Saltar al contenido principal

Ayuda Docebo

¿Cómo podemos ayudarle?

Guía general para la configuración de SSO

Última actualización
Docebo module
Tiempo de lectura
Nivel de usuario
  • Administrators

Presentación

En su plataforma, puede configurar el inicio de sesión único (SSO), que permite a los usuarios iniciar sesión utilizando credenciales de una cuenta externa, como un sistema institucional, una red corporativa u otro proveedor de identidad.

  • Cuando está habilitado el SSO, los usuarios no necesitan introducir un nombre de usuario y una contraseña creados específicamente para la plataforma.
  • En su lugar, pueden hacer clic en un botón de inicio de sesión (o ser redirigidos automáticamente) para autenticarse a través de la página del proveedor de identidad externo, tras lo cual se les devuelve de forma segura a la plataforma.
Ventana emergente de inicio de sesión

En este artículo se tratan los detalles de configuración y las instrucciones para la solución de problemas que se aplican en diferentes configuraciones de SSO. La información aquí presente complementa la proporcionada en el artículo específico para su protocolo o integración en particular.

Tipos de configuraciones de SSO

La plataforma de aprendizaje admite múltiples formas de configurar el inicio de sesión único, incluidos los protocolos estándar y las integraciones directas:

Protocolos estándar

  • Protocolo de Open ID Connect: Puede configurar la aplicación Open ID connect para configurar el inicio de sesión único con el proveedor de identidad que elija, como Okta, Salesforce, Onelogin, Microsoft Entra ID, etc.
  • Protocolo SAML: De manera similar, puede configurar la aplicación SAML para configurar el inicio de sesión único con diversos proveedores de identidad.

A tener en cuenta: Para cada protocolo solo puede configurar un proveedor de identidad en el mismo dominio (plataforma raíz o Extended enterprise/empresa extendida). Por ejemplo, si configura OpenID Connect con Okta como proveedor de identidad, no podrá configurar otra instancia de OpenID Connect con un proveedor de identidad diferente en el mismo dominio. Sin embargo, podrá hacerlo en un dominio de la empresa extendida independiente.

Integraciones directas

La plataforma también admite distintas integraciones con SSO directas con proveedores de identidad, incluidos Auth0, Gmail y Google Apps.

Inicio de sesión único externo

También es posible forzar el acceso de usuarios no autenticados a una URL de SSO externa específica. En la pestaña SSO de la aplicación API y SSO, marque la opción Forzar SSO externo e introduzca la URL SSO externa requerida. Con esta configuración, cuando los usuarios accedan a la URL de la plataforma, serán redirigidos automáticamente a la URL SSO externa especificada.

A tener en cuenta: Si está habilitada, la opción Forzar SSO externo anula los demás métodos de inicio de sesión:
- No se mostrará la página de inicio de sesión estándar, por lo que los usuarios no podrán iniciar sesión con las credenciales de la plataforma ni utilizar ninguno de los botones de SSO en la página de inicio de sesión estándar.
- Además, la redirección a la URL SSO externa tiene prioridad sobre cualquier redirección automática al proveedor de identidad que configure para otros métodos de SSO.
En la práctica, significa que solo se puede usar la URL SSO externa para acceder a la plataforma.

Comportamiento de SSO

→ Verá estos ajustes al configurar el SSO mediante los protocolos OpenID Connect o SAML o mediante la integración directa con Auth0.

Los ajustes de comportamiento de SSO permiten configurar la forma en que los usuarios inician sesión en la plataforma a través del inicio de sesión único. Hay dos opciones disponibles: Mostrar la página estándar de inicio de sesión y Redirección automática al proveedor de identidad.

Comportamiento de desconexión.png

Mostrar la página estándar de inicio de sesión:

Con esta opción, cuando los usuarios hagan clic en Iniciar sesión en el encabezado de la plataforma, verán el formulario normal Iniciar sesión con campos para introducir las credenciales de la plataforma.

Ventana emergente de inicio de sesión
  • Si también selecciona Mostrar el botón SSO en la página de inicio de sesión, debajo de los campos nombre de usuario y contraseña, los usuarios verán un botón para iniciar sesión con SSO. Este botón tendrá un logotipo correspondiente al protocolo SSO o proveedor de identidad configurado.
  • Cuando hagan clic en este botón de SSO, se les redirigirá a una página para autenticarse con el proveedor de identidad y, si la autenticación se realiza correctamente, iniciarán sesión en la plataforma.

