Presentación

OpenID Connect es una sencilla capa de identidad por encima del protocolo OAuth 2.0. Te permite verificar la identidad de los usuarios en función de la autenticación realizada por un Servidor de autorización, así como obtener información de perfil básica sobre ellos de forma interoperable. Docebo admite el flujo de Código de autorización de OpenID Connect, que es uno de los flujos disponibles para autenticación. Consulta la documentación técnica de OpenID Connect para obtener más información.

Al activar la aplicación OpenID Connect en tu plataforma Docebo, los usuarios podrán iniciar sesión en su plataforma Docebo utilizando las credenciales de sesiones activas de otras plataformas web. Cuando está activa la aplicación, los usuarios pueden pulsar el icono de OpenID Connect en la página de inicio de sesión de Docebo para conectarse a la plataforma con las credenciales de otras plataformas web, y también se les permitirá iniciar sesión en la plataforma de Docebo desde el panel de control de OpenID Connect pulsando el icono de la plataforma de Docebo. Si un usuario que solicita iniciar sesión aún no existe en Docebo, será creado automáticamente en el primer inicio de sesión.

Este artículo te proporcionará un proceso paso a paso para activar y configurar la aplicación. Ten en cuenta que la integración con OpenID Connect está disponible para todos los clientes que utilicen el tema 7.0 y para la aplicación Extended Enterprise de Docebo.

Ten en cuenta: Cuando utilices OpenID Connect puedes integrar un único proveedor de identidad por dominio de plataforma. Si necesitas integrar otros proveedores para el mismo dominio, utiliza otro protocolo.

La aplicación móvil Go.Learn admite la mayoría de los ejemplos de configuración de autenticación OpenID Connect descritos en este artículo.

Activación de la aplicación OpenID Connect

Activa la aplicación OpenID Connect como se describe en el artículo Gestión de Apps y características de la Base de conocimiento. La aplicación aparece en la pestaña Inicio de sesión único.

Una vez activada, puedes comenzar la configuración. Consulta la sección siguiente para obtener más información.

Configuración de la aplicación OpenID Connect

Para comenzar la configuración de esta aplicación, inicia sesión en tu plataforma como Superadministrador y accede al Menú Admin desde el icono de engranaje de la esquina superior derecha. A continuación, busca la sección OpenID Connect en el Menú Admin y pulsa el subelemento Gestionar. Serás redireccionado a la página Ajustes de OpenID Connect.

Las URL relacionadas en la sección URLs de la plataforma son generadas automáticamente por tu plataforma y deben trasladarse a tu proveedor de identidad para una configuración adecuada de la plataforma Docebo en sus plataformas:

• URL de inicio de sesión. Página de inicio de sesión de aplicaciones de terceros para autenticación federada mediante OpenID Connect
• URL de desconexión. URL de desconexión utilizada para cerrar la sesión actual del usuario en la aplicación de terceros
• Código URL. Redireccionar la URL de la aplicación de terceros para respuestas de código de OpenID Connect. Ten en cuenta que si quieres utilizar OpenID Connect SSO en tu aplicación móvil Go.Learn o de marca, debes agregar el parámetro ?device=mobile al final del código URL.

La sección OpenID Client debe cumplimentarse con los datos del proveedor de identidad que estés integrando. Copia y pega estos datos del proveedor en esta sección de tu plataforma de Docebo. Consulta la documentación técnica de tu proveedor de identidad para obtener información sobre cómo obtener estos datos. Si tu proveedor es OKTA, OneLogin, Salesforce, Microsoft Azure Active Directory, Microsoft Azure AD B2C o Ping Identity, encontrarás ejemplos de configuración en la lista al final de este artículo.

• URL completa del Servidor de autorización
• Identificador de cliente. Identificador del cliente que solicita acceder al token
• Secreto del cliente. Este secreto del cliente se utiliza junto con el identificador de cliente para autenticar la aplicación cliente
• URL de metadatos. Devuelve metadatos de OpenID Connect relacionados con el servidor de autorización especificado. La URL de metadatos proporciona todos los datos configurables en la segunda sección de la página de configuración de OpenID Connect.

