Skip to content

Inicio de sesión iniciado por el proveedor de servicios (SP)

Este artículo te guiará sobre cómo habilitar el inicio de sesión único SAML para tu cuenta de Braze y cómo obtener un rastreo SAML.

Requisitos

Durante la configuración, se te pedirá que proporciones una URL de inicio de sesión y una URL de Assertion Consumer Service (ACS).

Configurar SAML SSO

Paso 1: Configura tu proveedor de identidad

Configura Braze como proveedor de servicios (SP) en tu proveedor de identidad (IdP) con la siguiente información. Además, configura el mapeado de atributos SAML.

Atributo SAML ¿Obligatorio? Atributos SAML aceptados
email Obligatoria email
mail
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email
first_name Opcional first_name
firstname
firstName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/first_name
last_name Opcional last_name
lastname
lastName
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/last_name

Paso 2: Configura Braze

Cuando termines de configurar Braze en tu proveedor de identidad, este te proporcionará una URL de destino y un certificado x.509 para introducir en tu cuenta de Braze.

Después de que tu director de cuentas active SAML SSO para tu cuenta, ve a Configuración > Configuración de administrador > Configuración de seguridad y cambia la sección SAML SSO a ACTIVADO.

En la misma página, introduce lo siguiente:

Asegúrate de que tu certificado x.509 siga este formato cuando lo añadas al dashboard:

1
2
3

-----BEGIN CERTIFICATE-----
<certificate>
-----END CERTIFICATE-----

Configuración de SAML SSO con el interruptor seleccionado.

Paso 3: Inicia sesión en Braze

Guarda tu configuración de seguridad y cierra sesión. Luego, vuelve a iniciar sesión con tu proveedor de identidad.

Pantalla de inicio de sesión del dashboard con SSO habilitado

Configurar tu RelayState

  1. En Braze, ve a Configuración > API e identificadores.
  2. En la pestaña Claves de API, selecciona el botón Crear clave de API.
  3. En el campo Nombre de la clave de API, introduce un nombre para tu clave.
  4. Despliega el menú SSO en Permisos y marca sso.saml.login.

    La sección "Permisos" con sso.saml.login marcado.

  5. Selecciona Crear clave de API.
  6. En la pestaña Claves de API, copia el identificador junto a la clave de API que creaste.
  7. Pega la clave de API de RelayState en el RelayState de tu IdP (también puede aparecer como “Relay State” o “Default Relay State” dependiendo de tu IdP).

Comportamiento de SSO

Los miembros que opten por usar SSO ya no podrán utilizar su contraseña como lo hacían antes. Los usuarios que continúen usando su contraseña podrán hacerlo a menos que se restrinja mediante la siguiente configuración.

Restricción

Puedes restringir a los miembros de tu organización para que solo inicien sesión con Google SSO o SAML SSO. Para activar las restricciones, ve a Configuración de seguridad y selecciona Forzar solo inicio de sesión con Google SSO o Forzar solo inicio de sesión con SAML SSO personalizado.

Ejemplo de configuración de la sección "Reglas de autenticación" con una longitud mínima de contraseña de 8 caracteres y reutilización de contraseña de 3 veces. Las contraseñas caducarán después de 180 días y los usuarios cerrarán sesión después de 1440 minutos de inactividad.

Al activar las restricciones, los usuarios de Braze de tu empresa ya no podrán iniciar sesión con una contraseña, incluso si han iniciado sesión con una contraseña anteriormente.

Obtener un rastreo SAML

Si experimentas problemas de inicio de sesión relacionados con SSO, obtener un rastreo SAML puede ayudarte a solucionar problemas de tu conexión SSO al identificar qué se envía en las solicitudes SAML.

Requisitos previos

Para ejecutar un rastreo SAML, necesitarás un rastreador SAML. Aquí tienes dos opciones posibles según tu navegador:

Paso 1: Abre el rastreador SAML

Selecciona el rastreador SAML en la barra de navegación de tu navegador. Asegúrate de que Pausa no esté seleccionado, ya que esto impedirá que el rastreador SAML capture lo que se envía en las solicitudes SAML. Cuando el rastreador SAML esté abierto, verás que se llena el rastreo.

Rastreador SAML para Google Chrome.

Paso 2: Inicia sesión en Braze usando SSO

Ve a tu dashboard de Braze e intenta iniciar sesión usando SSO. Si encuentras un error, abre el rastreador SAML e inténtalo de nuevo. Un rastreo SAML se ha recopilado correctamente si hay una fila con una URL como https://dashboard-XX.braze.com/auth/saml/callback y una etiqueta SAML naranja.