Consejo: En Menú de administrador > Configurar marca y apariencia > Página de inicio de sesión puede configurar la opción Mostrar solo los botones SSO y ocultar el formulario de inicio de sesión, en cuyo caso el formulario de inicio de sesión mostrará solo los botones de SSO, pero no los campos de nombre de usuario y contraseña.

A tener en cuenta: Si no elige mostrar el botón de SSO, los usuarios no podrán iniciar sesión mediante SSO desde la página de inicio de la plataforma.

Redirección automática al proveedor de identidad

Con esta segunda opción, los usuarios no verán el formulario de inicio de sesión de la plataforma ni tendrán que hacer clic en ningún botón de inicio de sesión con SSO. Por el contrario, cuando intenten acceder a la URL de la plataforma, se les redirigirá automáticamente a la página para la autenticación con el proveedor de identidad. A continuación, si la autenticación se realiza correctamente, se iniciará su sesión en la plataforma.

Opción de redirección automática al proveedor de identidad

Tenga en cuenta que, con la opción de redirección automática, los usuarios no pueden ver la página pública ni elegir entre distintas opciones de inicio de sesión alternativas. Con este método, deberán autenticarse con el proveedor de identidad seleccionado.

Se recomienda evitar habilitar la Redirección automática al proveedor de identidad hasta que haya confirmado que el SSO funciona correctamente. De lo contrario, corre el riesgo de quedarse fuera de la plataforma si la redirección está activa y el SSO no funciona.

Notas sobre la redirección automática:
Si algunos de sus usuarios no están administrados por el proveedor de identidad (IdP) y necesitan acceder a la plataforma con credenciales nativas, no habilite la redirección automática al proveedor de identidad, ya que esto impediría que los usuarios que no sean del IdP inicien sesión.
En su lugar, seleccione la opción Mostrar el botón SSO en la página de inicio de sesión: 
- Esto permite a los usuarios administrados por el IdP iniciar sesión mediante SSO, mientras que los usuarios ajenos al IdP podrán seguir iniciando sesión con el formulario de inicio de sesión nativo de la plataforma.
- La aplicación Extended enterprise también puede utilizarse para configurar distintos comportamientos de inicio de sesión para grupos de usuarios o públicos específicos.

Página de destino de desconexión

Con la redirección automática, al cerrar sesión en la plataforma, el usuario será redirigido a una página de destino que indica que el cierre de sesión se realizó correctamente. Allí podrá cerrar la página o usar el botón de reinicio de sesión para autenticarse de nuevo.

Si lo desea, puede redirigir a los usuarios que cierren sesión a una página diferente, introduciendo su URL en el campo Página de destino del cierre de sesión.

Página de destino de desconexión

Comportamiento de desconexión

→ Verá estos ajustes al configurar el SSO mediante los protocolos OpenID Connect o SAML o mediante la integración directa con Auth0.

La opción Comportamiento de desconexión le permite configurar si el usuario también deberá cerrar sesión automáticamente en el proveedor de identidad al cerrar sesión en la plataforma.

  • En algunas configuraciones de SSO, cuando se selecciona esta opción, aparece un campo de texto Extremo de cierre de sesión. Aquí puede definir una URL a la que los usuarios accederán al cerrar sesión en la plataforma y en el proveedor de identidad.
Comportamiento de desconexión

A tener en cuenta: Para evitar conflictos, si utiliza la Redirección automática al proveedor de identidad, no debe activar la opción Comportamiento de desconexión.

Atributo Nombre de usuario

→ Verá este ajuste al configurar el SSO mediante los protocolos OpenID Connect o SAML o mediante la integración directa con Auth0.

Cuando se implementa el inicio de sesión único (SSO) a través de un proveedor de identidad, la decisión sobre si un usuario que inicia sesión a través de SSO ya existe dentro de la plataforma suele depender de un campo de identificador único recibido del proveedor de identidad.