Utiliza la sección Tipo de autenticación para seleccionar si activar el Tipo de autenticación Básica o Cadena de consulta dependiendo del proveedor de identidad que estés utilizando. El tipo Autenticación básica es la selección predeterminada porque es la más utilizada. Consulta la documentación de tu proveedor de identidad para recuperar esta información.

Pulsa Restablecer en cualquier momento para iniciar la configuración desde cero, o pulsa Continuar para activar la segunda ranura de parámetros y proceder a la configuración. Las siguientes opciones se rellenan automáticamente con la URL de metadatos.

Atributo Nombre de usuario

En la sección Atributo Nombre de usuario, selecciona una de las opciones que proporciona automáticamente el proveedor de identidad. El atributo que selecciones será el nombre de usuario de tus usuarios en la plataforma Docebo. Al hacer tu selección, asegúrate de que el atributo seleccionado esté rellenado para todos tus usuarios en el Proveedor de identidad. Ten en cuenta que el atributo seleccionado debe ser un identificador único. Por ejemplo, si seleccionas Nombre de familia como atributo de nombre de usuario, debes asegurarte de que ninguno de tus usuarios tenga el mismo nombre de familia. Sugerimos seleccionar Correo electrónico como Atributo de Nombre de usuario.

Recuerda también que si has seleccionado la opción Nombre y apellido son necesarios para poder registrarse en la pestaña Autorregistro de la sección Ajustes avanzados del Menú Admin de Docebo, el Proveedor de identidad debe proporcionar el nombre y apellido de los usuarios para un registro adecuado en la plataforma.

Alcance

Los elementos de la lista Alcance también se rellenan automáticamente y dependen del extremo. Esta es una lista de la información de perfil disponible recuperada por la URL de metadatos introducida en la sección Cliente de OpenID. Selecciona los datos de usuario que quieras recuperar del Proveedor de identidad vía Token de ID marcando las casillas de verificación correspondientes. Ten en cuenta que el correo electrónico y el perfil son alcances obligatorios y deben marcarse siempre.

Las opciones seleccionadas en esta sección identifican los datos que rellenarán el perfil de usuario cuando se cree el usuario en la plataforma en el primer inicio de sesión. Si el Token de ID incluye asignaciones adicionales de campos grupo o rama a Docebo, esta información se tendrá en cuenta y se rellenará en la plataforma Docebo.

Ten en cuenta: La integración solo funciona con id_token para recuperar el token de acceso. Actualmente, el extremo userinfo no es compatible.

Método de intercambio de tokens

Utiliza este ajuste para definir cómo envía el sistema la solicitud de datos JWT al proveedor de identidad. De forma predeterminada, Docebo envía solicitudes a través de la URL utilizando parámetros GET. Cuando se utiliza la opción POST, Docebo envía solicitudes a través de la URL utilizando parámetros POST añadiéndolos al BODY de la llamada.

La opción GET es más sencilla y envía los datos a través de la URL, mientras que la opción POST es más compleja pero utiliza un método de cifrado más eficaz.

Esta opción está ajustada a GET de forma predeterminada. Cuando utilices este ajuste, asegúrate de haber configurado correctamente tu proveedor de identidad de acuerdo con la opción seleccionada.

Tanto las solicitudes GET como las POST envían los siguientes datos para el tipo de autenticación de Código de autorización:

• Código. El valor Código intercambiado por el estándar OpenID cuando se utiliza el tipo de autenticación de código de autorización
• Redireccionar URI donde Docebo envía el JTW.

Cuando se utiliza el tipo de autenticación autenticación básica también se envían los siguientes datos:

• Identificador de cliente
• Secreto del cliente

Rotación de certificación

Cuando está habilitada la opción Rotación de certificación, la plataforma Docebo recuperará la clave que sea válida en el momento de la solicitud desde una URL definida por el estándar OpenID Connect. El proveedor de identidad habilitará automáticamente la opción para actualizar la certificación de forma autónoma. Esto es parte de la relación estándar y está marcado automáticamente o no.

