Exención de responsabilidad: Este artículo describe cómo utilizar la configuración SAML heredada. Si su plataforma ha sido migrada a la nueva configuración SAML, consulte en su lugar el artículo Docebo para SAML - Configuración Smart y Standard.
Presentación
La aplicación SAML de su plataforma le permite configurar el inicio de sesión único (SSO) utilizando diversos proveedores de identidad. De este modo, los usuarios pueden iniciar sesión en su plataforma de aprendizaje utilizando las credenciales de las sesiones activas de otras plataformas web.
Tenga en cuenta que la plataforma ofrece dos opciones para la configuración SAML: Smart y Standard. Para obtener una descripción general de las diferencias, consulte el artículo Introducción a Docebo para SAML.
Este artículo ofrece instrucciones generales para las configuraciones Smart y Standard.
Configuración SAML con proveedores de identidad específicos
Si está configurando SAML para que funcione en conjunción con Okta, Microsoft Entra ID (Azure AD), OneLogin o Google, consulte también los siguientes artículos con instrucciones específicas:
- Configuración de Okta
- Configuración de Microsoft Entra ID (Azure AD)
- Ejemplo de configuración de OneLogin
- Configuración de Google (se abre en una nueva pestaña)
Además, al configurar SAML, recuerde configurar el Cifrado de afirmación como Sin cifrar, puesto que esta configuración es totalmente compatible.
Requisitos previos
Debe activarse la aplicación SAML en su plataforma, como se describe en el artículo Gestión de aplicaciones y características.
Si está planeando configurar el inicio de sesión único de SAML para un dominio personalizado o un dominio secundario, primero debe configurar el dominio en la Gestión de dominios.
Acceso a la página de configuración de SAML en la plataforma
Para comenzar, abra la página de configuración de SAML y seleccione el tipo de configuración deseado.
→ Debe hacer esto en la misma plataforma (plataforma principal o cliente de Extended enterprise) para la que esté configurando el inicio de sesión único.
Para una plataforma principal:
- Seleccione Menú de administrador > SAML > Gestionar.
Para un cliente de Extended enterprise:
- Seleccione Menú de administrador > Extended enterprise > Gestionar.
- Haga clic en el icono de engranaje junto al cliente para el que esté configurando el SSO.
- En la navegación vertical, seleccione SAML 2.0 - Configuración. A continuación, seleccione Habilitar la configuración personalizada para este cliente.
Consejo: Tenga en cuenta que la página de configuración de SAML 2.0 tendrá el mismo aspecto en ambos casos (plataforma principal o cliente de Extended enterprise).
Una vez abierta la página de configuración de SAML 2.0, seleccione si desea utilizar el tipo de configuración Smart o Standard. La configuración con la opción Smart es un poco más sencilla, pero si es necesario también puede cambiar al tipo de configuración Standard.
Advertencia: Si hay una configuración SAML existente en la página, al cambiar de Smart a Standard o viceversa se perderá la configuración anterior, aunque no haga clic en Guardar cambios.
A continuación, seleccione la casilla de verificación Activo para activar los campos de configuración. Algunos de los campos que verá son específicos del tipo de configuración seleccionado (Smart o Standard), mientras que otros ajustes son comunes a ambos.
Pase a la configuración de los ajustes de SAML para el tipo de configuración que haya elegido, tal y como se describe en los siguientes capítulos: Ajustes de SAML para la configuración Smart o Ajustes de SAML para la configuración Standard.
Cuando haya terminado, haga clic en Guardar cambios.
Ajustes de SAML para la configuración Smart
En este capítulo se describen los ajustes que debe configurar si selecciona el tipo de configuración Smart.
