cada elemento individualmente

Campos obligatorios:

  • Nombre de IDP - Nombre de la conexión
  • Single Sign-On URL - La URL de inicio de sesión único del proveedor de identidad tomada del asistente de configuración del proveedor.
  • Certificado de firma X509 - Sube el certificado que descargaste de tu proveedor.

Opcional: Configuración de cifrado:

Para aumentar la seguridad de las transacciones, puedes firmar o cifrar las solicitudes y las respuestas en el protocolo SAML.

En primer lugar, necesitamos generar y descargar un certificado que será único para tu cuenta.
La clave pública se compartirá contigo para que puedas cargarla a tu proveedor de IDP.

  • AuthnRequest: firma la solicitud de autenticación SAML utilizando la clave privada.
  • Cifrado de aserciones: recibe aserciones cifradas de un proveedor de identidad. Para ello, debes proporcionar el certificado de clave pública al proveedor de identidad (IDP). El proveedor de identidad (IDP), cifra la aserción SAML utilizando la clave pública y la envía a WalkMe, que la descifra utilizando la clave privada.

4. Haz clic en "Guardar y siguiente" cuando hayas terminado.

  • Ten en cuenta que no es necesario proporcionar una URL de cierre de sesión.

5. Elige un identificador único de usuario final para identificar a los usuarios por

  • Solo necesitas un identificador; no necesitamos ninguna información adicional de grupo u otros atributos

6. Selecciona las propiedades deseadas y asegúrate de que se haya elegido el tipo de datos correcto:

    1. Cadena
    2. Número
    3. Fecha

Nota: el campo Identificador de usuario siempre se convertirá al tipo String.

Consejo:

  • Para garantizar que el tipo de datos seleccionado sea el adecuado, puedes pasar el cursor sobre el icono "i" y verificar el valor de esa propiedad.
  • Si el tipo de datos seleccionado no es adecuado para la propiedad, aparecerá un icono anaranjado"!" que recomienda volver al tipo de datos identificado.

También puedes cambiar el nombre de cualquier propiedad seleccionada, ver su valor y nombre originales y volver a su valor original si se ha sobrescrito.

7. Selecciona los sistemas a los que deseas asignar la integración de IDP

  • Puedes activar por separado la integración IDP para cada sistema en los entornos deseados

8. Utiliza el botón para aplicar el SSO

Nota:

  • El IDP debe proporcionar la identificación de usuario más precisa, pero los números pueden no ser precisos cuando el Enforce SSO está desactivado.
  • Cuando el (SSO) está desactivado, los usuarios pueden utilizar aplicaciones sin autenticarse en su proveedor de IDP, y se generará un ID de WalkMe que se utilizará como identificador de usuario.
  • Los usuarios pueden "omitir" la autenticación del proveedor de identidad (IDP) utilizando aplicaciones que no requieren autenticación en absoluto o iniciando sesión en la aplicación directamente con su nombre de usuario y contraseña, sin pasar por el flujo de inicio de sesión del IDP.

9. Haz clic en "Finalizar"

10. Aparecerá un mensaje indicándote si el IDP se añadió con éxito o no

Nota:

  • Después de asignar sistemas, la configuración de UUID para los sistemas asignados se establece automáticamente en IDP y la configuración se publica, por lo que no se requiere ninguna acción adicional.
  • La única forma de cambiar el identificador único universal (UUID) es desasignando el sistema del proveedor (consulta la sección "Administrar la asignación del sistema" a continuación).

  • Ahora se puede segmentar el contenido utilizando los atributos importados en Insights y en el Editor en la sección Atributos de usuario >IDP con las condiciones de filtro adecuadas según el tipo de campo de datos configurado.
  • Lee más aquí.

Consejo:

  • Para validar que la integración identifique a los usuarios y que se recopilen todos los atributos solicitados, se recomienda consultar la página de Usuarios en Insights en insights.walkme.com, donde se muestran todos los datos del usuario.
  • Los usuarios se añaden a la tabla solo después de que finalice su sesión, así que después de configurar IDP, tomará algo de tiempo añadir usuarios.

Administración de un proveedor de identidades

Al pasar el cursor sobre la fila de un proveedor de identidades, podrás acceder a varias opciones:

  • Eliminar
  • Administrar asignación de sistema
  • Importar propiedades
  • icono
  • Expandir

Eliminar

  • Haz clic en el icono de la papelera para "eliminar" un proveedor de identidad

Nota importante:

  • No es posible eliminar completamente un proveedor de identidad sin ponerse en contacto con el soporte técnico.
  • Antes de poder realizar la eliminación, el proveedor de identidad debe estar desasignado de todos los sistemas mediante la pantalla Administrar asignación de sistema.

Administrar asignación de sistema

  • Haz clic en el icono "+" para abrir la pantalla Administrar asignación de sistema
  • Selecciona o deselecciona los sistemas que deseas asignar al proveedor de identidad
  • También puedes utilizar el botón para Forzar SSO
  • Haz clic en el botón "Guardar cambios" una vez que hayas terminado.

