Logo StartupKit
ES
English Deutsch Français Español Polski

SSO y aprovisionamiento de directorio

Configura el inicio de sesión único SAML y el aprovisionamiento y desaprovisionamiento automático de usuarios desde Google Workspace para que el acceso de tu equipo se mantenga sincronizado con tu directorio.

Por qué importa

Los equipos enterprise necesitan dos cosas para cumplir con el control de acceso: que los empleados inicien sesión con tu proveedor de identidad (sin contraseñas de Kit aparte) y que el acceso se conceda y se revoque automáticamente a medida que las personas se incorporan y se van. Kit admite ambas cosas: inicio de sesión único SAML para el inicio de sesión y sincronización de directorio de Google Workspace para el aprovisionamiento y desaprovisionamiento automático.

Ambas se configuran en Settings → Integrations (Ajustes → Integraciones), y ambas requieren que las configure un administrador.

Note

El SSO y la sincronización de directorio son independientes. Puedes activar solo el SSO, solo la sincronización de directorio, o ambos a la vez.

Parte 1: inicio de sesión único SAML

El SSO SAML permite que tu equipo inicie sesión a través de tu proveedor de identidad (Google Workspace, Okta, Microsoft Entra, OneLogin y otros). Kit es el proveedor de servicio (SP); tu proveedor de identidad es el IdP.

Paso 1 — Dale a tu IdP los datos del proveedor de servicio de Kit

En la configuración de la aplicación SAML de tu IdP, usa estos valores de la página de ajustes SSO de Kit:

Campo en tu IdP Valor de Kit
ACS URL / Reply URL / Single sign-on URL https://app.startupkit.app/users/auth/saml/callback
SP Entity ID / Audience URI https://app.startupkit.app/users/auth/saml/metadata
Formato de Name ID Dirección de correo electrónico

Los valores exactos de tu cuenta aparecen en la página de ajustes de SSO, y se proporciona una metadata URL descargable por si tu IdP prefiere importar los metadatos.

Paso 2 — Verifica tu dominio de correo

Kit solo acepta inicios de sesión vía SSO cuyo dominio de correo hayas verificado para tu cuenta (por ejemplo acme.com). Esto es lo que impide que el proveedor de identidad de otra organización inicie sesión de usuarios en tu workspace. Verifica tu dominio en Settings → Custom Domains / Account (Ajustes → Dominios personalizados / Cuenta) antes de activar el SSO.

Paso 3 — Pega los datos de tu IdP en Kit

De vuelta en la página de ajustes de SSO de Kit, introduce:

  • IdP Entity ID — el Issuer / Entity ID de la aplicación SAML de tu IdP
  • IdP SSO URL — la URL de inicio de sesión que expone tu IdP
  • IdP signing certificate — el certificado X.509 (PEM) con el que tu IdP firma las aserciones

También puedes pegar la metadata XML de tu IdP y Kit rellenará estos campos por ti.

Paso 4 — Activa el SSO

Haz clic en Enable SSO (Activar SSO). Tu equipo ya puede iniciar sesión a través de tu proveedor de identidad. Se admite tanto el inicio de sesión iniciado por el IdP (lanzar Kit desde el panel de tu IdP) como el inicio de sesión estándar.

Important

Cuando una persona nueva inicia sesión por primera vez vía SSO, Kit crea su cuenta automáticamente, siempre que su dominio de correo esté verificado para tu workspace. Si ya existe un usuario con ese correo, Kit vincula la identidad de SSO a esa cuenta existente.

Parte 2: aprovisionamiento de directorio de Google Workspace

La sincronización de directorio mantiene a los miembros de Kit alineados con tu directorio de Google Workspace. Como Google no envía los cambios a las aplicaciones, Kit extrae los datos del Google Admin SDK de forma periódica: Google es siempre la fuente de verdad.