|
Campo de configuración de SAML (Configuración Smart) |
Notas |
| URL de SSO | El extremo HTTP SAML de su proveedor de identidad. Esta es la dirección web en la que se envían las solicitudes de SAML para iniciar la autenticación. |
| Emisor | Obtenido del proveedor de identidad. Se trata de un identificador único para el servicio SAML de su cuenta con el proveedor de identidad. Por ejemplo, para OneLogin es Issuer URL, para Microsoft Entra es Microsoft Entra Identifier. |
| Certificado X509 | Aquí debe cargar el certificado X.509 que obtenga del proveedor de identidad. → Su certificado X.509 se validará al cargarse. Consulte el capítulo Validación y caducidad de los certificados. |
| Habilitar el certificado de proveedor de servicios (opcional) |
Este certificado permite a la plataforma firmar las solicitudes de autenticación SAML y las afirmaciones enviadas al proveedor de identidad. Algunos proveedores de identidad/federaciones pueden exigir que los proveedores de servicios dispongan de un certificado. Aquí puede cargar un archivo de certificado CRT y un archivo de clave privada PEM. Para más información, consulte el capítulo Certificado de proveedor de servicios. → Sus certificados PEM y CRT se validarán al cargarse. También se comprobará que sean un par de claves coincidentes. Consulte el capítulo Validación y caducidad de los certificados. |
| Atributo nombre de usuario | Establezca qué campo (atributo) del proveedor de identidad se utilizará para identificar de forma unívoca al usuario en la plataforma de aprendizaje. - El campo seleccionado debe estar rellenado para todos sus usuarios del lado del proveedor de identidad, y también debe ser distinto para cada usuario. - El campo del proveedor de identidad que seleccione en Atributo nombre de usuario coincidirá con el campo Nombre de usuario de la plataforma. |
| Comportamiento de SSO |
En esta sección, puede configurar cómo los usuarios inician sesión en la plataforma con SSO. Puede: Para más información, consulte el artículo Guía general para la configuración de SSO > Comportamiento de SSO. |
|
Comportamiento de desconexión (opcional) |
Seleccione esta opción si desea que se cierre automáticamente la sesión de los usuarios en el proveedor de identidad al cerrar sesión en la plataforma. → Para poder configurar esto, primero debe haber subido el Certificado de proveedor de servicios (archivos CRT y PEM) Cuando se selecciona esta opción, aparece el campo de texto Extremo de cierre de sesión. Aquí debe definir la URL a la que llegarán los usuarios al cerrar sesión en la plataforma y desde el proveedor de identidad. Gracias a esta configuración, los usuarios pueden llegar a una URL diferente a la utilizada para el SSO. |
| Metadatos de SAML 2.0 SP |
Puede copiar el ID de la entidad, la URL de inicio de sesión y la URL de cierre de sesión que aparecerán aquí para introducirlos en la configuración de su proveedor de identidad. Aquí también puede descargar el archivo de metadatos, si su proveedor lo requiere. |
|
Aprovisionamiento de usuarios (opcional) |
El aprovisionamiento de usuarios le permite crear automáticamente un nuevo usuario si la autenticación de SSO es válida, pero el usuario aún no existe en la plataforma. Para obtener instrucciones, consulte el capítulo Aprovisionamiento de usuarios. |
Validación y caducidad de los certificados
Solo en el caso de la configuración Smart, la plataforma valida automáticamente los certificados cargados y, además, realiza un seguimiento y le notifica su caducidad. Esto se aplica tanto al certificado X.509 como al certificado de proveedor de servicios.
Validación: Una vez finalizada la carga del archivo del certificado, aparecerá un mensaje para informarle de si el archivo o archivos cargados son válidos o no.
Puede pulsar el botón Ver detalles para comprobar cómo la plataforma ha leído y validado sus archivos de certificados, incluyendo el estado de validez y las fechas de caducidad.
Caducidad:
Su plataforma utilizará automáticamente las fechas de caducidad de sus certificados cargados para enviar a todos los Superadministradores de la plataforma notificaciones obligatorias sobre las actualizaciones necesarias de su configuración SAML cuando se acerque su fecha de caducidad (30, 15, 5 y un día antes de la caducidad del certificado). Las notificaciones no se pueden modificar ni desactivar. De este modo, podrá actualizar su configuración SAML antes de que caduque, para que sus usuarios no vean bloqueado su inicio de sesión en la plataforma. Para las plataformas de Extended enterprise, se enviarán notificaciones para las configuraciones SAML tanto en la plataforma principal como en todos los clientes de la empresa extendida.
Ajustes de SAML para la configuración Standard
En este capítulo se describen los ajustes que debe configurar si selecciona el tipo de configuración Standard.
