Configura el Inicio de Sesión Único (SSO) para tu Organización
El Inicio de Sesión Único (SSO) permite que tu equipo acceda a CubePath con el proveedor de identidad de tu propia empresa: Okta, Microsoft Entra, Google Workspace o cualquier proveedor compatible con OpenID Connect (OIDC). En lugar de gestionar contraseñas de CubePath aparte, tus miembros inician sesión con la misma cuenta corporativa que ya usan, y tú controlas quién tiene acceso desde tu proveedor de identidad.
Con el SSO configurado, los nuevos miembros del equipo pueden crearse automáticamente la primera vez que inician sesión, así no tienes que invitar a cada persona a mano.
Quién puede configurarlo
El SSO lo configura un propietario o administrador de la organización. Lo encontrarás en el panel en my.cubepath.com → Organización → SSO.
Qué necesitas
- Una cuenta en tu proveedor de identidad (Okta, Microsoft Entra, Google Workspace, etc.) donde puedas crear una aplicación OpenID Connect.
- La propiedad del dominio de correo de tu empresa (por ejemplo
tuempresa.com). Lo verificamos antes de activar el acceso por correo.
Paso 1: Crea una aplicación en tu proveedor de identidad
En tu proveedor de identidad, crea una nueva aplicación OpenID Connect (OIDC). Cuando te pida una redirect URI (a veces llamada callback o URL de redirección de inicio de sesión), usa la que aparece en la página de SSO de CubePath. Tiene un botón para copiarla justo al lado. Tiene este aspecto:
https://identity.cubepath.com/account/sso/callback
Tu proveedor te dará entonces tres valores que necesitarás en el siguiente paso: una Issuer URL, un Client ID y un Client secret.
Paso 2: Rellena los ajustes de SSO
De vuelta en Organización → SSO, introduce:
- Nombre del proveedor: una etiqueta para que tu equipo lo reconozca (por ejemplo "Okta" o "Microsoft Entra").
- Issuer URL: el issuer OIDC de tu proveedor. Pulsa Probar conexión para confirmar que CubePath puede acceder antes de guardar.
- Client ID: de la aplicación que creaste.
- Client secret: de la aplicación que creaste. (Cuando edites tus ajustes más adelante, déjalo en blanco para mantener el secret que ya guardaste.)
Paso 3: Elige cómo se añaden los nuevos miembros
En Aprovisionamiento:
- Crear miembros automáticamente en el primer inicio de sesión: cuando está activado, cualquier persona de tu dominio verificado que inicie sesión a través de tu proveedor se añade a tu organización automáticamente. Cuando está desactivado, solo pueden entrar por SSO las personas que ya hayas invitado.
- Rol por defecto para los nuevos miembros: el rol que reciben los miembros creados automáticamente, ya sea member, viewer o billing. Por seguridad, el SSO nunca puede asignar automáticamente el rol de propietario o administrador. Esos los concedes a mano desde la página de Equipo.
Paso 4: Activa el SSO y guarda
Activa Habilitar SSO y pulsa Guardar.
Paso 5: Verifica tu dominio de correo
Para que tu equipo pueda iniciar sesión solo escribiendo su correo de trabajo, CubePath necesita confirmar que eres el propietario de ese dominio. Abre un ticket de soporte para solicitar la verificación del dominio. Hasta que el dominio esté verificado, el resto de tu configuración de SSO se guarda, pero el inicio de sesión por correo permanece desactivado. La página de SSO muestra si tu dominio está verificado. El dominio verificado lo gestiona el soporte de CubePath y no puedes establecerlo tú, lo que evita que alguien secuestre los inicios de sesión de otra empresa.
Cómo inicia sesión tu equipo
Una vez que el SSO está habilitado y tu dominio verificado, tus miembros van a la página de inicio de sesión de CubePath, introducen su correo de trabajo y eligen Continuar con SSO. Se les envía a tu proveedor de identidad para autenticarse y vuelven a CubePath ya con la sesión iniciada, sin necesidad de una contraseña de CubePath aparte.
Un par de cosas que conviene esperar:
- Si alguien ya tiene una cuenta personal de CubePath con ese correo pero todavía no es miembro de tu organización, primero habrá que invitarlo desde la página de Equipo.
- El correo que devuelve tu proveedor debe pertenecer a tu dominio verificado.
Conviene saber
| Tema | Detalle |
|---|---|
| Protocolo | OpenID Connect (OIDC) |
| Lo configura | Propietario o administrador de la organización |
| Roles que el SSO puede asignar | member, viewer, billing (nunca propietario ni administrador) |
| Dominio de correo | Verificado por el soporte de CubePath mediante un ticket |
| Sin verificación | Tus ajustes se guardan, pero el inicio de sesión por correo permanece desactivado |