Si el proveedor de identidad no admite la rotación de certificación pero está habilitada esta opción, se mostrará un mensaje de error.

Comportamiento de SSO

El Comportamiento de SSO se puede configurar de dos maneras diferentes. Define si quieres mostrar la página de inicio de sesión estándar de la plataforma Docebo o si deseas redireccionar automáticamente a los usuarios al panel del proveedor de identidad. Cuando marques la primera opción, define si quieres mostrar el botón SSO en la página de inicio de sesión de tu plataforma.

Cuando selecciones la opción Redirección automática al proveedor de identidad, puedes establecer una página de aterrizaje de desconexión específica cuando tus usuarios cierren sesión en la plataforma en lugar de mantener la página estándar de desconexión. Utiliza el cuadro de texto para escribir la URL de la página de aterrizaje de desconexión.

Comportamiento de desconexión

La sección Comportamiento de desconexión te permite configurar si los usuarios serán desconectados automáticamente del proveedor de identidad cuando cierren sesión desde la plataforma Docebo. Como opción adicional, puedes seleccionar un extremo de desconexión de terceros personalizado, capaz de recibir el mensaje de desconexión vía GET para completar el cierre de sesión único; esta opción es compatible con algunos proveedores de identidad.

Aprovisionamiento de usuarios

Esta sección te permite crear instantáneamente un usuario que esté presente en tu proveedor de identidad pero todavía no en la base de datos. Comienza marcando la opción Habilitar. También puedes marcar la opción para bloquear campos de usuarios aprovisionados, lo que significa que los usuarios no pueden editar detalles de su perfil de usuario que se haya creado a través de OpenID Connect. Al editar el perfil de usuario, las opciones aparecerán en gris.

Si existen usuarios en ambas bases de datos, te sugerimos que marques la opción de actualizar la información de los usuarios existentes. Ten en cuenta que cuando no estén marcadas estas opciones tendrás que registrar manualmente (opción habilitar) o actualizar tus usuarios (información de actualización) en la plataforma Docebo.

Ten en cuenta que OpenID Connect rellena automáticamente los campos adicionales del proveedor de identidad, así que recuerda seleccionarlos uno por uno en el menú desplegable Agregar campos y asociarlos a los campos adicionales del usuario de Docebo en la sección que se muestra para cada campo adicional después de la selección. Recuerda que si estableces como obligatorio algún campo adicional de usuarios en tu plataforma Docebo, debe asignarse en esta sección para que se rellene en tu plataforma. Si no se rellenan los campos adicionales obligatorios, no se creará el usuario.

Haz clic en Guardar cambios para completar la configuración.

Los tipos de campos adicionales que se admiten para el aprovisionamiento de usuarios en esta integración son:

• Desplegable (usa el ID desplegable de la declaración de atributos)
• Campo de texto
• Código fiscal - País (usa el ID del país de la declaración de atributos)
• Campo de fecha (formato: AAAA-MM-DD)
• Campo Sí/No

Tipos de campos adicionales que no son compatibles:

• IFrame
• Campo de archivo
• Campo de texto libre

Ejemplos de configuración

Esta sección te proporciona algunos ejemplos sobre cómo configurar e integrar algunos de los proveedores de identidad más populares. Si tu proveedor no aparece aquí, consulta la documentación anterior.

• Ejemplo de configuración OKTA
• Ejemplo de configuración OneLogin
• Ejemplo de configuración Salesforce
• Ejemplo de configuración Microsoft Azure AD
• Ejemplo de configuración Microsoft Azure AD B2C
• Ejemplo de configuración Ping Identity

OKTA

Al configurar OKTA con OpenID Connect, no es necesario que la aplicación OKTA esté activada en tu plataforma. Comienza conectándote al sitio web de Okta como Administrador, haz clic en Administrador en la esquina superior derecha y ve después a la pestaña Aplicaciones y haz clic en Agregar aplicación para crear la aplicación Docebo en Okta, registrándola como proveedor de servicios. Haz clic en Crear nueva aplicación.