Paso 3: Exporta y envía a Braze

Selecciona Exportar. En Seleccionar perfil de filtro de cookies, selecciona Ninguno. Luego, selecciona Exportar. Esto generará un archivo JSON que puedes enviar a soporte de Braze para una solución de problemas más detallada.

Menú "Preferencias de exportación de rastreo SAML" con la opción "Ninguno" seleccionada.

Solución de problemas

¿La dirección de correo electrónico del usuario está configurada correctamente?

Si recibes el error ERROR_CODE_SSO_INVALID_EMAIL, la dirección de correo electrónico del usuario no es válida. Confirma en el rastreo SAML que el campo saml2:Attribute Name="email" coincida con la dirección de correo electrónico que el usuario está usando para iniciar sesión. Si usas Microsoft Entra ID (anteriormente Azure Active Directory), el mapeado de atributos es email = user.userprincipalname.

La dirección de correo electrónico distingue entre mayúsculas y minúsculas y debe coincidir exactamente con la que se configuró en Braze, incluida la configurada en tu proveedor de identidad (como Okta, OneLogin, Microsoft Entra ID y otros).

Otros errores que indican que tienes problemas con la dirección de correo electrónico del usuario incluyen:

  • ERROR_CODE_SSO_EMAIL_DOES_NOT_EXIST: La dirección de correo electrónico del usuario no está en el dashboard.
  • ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISSING: La dirección de correo electrónico del usuario está en blanco o mal configurada.
  • ERROR_CODE_SSO_SESSION_SIGN_IN_EMAIL_MISMATCH o ERROR_CODE_SSO_SIGN_IN_EMAIL_MISMATCH: La dirección de correo electrónico del usuario no coincide con la utilizada para configurar SSO.

¿Tienes un certificado SAML válido (certificado x.509)?

Puedes validar tu certificado SAML usando esta herramienta de validación SAML. Ten en cuenta que un certificado SAML caducado también es un certificado SAML no válido.

¿Cargaste un certificado SAML correcto (certificado x.509)?

Confirma que el certificado en la sección ds:X509Certificate del rastreo SAML coincida con el que cargaste en Braze. Esto no incluye el encabezado -----BEGIN CERTIFICATE----- ni el pie -----END CERTIFICATE-----.

¿Escribiste mal o formateaste incorrectamente tu certificado SAML (certificado x.509)?

Confirma que no haya espacios en blanco ni caracteres adicionales en el certificado que enviaste en el dashboard de Braze.

Cuando introduces tu certificado en Braze, debe estar codificado en Privacy Enhanced Mail (PEM) y formateado correctamente (incluyendo el encabezado -----BEGIN CERTIFICATE----- y el pie -----END CERTIFICATE-----).

Aquí tienes un ejemplo de certificado formateado correctamente:

1
2
3

-----BEGIN CERTIFICATE-----
THIS_IS_A_MOCKED_CERTIFICATE_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
-----END CERTIFICATE-----

¿El token de sesión del usuario es válido?

Pide al usuario afectado que borre la caché y las cookies de su navegador y luego intente iniciar sesión con SAML SSO de nuevo.

¿Configuraste tu RelayState?

Si recibes el error ERROR_CODE_SSO_INVALID_RELAY_STATE, tu RelayState podría estar mal configurado o no existir. Si aún no lo has hecho, necesitas configurar tu RelayState en tu sistema de administración de IdP. Para conocer los pasos, consulta Configurar tu RelayState.

¿El usuario está atrapado en un bucle de inicio de sesión entre Okta y Braze?

Si un usuario no puede iniciar sesión porque está atrapado en un ciclo entre el SSO de Okta y el dashboard de Braze, necesitas ir a Okta y configurar la URL de destino de SSO a tu instancia de Braze (por ejemplo, https://dashboard-07.braze.com).

Si usas otro IdP, verifica si tu empresa cargó el certificado SAML o x.509 correcto en Braze.

¿Estás usando una integración manual?

Si tu empresa no descargó la aplicación de Braze desde la tienda de aplicaciones de tu IdP, necesitas descargar la integración prediseñada. Por ejemplo, si Okta es tu IdP, descargarías la aplicación de Braze desde su página de integración.

Próximos pasos

Después de configurar SAML SSO, puedes:
New Stuff!