|
Campo de configuración de SAML (Configuración Standard) |
Notas |
| ID del proveedor de identidad | Obtenido del proveedor de identidad. Se trata de un identificador único para el servicio SAML de su cuenta con el proveedor de identidad. Por ejemplo, para OneLogin es Issuer URL, para Microsoft Entra es Microsoft Entra Identifier. |
| Habilitar el certificado de proveedor de servicios (opcional) |
Este certificado permite a la plataforma firmar las solicitudes de autenticación SAML y las afirmaciones enviadas al proveedor de identidad. Seleccione esta casilla de verificación para cargar un archivo de certificado CRT y un archivo de clave privada PEM. Para obtener más información, consulte el capítulo Certificado de proveedor de servicios. Tenga en cuenta que, para la configuración Standard, los archivos cargados no se validan automáticamente. Depende de usted verificar que sean un par de claves coincidentes. Si modifica una configuración preexistente y desactiva la marca Habilitar el certificado de proveedor de servicios, asegúrese de tener los certificados almacenados en otro lugar, ya que se eliminarán automáticamente al guardar la configuración SAML. |
| Algoritmo de firma | Seleccione el algoritmo de cifrado SHA-256 para validar su proveedor de identidad. También deberá establecer el mismo en el lado del proveedor de identidad. Nota: El algoritmo SHA-1 ya no es compatible. |
| Metadatos XML | En este campo debe pegar los contenidos del archivo de metadatos XML obtenido de su proveedor de identidad. |
| Atributo nombre de usuario |
Establezca qué campo (atributo) del proveedor de identidad se utilizará para identificar de forma unívoca al usuario en la plataforma de aprendizaje. - El campo seleccionado debe estar rellenado para todos sus usuarios del lado del proveedor de identidad, y también debe ser distinto para cada usuario. - El campo del proveedor de identidad que seleccione en Atributo nombre de usuario coincidirá con el campo de la plataforma seleccionado en Campo único. |
| Campo único (el valor predeterminado es Nombre de usuario) |
Determine qué campo de usuario dentro de la plataforma (nombre de usuario, UUID, correo electrónico) se asignará al campo del proveedor de identidad establecido en Atributo nombre de usuario. → Aquí se recomienda configurar el campo Nombre de usuario . Nota: El UUID es un identificador de usuario único de solo lectura dentro de la plataforma
|
| Comportamiento de SSO |
En esta sección, puede configurar cómo los usuarios inician sesión en la plataforma con SSO. Puede: Para más información, consulte el artículo Guía general para la configuración de SSO > Comportamiento de SSO. |
| Comportamiento de desconexión (opcional) |
Aquí puede configurar si se cerrará automáticamente la sesión del usuario en el proveedor de identidad al cerrar sesión en la plataforma. Para que la solicitud de cierre de sesión sea aceptada por un proveedor de identidad, normalmente debe estar firmada. |
| Metadatos de SAML 2.0 SP |
Una vez que haya realizado todas las demás configuraciones, puede pulsar Guardar cambios en la parte inferior de la página. A continuación, pulse Descargar para descargar el archivo de metadatos XML.
|
|
Aprovisionamiento de usuarios (opcional) |
El aprovisionamiento de usuarios le permite crear automáticamente un nuevo usuario en la plataforma si la autenticación de SSO es válida pero el usuario aún no existe en la plataforma. Para obtener instrucciones, consulte el capítulo Aprovisionamiento de usuarios. |
Certificado de proveedor de servicios
El certificado de proveedor de servicios se utiliza principalmente para firmar y cifrar en la autenticación basada en SAML. Consta de:
- Certificado (archivo CRT): Contiene la clave pública e información identificativa sobre el servicio, firmada por una Autoridad de Certificación (CA) de confianza.
- Clave privada (archivo PEM): Esta es la clave privada correspondiente que se puede utilizar para crear firmas digitales.
Por ejemplo, al enviar una solicitud de autenticación SAML al proveedor de identidad (IdP), la plataforma firma la solicitud utilizando su clave privada (en el archivo PEM). A continuación, el IdP verifica la firma utilizando la clave pública del certificado (archivo CRT).
Debe cargar tanto el archivo de clave privada como el archivo de certificado. Ninguno de los dos archivos puede contener información adicional (el archivo PEM debe contener únicamente la clave privada y el archivo CRT debe contener únicamente el certificado).
Además, los hashes de los archivos CRT y PEM deben coincidir, lo que significa que la clave pública del certificado se corresponderá con la clave privada. Esto garantiza que se generaron juntas como un par de claves. En la configuración Smart, esto se valida automáticamente. No obstante, en la configuración Standard, usted es el responsable de garantizar que los archivos cargados sean correctos.
Ejemplo de certificado en formato CRT:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Ejemplo de clave privada en formato PEM:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----Notas importantes sobre el comportamiento de SSO: El comportamiento de SSO se prueba con proveedores de identidad estándar. Generalmente, dado que Docebo inicia el SSO del proveedor de identidad, la primera llamada no es segura, ya que los usuarios aún deben introducir sus credenciales en el proveedor. La configuración del proveedor de identidad creará un canal seguro más tarde.
Aprovisionamiento de usuarios
El aprovisionamiento de usuarios le permite crear automáticamente un nuevo usuario en la plataforma si la autenticación con SSO es válida, pero ese usuario aún no existe en la plataforma. También le permite actualizar automáticamente los detalles de un usuario en la plataforma tomando como base la información correspondiente del proveedor de identidad.