En el cuadro emergente, selecciona Web como Tipo de plataforma y OpenID Connect como Método de inicio de sesión. Pulsa Crear para proceder. Escribe el Nombre de aplicación (puede ser Docebo o como se haya renombrado la aplicación para tu empresa) y agrega un logotipo para identificar la aplicación en el panel de OpenID Connect. La carga del logotipo es opcional, pero puede ser muy útil para identificar rápidamente la plataforma Docebo en el panel de control de OpenID Connect.

Abre la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y copia los valores que se muestran en la sección URLs de la plataforma en los campos correspondientes de la sección Configurar OpenID Connect de la página Crear integración de OpenID Connect en Okta. En la sección URIs de redireccionamiento de inicio de sesión, copia y pega los valores URL de inicio de sesión y Código URL de Docebo, por este orden. Pulsa el botón Añadir URI para insertar una fila nueva. Copia y pega el valor URL de desconexión de Docebo en la sección URIs de redirección de desconexión de OKTA. Pulsa el botón Añadir URI para insertar una fila nueva. Pulsa Guardar para proceder.

Recupera ahora la información de OpenID Connect de la sección Configurar OpenID Connect de la página Crear integración de OpenID Connect en Okta y pégala en la sección Cliente de OpenID de la página de configuración de OpenID Connect en Docebo. Ve a la pestaña General, copia el Identificador de cliente y los valores de Secreto del cliente y cópialos en los campos correspondientes en Docebo. Recupera el código Emisor cliente de tu URL de instalación de OKTA: copia la URL desde https hasta el final del nombre de dominio (es decir, https://{yourdomainname}.oktapreview.com/) y pégala en el Emisor.

Para finalizar, compón el valor URL de metadatos de la siguiente manera:

  {{url}}/.well-known/openid-configuration?client_id={{clientId}}

donde:

• {{url}} es el código del emisor (incluido el protocolo https o http), eliminar {{ }}
• {{clientId}}es el valor Identificador de cliente, eliminar {{ }}

Copia la URL resultante y pégala como valor URL de metadatos en Docebo.

En el sitio web de Okta, define los usuarios que tienen permitido usar la aplicación. Desplázate a la pestaña Asignaciones y añade los usuarios, sea uno por uno o con una acción masiva. Haz clic en Asignar y selecciona Asignar a personas o Asignar a grupos según tus necesidades. Selecciona los usuarios y/o grupos creados previamente en Okta, haz clic en Asignar y Hecho para completar la acción.

Se ha completado la configuración de Docebo en Okta. Vuelve a Docebo, establece el valor Tipo de autenticación en Autenticación básica y haz clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finaliza la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.

OneLogin

Al configurar OneLogin con OpenID Connect, la aplicación OneLogin no es necesario que esté activada en tu plataforma. Inicia la configuración desde el Proveedor de identidad. Inicia sesión en OneLogin, haz clic en Administración en la barra superior de la página, selecciona la pestaña Aplicaciones y haz clic en Conectores personalizados.

Crea un conector personalizado para registrar a Docebo como proveedor de servicios. Haz clic en Nuevo conector en la esquina superior derecha. Introduce el Nombre de tu aplicación Docebo (es decir, yourtrial.docebosaas.com) y pulsa Grueso para confirmar. Verás la página Configuración básica. Añade un icono para identificar la aplicación en el panel de OpenID Connect. La carga del icono es opcional, pero puede ser muy útil para identificar rápidamente la plataforma Docebo en el panel de control de OpenID Connect. En la sección Método de inicio de sesión, selecciona OpenID Connect.

Abre la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y copia los valores que se muestran en la sección URLs de la plataforma en los campos correspondientes de OneLogin como se describe a continuación. En la sección OneLogin OpenID Connect, pega la URL del Código Docebo en el campo URI de redireccionamiento. Ve a la sección URL de inicio de sesión y pega la URL de inicio de sesión en el campo URL de inicio de sesión. Pulsa Guardar para continuar.