Atributo nombre de usuario

En el campo Atributo nombre de usuario, puede configurar el campo que desee utilizar para este propósito:

  • Al realizar su selección, asegúrese de que el campo seleccionado esté rellenado para todos los usuarios en el proveedor de identidad.
  • El campo seleccionado también debe ser único. Por ejemplo, si selecciona family_name, debe asegurarse de que ninguno de sus usuarios tenga el mismo apellido en el proveedor de identidad.
  • Por ejemplo, puede utilizar el correo electrónico como el atributo nombre de usuario, siempre que todos sus usuarios tengan correos electrónicos distintos en el lado del proveedor.

El campo del proveedor de identidad que seleccione en Atributo nombre de usuario coincidirá (de forma predeterminada*) con el campo Nombre de usuario de la plataforma. Esto significa que:
- Si los dos campos coinciden, se considerará que el usuario que se autentica mediante SSO ya existe en la plataforma, y se iniciará sesión en esa cuenta.
- Si no se encuentra ningún nombre de usuario coincidente en la plataforma, quiere decir que el usuario del SSO aún no existe en la plataforma, pero puede crearse automáticamente si se configura el aprovisionamiento de usuarios
*solo en la configuración estándar de SAML, puede cambiar este valor predeterminado para elegir un campo diferente.

Aprovisionamiento de usuarios

→ Verá estos ajustes al configurar el SSO mediante los protocolos OpenID Connect o SAML o mediante la integración directa con Auth0.

Aprovisionamiento de usuarios

El aprovisionamiento de usuarios le permite crear automáticamente un nuevo usuario en la plataforma si la autenticación con SSO es válida, pero ese usuario aún no existe en la plataforma. También le permite actualizar automáticamente los detalles de un usuario en la plataforma tomando como base la información correspondiente del proveedor de identidad de SSO.

Consejo: De forma predeterminada, se considera que un usuario ya existe en la plataforma si su Nombre de usuario coincide con el campo del proveedor de identidad que establezca como Atributo nombre de usuario. Consulte el capítulo Atributo nombre de usuario.

Creación de usuarios aprovisionados

Cuando habilite el aprovisionamiento de usuarios, se crearán sobre la marcha los usuarios que inicien sesión a través del SSO que aún no existan en la plataforma, con el Nombre de usuario de la plataforma como el campo del proveedor establecido en Atributo nombre de usuario.

Nota sobre la colocación predeterminada en ramas: Para el SSO en la plataforma raíz, los usuarios recién creados se ubicarán en la rama raíz. Para el SSO en un cliente de Extended enterprise, los usuarios recién creados se ubicarán en la rama asociada al cliente.

Agregar más campos aprovisionados

Además del nombre de usuario, es posible que desee rellenar otros detalles de un usuario aprovisionado utilizando la información obtenida del proveedor de identidad.

Esto se configura en la sección Agregar campos. Aparecerá ligeramente diferente dependiendo de la configuración de SSO que esté utilizando, pero en todos los casos le permite hacer coincidir otros campos en el lado del proveedor de identidad con los campos correspondientes de la plataforma.

Agregar más campos de aprovisionamiento

Tenga en cuenta que cada campo de la plataforma y del proveedor de identidad puede utilizarse solo una vez. No puede asociar múltiples campos de la plataforma con el mismo campo del IdP o viceversa.

Consejo: Si en los Ajustes avanzados > Autorregistro de la plataforma marcó la opción Son necesarios el nombre y los apellidos para registrarse, asegúrese de incluir estos campos en la sección Agregar campos, para que se puedan crear los usuarios aprovisionados. 
De manera similar, si ha configurado campos adicionales de usuario como obligatorios en la plataforma, asegúrese de que estén asignados aquí para que puedan rellenarse, ya que de lo contrario no podrá crearse correctamente el usuario.

Actualizar los campos aprovisionados

Seleccione la casilla de verificación Si el usuario ya existe, actualice su información para actualizar automáticamente, dentro de la plataforma, los valores de cualquier campo aprovisionado que se haya modificado en el proveedor de identidad. Si no selecciona esta opción, tendrá que copiar manualmente cualquier cambio para mantener alineados los campos aprovisionados.

Bloquear campos de usuarios aprovisionados

Seleccione la casilla de verificación Bloquear campos de usuarios aprovisionados para impedir que los usuarios editen, en Mi perfil, cualquier campo de usuario que esté aprovisionado. Dichos campos aparecerán en gris y marcados como desactivados, para que el usuario no pueda cambiar el valor obtenido del proveedor de identidad.