Consejo: De forma predeterminada, se considera que un usuario ya existe en la plataforma si su Nombre de usuario coincide con el campo del proveedor de identidad que establezca como Atributo nombre de usuario.
Solo en la configuración Standard de SAML, puede establecer, si es necesario, un campo coincidente diferente (UUID o Correo electrónico en lugar de Nombre de usuario) en el Campo único.
Habilitar la creación de usuarios aprovisionados:
Para comenzar, marque la opción Habilitar. Con el aprovisionamiento activado, se crearán sobre la marcha los usuarios que inicien sesión a través de SSO y que aún no existan en la plataforma, con el Nombre de usuario de la plataforma como el campo del proveedor establecido en Atributo nombre de usuario.
→ Nota para la configuración Standard: Si en lugar de Nombre de usuario se establece un campo único diferente para la coincidencia, tenga en cuenta que la opción UUID no permitirá la creación de usuarios aprovisionados, y que la opción Correo electrónico solo funcionará correctamente si todos los usuarios tienen correos electrónicos distintos.
Nota sobre la colocación predeterminada en ramas: Para el SSO en la plataforma raíz, los usuarios recién creados se ubicarán en la rama raíz. Para el SSO en un cliente de Extended enterprise, los usuarios recién creados se ubicarán en la rama asociada al cliente.
Añadir más campos aprovisionados:
Además del nombre de usuario, es posible que desee rellenar otros detalles de un usuario aprovisionado utilizando la información obtenida del proveedor de identidad.
Esto se configura en la sección Agregar campos.
- Aquí, escriba el nombre de un campo de usuario de la plataforma o de un campo adicional de usuario en el cuadro de texto de la parte superior y, a continuación, haga clic en Agregar. El campo introducido aparecerá bajo el encabezado Nombre del campo.
- Ahora, en la casilla Declaración de atributos junto al campo recién añadido, introduzca el atributo coincidente del proveedor de identidad que desee usar para ese campo.
Repita los dos pasos anteriores para todos los campos que desee aprovisionar. Tenga en cuenta que cada campo de la plataforma y del proveedor de identidad puede utilizarse solo una vez. No puede asociar múltiples campos de la plataforma con el mismo atributo o viceversa.
Campos de usuario admitidos para el aprovisionamiento SAML:
Nombre de usuario, Nombre de pila, Apellidos, Correo electrónico, Nombre de la rama, Código de la rama, Idioma y Campos adicionales.
| Campo en la plataforma | Notas |
| Nombre de usuario | |
| Nombre de pila Apellidos |
Si en los Ajustes avanzados > Autorregistro de la plataforma marcó la opción Son necesarios el nombre y los apellidos para registrarse, asegúrese de incluir estos campos en la sección Agregar campos, para que se puedan crear los usuarios aprovisionados. |
| Correo electrónico | |
| Nombre de la rama | |
| Código de la rama | |
| Idioma | En el campo de idioma de su proveedor de identidad, la entrada debe utilizar uno de los códigos de idioma que la plataforma utiliza para identificar los idiomas (en = inglés, de = alemán, etc.). Si el código introducido en este campo para un usuario concreto no coincide con ninguno de los códigos de idioma de la plataforma, al usuario se le asignará el idioma predeterminado de la plataforma en el momento de la activación. |
| Campos adicionales |
Si desea rellenar el campo adicional de usuario País a través de SSO, un valor aceptable sería ID del país o Nombre del país, tal y como se indica en el artículo titulado Lista de códigos ISO 3166-1 de países. Si ha configurado campos adicionales de usuarios obligatorios en la plataforma, asegúrese de que estén asignados aquí para que puedan rellenarse, ya que de lo contrario no podrá crearse correctamente el usuario. |
Bloquear campos de usuarios aprovisionados:
Seleccione la casilla de verificación Bloquear campos de usuarios aprovisionados para impedir que los usuarios editen, en Mi perfil, cualquier campo de usuario que esté aprovisionado. Dichos campos aparecerán en gris y marcados como desactivados, para que el usuario no pueda cambiar el valor obtenido del proveedor de identidad.
→ Para conocer algunas limitaciones y problemas importantes que pueden surgir con los campos bloqueados, consulte el artículo Guía general para la configuración de SSO > Bloquear campos de usuarios aprovisionados.
Actualizar los campos aprovisionados:
Seleccione la casilla de verificación Si el usuario ya existe, actualice su información para actualizar automáticamente, dentro de la plataforma, los valores de cualquier campo aprovisionado que se haya modificado en el proveedor de identidad. Si no selecciona esta opción, tendrá que copiar manualmente cualquier cambio para mantener alineados los campos aprovisionados.