Ten en cuenta que OpenID Connect habilita el SSO iniciado por el proveedor de servicios (iniciado por SP), pero no el SSO iniciado por el proveedor de identidad (iniciado por IdP). Cuando proporciones una URL de inicio de sesión, OneLogin imita una experiencia SSO iniciado por IdP: el usuario es llevado a la página de inicio de sesión de la aplicación, donde comienza el flujo de autenticación iniciado por SP. Consulta la Base de conocimiento de OneLogin para obtener más información. Al configurar la integración con Docebo, escribe la URL pura de la plataforma (https://[platformname].docebosaas.com) en el campo URL de inicio de sesión en OneLogin y ajusta el Comportamiento SSO en Redirección automática en la página de configuración de Docebo OpenID Connect.

Ve a la pestaña Aplicaciones, selecciona Añadir aplicaciones y busca OpenID Connect en la barra de búsqueda. Selecciona OpenId Connect (OIDC) en los resultados de búsqueda que aparecen en la página Buscar aplicación. Confirma o selecciona tu plan de suscripción y pulsa Continuar. Introduce el nombre y descripción de la aplicación. En la pestaña Configuración, copia y pega la URL de inicio de sesión de Docebo en los campos URL de inicio de sesión, Código URL y URL de desconexión de la sección URIs de redireccionamiento, como líneas separadas. Pulsa Guardar para proceder.

Recupera ahora la información de OpenID Connect desde OneLogin. El código Emisor proviene de la URL del sitio web de OneLogin: copia el enlace desde https hasta la última letra antes de la primera barra (no copies la barra). Pasa ahora a la pestaña SSO.

Copia el Identificador de cliente y el Secreto del cliente y pégalos en los campos correspondientes de la sección Abrir ID cliente de la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar).

Para finalizar, compón el valor URL de metadatos de la siguiente manera:

{{url}}/oidc/.well-known/openid-configuration

Donde url es la url del Proveedor de identidad, quitar {{ }}

Define ahora los usuarios a los que se les permite usar la aplicación. Ve a la pestaña Usuarios e introduce las cuentas de usuario que podrán conectarse con este Proveedor de identidad.

Se ha completado la configuración de Docebo en OneLogin. Vuelve a Docebo, establece el valor Tipo de autenticación en Autenticación básica y haz clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finaliza la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.

Salesforce

Al configurar Salesforce con OpenID Connect, no es necesario que la aplicación Salesforce esté activada en tu plataforma. Inicia la configuración desde el Proveedor de identidad. Inicia sesión en Salesforce, haz clic en Configuración en la barra superior de la página. En el menú del lado izquierdo, accede a la sección Versión, selecciona Crear y por último, Aplicaciones.

Desde la página Aplicaciones, ve a la sección Aplicaciones conectadas y haz clic en Nueva para añadir Docebo como nueva aplicación.

En la página Nueva aplicación conectada que se abrirá, escribe el Nombre de aplicación conectada y una dirección de correo electrónico de contacto en las secciones correspondientes. Ve ahora a la sección API (Habilitar ajustes de OAuth) y marca la opción Habilitar ajustes de OAuth. Cuando se seleccione esta opción se mostrarán varias opciones de configuración debajo.

Abre la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y copia los valores que se muestran en la sección URLs de la plataforma en los campos correspondientes de esta página. En la URL de devolución de llamada, pega los valores URL de inicio de sesión y Código URL en dos líneas separadas, sin caracteres de separación.

Define ahora el Alcance de OAuth seleccionado añadiendo Permitir acceso a tu identificador único y Acceder a tu información básica (ID, perfil, correo electrónico, dirección, teléfono) en el cuadro Alcance de OAuth seleccionado. Marca la opción Configurar token de ID y selecciona Incluir reclamación estándar de las opciones que se muestran debajo. Si es necesario, habilita la opción Habilitar cierre de sesión único y copia y pega la URL de desconexión de Docebo.

Pulsa Guardar para completar la configuración. Ten en cuenta que una vez que hayas guardado, tu aplicación puede tardar hasta diez minutos en crearse. Cuando finalice el procedimiento de creación, serás redirigido a la página de la aplicación que acabas de crear.