→ Sin embargo, tenga en cuenta que un Superadministrador o un Usuario avanzado aún puede editar los valores de estos campos aprovisionados bloqueados en Gestión de usuarios con la siguiente limitación: solo se pueden editar los campos de información del usuario, mientras que los campos de usuario adicionales, si están bloqueados, no puede editarlos nadie.

Si tiene más de un método SSO configurado, puede tener problemas debido a interacciones entre campos bloqueados. Para más detalles, consulte el capítulo Conflictos de aprovisionamiento entre múltiples configuraciones de SSO.

Tenga en cuenta que todos los ajustes de aprovisionamiento descritos aquí se aplican únicamente a los usuarios que inician sesión mediante SSO (inicio de sesión único). Por ejemplo, los campos aprovisionados bloqueados no se desactivarán para los usuarios que inicien sesión con las credenciales de la plataforma.

Conflictos de aprovisionamiento entre múltiples configuraciones de SSO

Se recomienda evitar tener varios métodos de SSO activos con aprovisionamiento en el mismo dominio, ya que pueden producirse interferencias o conflictos. Estos problemas pueden surgir incluso si algunos proveedores de SSO no están totalmente configurados.

Tenga en cuenta que aquí nos referimos a una situación en la que múltiples proveedores de SSO están activos en la misma plataforma raíz o en el mismo cliente/dominio de Extended enterprise. Sin embargo, puede emplear diferentes métodos de SSO en diferentes dominios.

Interacción entre campos bloqueados con múltiples proveedores de SSO

En plataformas con más de un proveedor de SSO activo para el mismo dominio, puede encontrarse con un comportamiento de bloqueo de campos incoherente si ambos proveedores tienen habilitado el aprovisionamiento, pero con diferentes configuraciones para bloquear campos aprovisionados (uno activado y el otro desactivado).

Por ejemplo:
- Los campos pueden permanecer bloqueados incluso para el proveedor con el bloqueo desactivado
- A la inversa, los campos pueden estar desbloqueados para el proveedor con el bloqueo activado

→ Tenga en cuenta que este comportamiento solo se produce cuando hay varios proveedores de SSO activos en la misma plataforma raíz o en el mismo cliente/dominio de Extended enterprise. Sin embargo, la configuración de campos bloqueados en un dominio no afecta a otros dominios.

SSO con diferentes campos aprovisionados y opciones de bloqueo

Un problema relacionado que puede ocurrir es cuando dos configuraciones de SSO tienen diferentes campos adicionales aprovisionados, en particular, cuando un SSO aprovisiona y bloquea un campo obligatorio que el otro SSO no aprovisiona. Por ejemplo:

  • SSO 1: configurado para aprovisionar el campo adicional de usuario obligatorio "myfield", con la opción Bloquear campos aprovisionados marcada
  • SSO 2: NO aprovisiona “myfield”

Si un usuario inicia sesión con SSO 2, es posible que se produzca un error en el inicio de sesión porque "myfield" es obligatorio, pero no se puede rellenar porque está bloqueado por SSO 1.

Para resolver conflictos de aprovisionamiento:

Si se le presenta un conflicto de aprovisionamiento como los descritos anteriormente, puede resolverlo de las siguientes formas:

  • Si es posible, considere tener solo un método de SSO configurado en cualquier dominio dado (plataforma raíz o cliente de Extended enterprise).
  • Si necesita tener varios métodos de SSO, mantenga el aprovisionamiento habilitado solo en uno de ellos, y deshabilite el aprovisionamiento de los demás SSO (los usuarios afectados deberán añadirse al SSO que tenga habilitado el aprovisionamiento y actualizarse con un inicio de sesión)
  • Si tiene que mantener varios SSO con aprovisionamiento, asegúrese de alinear cuidadosamente las configuraciones de aprovisionamiento de usuarios de todos los SSO para que tengan los mismos campos adicionales y opciones de bloqueo. En particular, asegúrese de que los campos adicionales de usuario obligatorios estén aprovisionados.
  • Si el que causa el problema es un campo adicional obligatorio, configúrelo como no obligatorio en la plataforma.