Configura el Inicio de Sesión Único (SSO) para tu Organización
El Inicio de Sesión Único (SSO) permite que tu equipo acceda a CubePath con el proveedor de identidad de tu propia empresa: Okta, Microsoft Entra, Google Workspace o cualquier proveedor compatible con OpenID Connect (OIDC). En lugar de gestionar contraseñas de CubePath aparte, tus miembros inician sesión con la misma cuenta corporativa que ya usan, y tú controlas quién tiene acceso desde tu proveedor de identidad.
Con el SSO configurado, los nuevos miembros del equipo pueden crearse automáticamente la primera vez que inician sesión, así no tienes que invitar a cada persona a mano.
Quién puede configurarlo
El SSO lo configura un propietario o administrador de la organización. Lo encontrarás en el panel en my.cubepath.com → Organización → SSO.
Qué necesitas
- Una cuenta en tu proveedor de identidad (Okta, Microsoft Entra, Google Workspace, etc.) donde puedas crear una aplicación OpenID Connect.
- La propiedad del dominio de correo de tu empresa (por ejemplo
tuempresa.com). Lo verificamos antes de activar el acceso por correo.
Paso 1: Crea una aplicación en tu proveedor de identidad
En tu proveedor de identidad, crea una nueva aplicación OpenID Connect (OIDC). Cuando te pida una redirect URI (a veces llamada callback o URL de redirección de inicio de sesión), usa la que aparece en la página de SSO de CubePath. Tiene un botón para copiarla justo al lado. Tiene este aspecto:
https://identity.cubepath.com/account/sso/callback
Tu proveedor te dará entonces tres valores que necesitarás en el siguiente paso: una Issuer URL, un Client ID y un Client secret.
Paso 2: Rellena los ajustes de SSO
De vuelta en Organización → SSO, introduce:
- Nombre del proveedor: una etiqueta para que tu equipo lo reconozca (por ejemplo "Okta" o "Microsoft Entra").
- Issuer URL: el issuer OIDC de tu proveedor. Pulsa Probar conexión para confirmar que CubePath puede acceder antes de guardar.
- Client ID: de la aplicación que creaste.
- Client secret: de la aplicación que creaste. (Cuando edites tus ajustes más adelante, déjalo en blanco para mantener el secret que ya guardaste.)
Paso 3: Elige cómo se añaden los nuevos miembros
En Aprovisionamiento:
- Crear miembros automáticamente en el primer inicio de sesión: cuando está activado, cualquier persona de tu dominio verificado que inicie sesión a través de tu proveedor se añade a tu organización automáticamente. Cuando está desactivado, solo pueden entrar por SSO las personas que ya hayas invitado.
- Rol por defecto para los nuevos miembros: el rol que reciben los miembros creados automáticamente, ya sea member, viewer o billing. Por seguridad, el SSO nunca puede asignar automáticamente el rol de propietario o administrador. Esos los concedes a mano desde la página de Equipo.
Paso 4: Activa el SSO y guarda
Activa Habilitar SSO y pulsa Guardar.
Paso 5: Verifica tu dominio de correo
Para que tu equipo pueda iniciar sesión solo escribiendo su correo de trabajo, CubePath necesita confirmar que eres el propietario de ese dominio. Para ello añades un registro TXT a tu DNS y abres un ticket de soporte para que nuestro equipo lo compruebe. Tienes el proceso completo en Verifica tu Dominio de Correo para el SSO. Hasta que el dominio esté verificado, el resto de tu configuración de SSO se guarda, pero el inicio de sesión por correo permanece desactivado. La página de SSO muestra si tu dominio está verificado. El dominio verificado lo gestiona el soporte de CubePath y no puedes establecerlo tú, lo que evita que alguien secuestre los inicios de sesión de otra empresa.
Cómo inicia sesión tu equipo
Una vez que el SSO está habilitado y tu dominio verificado, tus miembros van a la página de inicio de sesión de CubePath, introducen su correo de trabajo y eligen Continuar con SSO. Se les envía a tu proveedor de identidad para autenticarse y vuelven a CubePath ya con la sesión iniciada, sin necesidad de una contraseña de CubePath aparte.
Un par de cosas que conviene esperar:
- Si alguien ya tiene una cuenta personal de CubePath con ese correo pero todavía no es miembro de tu organización, primero habrá que invitarlo desde la página de Equipo.
- El correo que devuelve tu proveedor debe pertenecer a tu dominio verificado.
Cierre de sesión y duración de la sesión
Las sesiones de SSO son cortas a propósito. Los miembros se reconectan automáticamente a través de tu proveedor mientras siguen trabajando, pero cada sesión dura poco (unas 8 horas). Esto significa que si desactivas a alguien en tu proveedor de identidad, pierde el acceso en cuestión de horas, incluso sin ninguna configuración extra.
Para que el cierre de sesión tenga efecto inmediato, registra una Back-Channel Logout URL en tu proveedor. Cuando un usuario cierra sesión o se desactiva en tu proveedor de identidad, tu proveedor avisa a CubePath y cerramos su sesión de CubePath al instante. La URL a registrar es:
https://identity.cubepath.com/account/sso/backchannel-logout
También puedes terminar el acceso de alguien en cualquier momento desde la página de Equipo: quitar a un miembro de SSO lo desconecta de inmediato y le impide volver a entrar por SSO hasta que lo vuelvas a invitar.
Conviene saber
| Tema | Detalle |
|---|---|
| Protocolo | OpenID Connect (OIDC) |
| Lo configura | Propietario o administrador de la organización |
| Roles que el SSO puede asignar | member, viewer, billing (nunca propietario ni administrador) |
| Dominio de correo | Verificado por el soporte de CubePath mediante un ticket |
| Sin verificación | Tus ajustes se guardan, pero el inicio de sesión por correo permanece desactivado |
| Duración de la sesión | Las sesiones de SSO duran unas 8 horas; luego se re-autentica a través de tu proveedor |
| Cierre inmediato | Opcional: registra la Back-Channel Logout URL en tu proveedor |