Haga clic en Guardar cambios para completar la configuración.
Comparación de campos de usuarios con SAML y la aplicación Automatización
Dependiendo del campo, puede importarlos mediante CSV, mediante SAML o mediante la aplicación de automatización.
Esta es una comparación de los campos que puede importar mediante automatización o el SSO de SAML:
| Campo de datos de usuario de Docebo | Aplicación Automatización | SSO de SAML |
|---|---|---|
| Nombre de usuario | Sí | Sí |
| Nombre de pila | Sí | Sí |
| Apellidos | Sí | Sí |
| Correo electrónico | Sí | Sí |
| Nivel | Sí | |
| Nombre del perfil | Sí | |
| Nombre de la rama | Sí | Sí |
| Código de la rama | Sí | Sí |
| Ruta del nombre de la rama | Sí | |
| Ruta del código de la rama | Sí | |
| Contraseña | Sí | |
| Contraseña con hash | Sí | |
| Activo | Sí | |
| Forzar cambio de contraseña | Sí | |
| Caduca el | Sí | |
| Idioma | Sí | Sí |
| Formato de fecha | Sí | |
| Zona horaria | Sí | |
| Nuevo nombre de usuario | Sí | |
| ID de usuario | ||
| Es un superior | Sí | |
| UUID | ||
| Superior directo | Sí (Nota: para rellenar esto, el campo se llama Es un superior) |
|
| Otros tipos de superiores | ||
| Campos adicionales | Sí | Sí |
A tener en cuenta: La creación de ramas en SAML no se admite mediante importación CSV. Todos los usuarios se colocarán automáticamente en la rama raíz en las configuraciones de dominio único o, si está activa la aplicación Extended enterprise, en la rama correspondiente al subdominio pertinente.
Al determinar su estrategia de aprovisionamiento, considere si desea supervisar a sus usuarios o enviar notificaciones antes de la puesta en marcha. Si es así, tendrá que precargar estos usuarios.
Buenas prácticas
Grupos rellenados automáticamente
Para sacar el máximo partido de esta integración, puede configurar grupos automáticos y luego utilizar la aplicación Reglas de inscripción de Docebo para inscribir automáticamente a estos grupos en cursos o planes de aprendizaje. Así, cuando se crea un nuevo usuario, no tiene que asignarlo manualmente a grupos, cursos o planes de aprendizaje.
Tenga en cuenta que, para vincular correctamente los campos SAML y los campos adicionales de la plataforma recién añadidos y usarlos para rellenar grupos automáticamente, siempre debe cerrar sesión tanto en la plataforma de aprendizaje como en el proveedor de identidad. Por lo tanto, asegúrese de haber habilitado la opción en la sección Comportamiento de desconexión. Sin marcar esta opción, el proceso de aprovisionamiento de usuarios no se llevará a cabo.
Extremos SAML simplificados
Para determinados proveedores de identidad de SAML, los extremos de SAML estándar proporcionados por los metadatos XML no están permitidos. En este caso, Docebo tiene extremos simplificados. Docebo tiene metadatos SAML 2.0 sin la parte de la cadena de consulta disponible, por lo que son aceptados por OpenSAML:
http(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-logout.php/default-sphttp(s)://exampleLMS.docebosaas.com/simplesaml/modules/saml/sp/saml2-acs.php/default-sp
Configurar un dominio después de haber configurado el SSO de SAML
Si es necesario configurar un dominio personalizado o un dominio secundario después de haber configurado el SSO de SAML, deberá:
- En primer lugar, configurar por completo el dominio personalizado o secundario en su plataforma, tal y como se indica en el artículo correspondiente: Gestión de dominios: Configuración de dominios personalizados o Gestión de dominios: Configuración de dominios secundarios.
- A continuación, acceder a la página de configuración de SAML y, en la sección de metadatos SAML 2.0, copiar la nueva información (como ID de la entidad, URL de inicio de sesión o URL de cierre de sesión) y utilizarla para actualizar la configuración en el lado del proveedor de identidad. De este modo, el proveedor de identidad se conectará al dominio recién configurado en lugar de a la URL de la plataforma anterior.
Certificación AWS
Docebo está disponible en el Catálogo de SSO de AWS.
Otras notas
A tener en cuenta: Para evitar configuraciones SAML incorrectas, desde abril de 2018 Docebo tiene implementado un bloqueador. Si la conexión continúa rebotando de un lado a otro, Docebo ha añadido un bloqueador que mostrará una página de error. Además, el navegador que inició el bucle se desconectará durante una hora.