Recupera ahora la información de OpenID Connect para Docebo. El código Emisor proviene de la URL del sitio web; copia el enlace desde https hasta la última letra antes de la barra diagonal única. Copia los valores Clave de consumidor y Secreto del cliente (haz clic en Clic para mostrar para ver el código sin cifrar) y pégalos en el Identificador del cliente y en el Secreto del cliente en la sección Abrir identificador de cliente de la página de configuración de OpenID Connect en Docebo (Menú - OpenID Connect - Gestionar).

Para finalizar, compón el valor URL de metadatos de la siguiente manera:

{{url}}/.well-known/openid-configuration

Donde url es la url del Proveedor de identidad, quitar {{ }}

Se ha completado la configuración de Docebo en OneLogin. Vuelve a Docebo, ajusta el valor Tipo de autenticación en Autenticación básica y haz clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finaliza la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.

Cuando los usuarios inicien sesión en la plataforma por primera vez utilizando Salesforce, se les pedirá que confirmen que Docebo puede acceder a sus datos antes de continuar. Ten en cuenta que si los usuarios no permiten que Docebo acceda a sus datos, no podrán iniciar sesión.

Microsoft Azure Active Directory

Inicia la configuración desde el Proveedor de identidad (si tienes previsto utilizar la integración con un dominio personalizado, asegúrate de que tu certificación SSL sea válida). Conéctate al sitio web de Microsoft Azure Active Directory como Administrador y selecciona Azure Active Directory en el panel lateral izquierdo de tu panel de control para registrar la aplicación Docebo y a continuación, Registro de aplicación en el submenú. Haz clic en Registro de nueva aplicación en el área superior de la página Registro de aplicación.

Serás redirigido a la página de creación de la aplicación. Introduce un nombre para la aplicación y selecciona el Tipo de aplicación Aplicación web/API. Abre ahora la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y copia el valor URLs de inicio de sesión en el campo URL de inicio de sesión. Pulsa Crear para proceder. La aplicación Docebo se ha creado y registrado en Microsoft Azure Active Directory. Ahora, selecciona la aplicación Docebo en el panel de control, haz clic en Ajustes en la página de la aplicación y ve a la opción URLs de respuesta del menú General. Una vez más, abre la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y copia el Código URL en el panel derecho. Pulsa Guardar para confirmar.

Mientras todavía estés en la página Ajustes, ve a la opción Claves del menú Acceso API para establecer la clave de acceso que se necesitará más adelante para completar la configuración de Microsoft Azure Active Directory en Docebo. Introduce una descripción para tu clave de acceso y ajusta el valor Caduca a Nunca caduca para que no tengas que cambiarla en el futuro. Pulsa Guardar para generar el valor de la clave de acceso. Microsoft Azure Active Directory genera automáticamente el valor y se muestra en el área de texto Valor de la fila de la clave de acceso. Copia el valor de la clave de acceso y guárdalo en un lugar seguro, pues no podrás recuperarlo de nuevo después de salir de esta página.

La configuración de la aplicación Docebo en Microsoft Azure Active Directory está completa. Ahora, dirígete a tu plataforma Docebo (donde has iniciado sesión como Superadministrador) para configurar la integración en el lado de la plataforma Docebo (Menú Admin - OpenID Connect - Gestionar). Consulta este artículo de la Base de conocimiento de Microsoft Azure Active Directory para recuperar el valor URL de metadatos. El Emisor estará disponible en la salida de URL de metadatos. El valor Identificador de cliente corresponde al valor ID de la aplicación que se muestra en la página Ajustes de la aplicación Docebo en Microsoft Azure Active Directory. Por último, rellena el campo Secreto del cliente con el valor de clave de acceso generado en la sección Claves de Microsoft Azure Active Directory.

La configuración de la comunicación entre Docebo y Microsoft Azure Active Directory está completa. Establece el valor Tipo de autenticación en Cadena de consulta y pulsa Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finaliza la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.