Nota:

  • Los usuarios no pueden administrar la asignación del sistema para los proveedores que no tienen propiedades importadas. Primero tendrán que importarse las propiedades.
  • Después de asignar sistemas, la configuración de UUID para los sistemas asignados se establece automáticamente en IDP y la configuración se publica, por lo que no se requiere ninguna acción adicional.

Importar propiedades

  • Haz clic en el icono de la lista y luego en el botón "Importar propiedades" para editar o agregar propiedades importadas adicionales

Estos atributos se usarán para segmentar contenido y generar informes en Insights.

Nota:

  • Para ello, es necesario autenticarse con un usuario que esté asignado a la aplicación WalkMe en el lado del proveedor.

icono

  • Haz clic en el icono de lápiz para editar los ajustes del proveedor de identidad.
  • Podrás editar todos los campos completados en los ajustes iniciales del proveedor de identidad.

Nota:

  • Los usuarios no pueden administrar la asignación del sistema para los proveedores que no tienen propiedades importadas. Primero tendrán que importarse las propiedades.

Expandir / Contraer Vista

  • Utiliza el icono de flecha para abrir y contraer la vista expandida
  • Cuando se expanda, verás todos los sistemas asignados a un proveedor de identidad y si se ha activado o no Forzar SSO

Prácticas recomendadas

Configuración "Forzar SSO"

  • Cuando está activado - la autenticación de IDP debe producirse antes de que el usuario final abra la página web. Si no se reconoce el token de IDP, el usuario final será redirigido a su página de inicio de sesión de IDP.
    • Cada vez que el usuario final no pueda autenticarse en el IDP por razones como que el IDP estaba inactivo, el cliente olvidó las credenciales o el usuario final no fue asignado a la aplicación del IDP, el SSO se desactivará durante 1 hora y el identificador de usuario se ajustará automáticamente al método "WalkMe ID" como recurso alternativo o WalkMe no se cargará, dependiendo de la configuración del cliente.
    • Después de una hora, si el token de IDP sigue sin reconocerse, el usuario final será redirigido nuevamente a su página de inicio de sesión de IDP. De lo contrario, no será necesario iniciar sesión en el IDP. Es importante asegurarse de que esto sea absolutamente claro para el cliente. De lo contrario, NO actives esta opción.
  • Cuando está desactivado: se intenta la autenticación de IDP al cargar la página, pero si no hay un token activo para IDP, el usuario final no será redirigido a IDP. El identificador de usuario se reducirá automáticamente al método "WalkMe ID" o WalkMe no se cargará, dependiendo de la configuración del cliente.

Limitaciones

  • Importante: cambiar el identificador de usuario afecta a la forma en que WalkMe identifica a los usuarios finales y puede restablecer las configuraciones de "Reproducir una vez".

Tenga en cuenta que, si la implementación ya está activa, cambiar el identificador de usuario afecta a la forma en que WalkMe identifica a los usuarios finales. Esto podría dar lugar a que se restablezcan las reglas de reproducción automática (por ejemplo, la configuración de Reproducir una vez) o a que los usuarios vean las tareas de incorporación completadas previamente marcadas como incompletas, debido a que su UUID (identificador de usuario único) ha sido cambiado. No hay forma de evitar esta limitación, ya que cada usuario está siendo reconocido como un usuario nuevo, vinculado a su nuevo valor de UUID.

  • El navegador Safari no admite IDP
  • El usuario debe tener permisos de administrador para el Centro de administración
  • El IDP debe configurarse en el sistema requerido
  • Los usuarios finales deben utilizar IDP para autenticarse en ese sistema
  • Si tu empresa tiene CSP (Política de seguridad de contenido), bloqueará las llamadas al proveedor de IDP.
    • Para superar esto, se debe añadir la URL correcta en los ajustes de CSP de la configuración de la extensión.
  • Después de asignar sistemas, la configuración de UUID para los sistemas asignados se establece automáticamente en IDP y la configuración se publica, por lo que no se requiere ninguna acción adicional.
    • Para que los cambios del IDP surtan efecto, los sistemas del cliente deben actualizarse a la última versión de WalkMe (esto se puede lograr mediante la publicación de la configuración).
    • Para las cuentas Empresariales, debes marcar "Actualizar a la última versión de WalkMe" al publicar.

Web móvil:

  • La web móvil se activará automáticamente después de completar la configuración de IDP
  • Si se añade Web Móvil después de que ya se haya activado IDP / OneID, los usuarios deberán desactivar y luego reactivar IDP para soporte de Web Móvil

Was this article helpful?

Yes No
Yes
No
Thanks for your feedback!
Applies to:
Escritorio Canadá FedRAMP Premium Para empleados Para clientes DAP

Related Articles

Be part of something bigger.

Engage with peers, ask questions, share ideas

Explore our community
×