Paso 1 — Autoriza la cuenta de servicio de Kit (delegación a nivel de dominio)

Un superadministrador de Google Workspace debe autorizar la cuenta de servicio de Kit para que lea tu directorio:

  1. Abre la consola de administración de Google → Security → Access and data control → API controls → Domain-wide delegation (Seguridad → Control de acceso y datos → Controles de API → Delegación a nivel de dominio).
  2. Haz clic en Add new (Añadir nueva) e introduce el Client ID de la cuenta de servicio de Kit (se muestra en la página de ajustes de directorio de Kit).
  3. Añade estos scopes OAuth de solo lectura, separados por comas:
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.group.readonly
    • https://www.googleapis.com/auth/admin.directory.group.member.readonly
  4. Autoriza. La propagación puede tardar unos minutos.

Danger

Kit solicita únicamente scopes de solo lectura: nunca puede modificar tu directorio de Google. Lee tus usuarios y grupos para reflejarlos en Kit.

Paso 2 — Configura la conexión en Kit

En la página de ajustes de directorio de Kit, introduce:

  • Primary domain (Dominio principal) — el dominio de tu Workspace (por ejemplo acme.com)
  • Delegated admin email (Correo del administrador delegado) — un administrador del Workspace que Kit suplanta en modo solo lectura para listar el directorio
  • Admin group emails (Correos de grupos de administradores, opcional) — los miembros de estos grupos de Google se aprovisionan como administradores de la cuenta de Kit
  • Google customer ID — déjalo como my_customer salvo que gestiones varias organizaciones de Google

Paso 3 — Prueba la conexión

Haz clic en Test connection (Probar conexión). Kit ejecuta un sondeo de solo lectura e informa si tuvo éxito, o te dice exactamente qué falta:

Resultado Qué significa
Active La delegación a nivel de dominio y los scopes están configurados correctamente.
Service account not authorized for domain-wide delegation El Client ID no se ha añadido en la consola de administración (Paso 1).
Missing required directory scopes El Client ID está autorizado, pero no se concedieron los scopes de solo lectura.

Cómo funcionan el aprovisionamiento y el desaprovisionamiento

Una vez que la conexión está Active, Kit concilia tu equipo automáticamente.

Comportamiento Detalle
Frecuencia de sincronización Aproximadamente cada hora. Usa Sync now (Sincronizar ahora) en la página de directorio para ejecutarla de inmediato.
Fuente de verdad Google Workspace. Kit lo refleja, nunca escribe de vuelta.
Usuario nuevo en el directorio Se crea una cuenta de Kit y la persona pasa a ser miembro de tu workspace.
Usuario eliminado / suspendido Se elimina su membresía en Kit, y se revocan sus tokens de API y las sesiones de aplicaciones conectadas.
Mapeo de grupo → rol Los miembros de los grupos de administradores que configures se convierten en administradores de Kit.
Facturación por asiento Por defecto, un miembro aprovisionado consume un asiento (puedes alternarlo por cada conexión). Con la asignación automática de asiento desactivada, los usuarios nuevos del directorio no se añaden automáticamente.

Lo que Kit nunca tocará

  • El propietario de la cuenta nunca se elimina por la sincronización de directorio, aunque no aparezca en el directorio.
  • Los miembros invitados manualmente nunca se eliminan ni se reclasifican: la sincronización de directorio solo gestiona los miembros que ella misma aprovisionó.

Tip

Para dar de baja a alguien, elimínalo o suspéndelo en Google Workspace. En la siguiente sincronización (o cuando hagas clic en Sync now), Kit elimina su acceso y revoca sus tokens automáticamente.

En resumen

  • Verifica tu dominio de correo para la cuenta
  • Configura tu IdP con la ACS URL y el SP Entity ID de Kit
  • Pega en Kit el IdP Entity ID, la SSO URL y el certificado de firma de tu IdP
  • Activa el SSO y prueba un inicio de sesión
  • El superadministrador autoriza el Client ID de la cuenta de servicio de Kit para la delegación a nivel de dominio con los tres scopes de solo lectura
  • Introduce el dominio principal, el correo del administrador delegado y los grupos de administradores que correspondan
  • Ejecuta Test connection hasta que informe Active
  • Confirma tu política de asientos (consumo automático activado o desactivado)

Escriba para buscar...