Cuando un usuario inicia sesión en Docebo a través de Microsoft Azure Active Directory por primera vez después de la configuración, aparecerá un mensaje emergente que le pedirá que confirme que permite que la aplicación Docebo acceda a los datos almacenados en Microsoft Azure Active Directory y que vea su perfil básico.

Pulsa Aceptar para continuar. Ten en cuenta que si no das tu permiso, la integración no funcionará.

Microsoft Azure AD B2C

Inicia la configuración desde el Proveedor de identidad (si tienes previsto utilizar la integración con un dominio personalizado, asegúrate de que tu certificación SSL sea válida). Conéctate al sitio web de Microsoft Azure Active Directory como Administrador. En la barra de búsqueda del área superior de la página Todos los servicios, busca Azure AD B2C y selecciónalo en los resultados de búsqueda.

Una vez en la página Azure AD B2C, selecciona Aplicaciones en el menú Gestionar. En la página Azure AD B2C - Aplicaciones, haz clic en Añadir para añadir Docebo. Comienza agregando la aplicación Docebo escribiendo el nombre de la aplicación y ajustando las opciones de la sección Aplicación web/API web (Incluir aplicación web/API web y Permitir flujo implícito) en Sí.

Ten en cuenta que la aplicación móvil go.Learn es incompatible con Microsoft Azure AD B2C cuando en el momento de registrar una nueva aplicación selecciones una de las siguientes opciones de la lista de Tipos de cuenta compatibles:

• Cuentas en algún directorio de la organización (cualquier directorio de Azure AD - Multiinquilino) y cuentas personales de Microsoft (por ejemplo, Skype, Xbox)
• Solo cuentas personales de Microsoft

Recupera el valor del campo URL de respuesta de tu plataforma Docebo. Abre la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar), copia el Código URL y pégalo en este campo. Pulsa Crear para confirmar la creación de la aplicación. La aplicación Docebo aparece ahora en la página Aplicaciones. Haz clic en el nombre de la aplicación para acceder a su página Propiedades. En la sección URL de respuesta, escribe el valor URLs de inicio de sesión recuperándolo de la página de configuración de OpenID Connect en Docebo (Menú Admin - OpenID Connect - Gestionar) y pulsa Guardar para confirmar tu entrada.

Ahora, ve a la opción Claves del menú General para establecer la clave de acceso que se necesitará más adelante para completar la configuración de Microsoft Azure AD B2C en Docebo. Haga clic en Generar clave.

Introduce una descripción para tu clave y pulsa Guardar. Al guardar, el sistema generará la clave de acceso. Copia el valor de la clave de acceso y guárdalo en un lugar seguro, pues no podrás recuperarlo de nuevo después de salir de esta página.

La configuración de la aplicación Docebo en Microsoft Azure AD B2C está completa. Ve ahora a Docebo para configurar la integración en el lado de la plataforma de Docebo (Menú Admin - OpenID Connect - Gestionar). Consulta este artículo de la Base de conocimiento de Microsoft Azure Active Directory para recuperar el valor URL de metadatos. El Emisor estará disponible en la salida de la URL de metadatos. El valor Identificador de cliente corresponde al valor ID de la aplicación que se muestra en la página Propiedades de la aplicación Docebo en Microsoft Azure AD. Por último, rellena el campo Secreto del cliente con el valor de clave de acceso generado en la sección Claves de Microsoft Azure AD B2C.

La configuración de la comunicación entre Docebo y Microsoft Azure AD B2C está completa. Ajusta el valor Tipo de autenticación a Cadena de consulta y haz clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finaliza la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo. Cuando un usuario inicie sesión en Docebo a través de Microsoft Azure AD B2C por primera vez después de la configuración, aparecerá un mensaje emergente que le pedirá que confirme que permite que la aplicación Docebo acceda a los datos almacenados en Microsoft Azure Active Directory y que vea su perfil básico. Pulsa Aceptar para continuar. Ten en cuenta que si no das tu permiso, la integración no funcionará.

Ping Identity

Al configurar Ping Identity con OpenID Connect, no hay ninguna aplicación Ping Identity que deba activarse en tu plataforma. Inicia la configuración desde el Proveedor de identidad.

Inicia sesión en Ping Identity con tu cuenta de administrador y en la pestaña Aplicaciones en Conexiones, elige Añadir aplicación haciendo clic en el icono más.

A continuación se te presentará una selección del tipo de aplicación, pulsa el botón Aplicación web seguido del botón Configurar en la ventana emergente resultante.

A continuación, asigna a la aplicación el nombre que desees, añade un icono (si lo deseas) y pulsa el botón Siguiente.

Después, tendrás que buscar las URL adecuadas para usar dentro de la plataforma. Abre una nueva pestaña y en Docebo LMS haz clic en el icono de engranaje, busca OpenID Connect y haz clic en Gestionar. Las tres URL principales son lo que vas a necesitar para el siguiente paso en Ping Identity.

Pega las tres URL en el cuadro URLs de redireccionamiento y pulsa el botón Guardar y continuar.

A continuación se te presentará una lista de alcances disponibles para usar con tu configuración. Para minimizar la cantidad de datos innecesarios que se intercambian entre los sistemas y por motivos de seguridad, elige solo los alcances OpenID que sean necesarios para la plataforma y pulsa el botón Guardar y continuar.

En la siguiente pantalla puedes personalizar la Asignación de atributos para que se adapten a tus necesidades, si es necesario. No es necesario cambiar los ajustes predeterminados para que Ping Identity funcione correctamente. Pulsa el botón Guardar y cerrar para continuar.

En la siguiente pantalla, pulsa el botón de lápiz a la derecha de la configuración mostrada para editar tu configuración recién creada. Busca el cuadro URIs de redireccionamiento y copia/pega la URL que termina en "logout" en el cuadro URLs de desconexión inferior. A continuación, pulsa el botón Guardar.

Entonces se te mostrará una lista de direcciones URL que deben copiarse en la pantalla Administración de OpenID Connect de la plataforma Docebo. Los campos necesarios dentro de la plataforma corresponden a la misma información dada en Ping Identity, excepto la URL de metadatos, que es la URL denominada OIDC Discovery Endpoint en Ping Identity. Después, haz clic en el botón Continuar.

A continuación, en la sección Alcance, selecciona todas las entradas necesarias correspondientes a los alcances que hayas definido en Ping Identity. En Método de intercambio de token, elige Publicar y en Comportamiento de SSO marca la casilla que hay junto al botón Mostrar SSO en la página de inicio de sesión. A continuación, ve a la sección Aprovisionamiento de usuarios y marca Activar y Si ya existe el usuario, actualizar la información del usuario.

Pulsa el botón Guardar cambios en OpenID Connect y ahora podrás iniciar sesión en tu plataforma utilizando Ping Identity.

Flujo de autenticación

Desde el 26 de octubre de 2021, Docebo ha implementado un token de corta duración para proporcionar mayor seguridad:

Flujo de autenticación anterior

Antes del 26 de octubre de 2021, la plataforma Docebo enviaba una solicitud al Proveedor de identidad (IdP) y recibía un token de acceso persistente.

Cada SSO (Inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL:

https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api

Flujo de autenticación con token de corta duración

El flujo de autenticación actualizado proporciona seguridad adicional al sustituir el token de corta duración de un solo uso proporcionado por el IdP por un token de acceso utilizado internamente:

Cada SSO (Inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL. El token de corta duración es un token de un solo uso con una vida útil de 30 segundos que se puede intercambiar por credenciales reales:

https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU

Docebo, utilizando llamadas POST de forma automática e interna, lo intercambia por el token de acceso real. Esto aumenta la seguridad, pero no cambia el comportamiento general del SSO.

Prácticas recomendadas

Cuando se configuran al mismo tiempo una integración SSO y un dominio personalizado se recomienda encarecidamente configurar primero el dominio personalizado. Las URL de extremo necesarias para la integración de SSO dependen de la URL de la plataforma.