Presentación

OpenID Connect (se abre en una nueva pestaña) es una capa de identidad sencilla por encima del protocolo OAuth 2.0. Le permite verificar la identidad de los usuarios en función de la autenticación realizada por un servidor de autorización, así como obtener información de perfil básica sobre ellos de forma interoperable. Docebo admite el flujo del Código de Autorización de OpenID Connect, que es una de las secuencias disponibles para autenticación. Consulte la documentación técnica de OpenID Connect (el enlace se abre en una nueva pestaña) para obtener más información.

Al activar la aplicación OpenID Connect en su plataforma Docebo, los usuarios podrán iniciar sesión en sus plataformas Docebo utilizando las credenciales de sesiones activas de otras plataformas web. Cuando está activa la aplicación, los usuarios pueden pulsar el icono de OpenID Connect en la página de inicio de sesión de Docebo para conectarse a la plataforma con las credenciales de otras plataformas web, y también se les permite iniciar sesión en la plataforma Docebo desde el panel de control de OpenID Connect pulsando el icono de la plataforma Docebo. Si un usuario que solicita iniciar sesión aún no está en Docebo, será creado automáticamente en el primer inicio de sesión.

Este artículo le ofrece un proceso paso a paso para activar y configurar la aplicación. Recuerde que la integración con OpenID Connect está disponible para la aplicación Extended Enterprise de Docebo.

A tener en cuenta: Cuando utilice OpenID Connect puede integrar un único proveedor de identidad por dominio de la plataforma. Si necesita integrar otros proveedores de identidad para el mismo dominio, utilice otro protocolo.

La aplicación móvil Go.Learn admite la mayoría de los ejemplos de configuración de autenticación de OpenID Connect descritos en este artículo.

Buena práctica: Cuando se configuran al mismo tiempo una integración de SSO y un dominio personalizado, se recomienda encarecidamente configurar el dominio personalizado primero en la Gestión de dominios. Las URL de extremos necesarias para la integración de SSO dependen de la URL de la plataforma.

Activación de la aplicación OpenID Connect

Active la aplicación OpenID Connect como se describe en el artículo Gestión de aplicaciones y características de la Base de conocimientos. La aplicación aparece en la pestaña Single Sign On (Inicio de sesión único).

Una vez activada, puede empezar a configurarla. Consulte la sección siguiente para más información.

Configuración de la aplicación OpenID Connect

Para comenzar a configurar esta aplicación, inicie sesión en su plataforma como Superadministrador y acceda al Menú de administrador desde el icono de engranaje de la esquina superior derecha. A continuación, busque la sección OpenID Connect en el Menú de administrador y pulse el subelemento Gestionar. Se le redirigirá a la página de ajustes de OpenID Connect.

Las URL indicadas en la sección URL de la plataforma son generadas automáticamente por su plataforma y deben trasladarse a su proveedor de identidad para una configuración adecuada de la plataforma Docebo en sus plataformas:

URL de inicio de sesión

Página de inicio de sesión de aplicaciones de terceros para la autenticación federada mediante OpenID Connect

URL de desconexión

URL de desconexión utilizada para cerrar la sesión actual del usuario en la aplicación de terceros

A tener en cuenta: Si desea utilizar el SSO OpenID Connect en su aplicación móvil Go.Learn o de marca propia, tendrá que añadir la URL golearn://sso_logout a la lista de URI de redireccionamiento de cierre de sesión (también llamadas URI de redireccionamiento de desconexión o URL de devoluciones de llamadas) en la página de configuración del proveedor de identidad.

URL de código

URL de redireccionamiento de la aplicación de terceros para respuestas de código de OpenID Connect. 

A tener en cuenta: Si desea utilizar el SSO OpenID Connect en su aplicación móvil Go.Learn o de marca propia, tendrá que añadir el parámetro ?device=mobile al final de la URL de código al copiar y pegar la URL de código de Docebo en la página de configuración del proveedor de identidad.

La sección Cliente OpenID debe cumplimentarse con los datos del proveedor de identidad que esté integrando. Copie y pegue estos datos del proveedor en esta sección de su plataforma Docebo. Consulte la documentación técnica de su proveedor de identidad para más información sobre cómo obtener estos datos. Si su proveedor de identidad es OKTA, OneLogin, Salesforce, Microsoft Entra ID, Microsoft Azure AD B2C o Ping Identity, encontrará ejemplos de configuración en el artículo Ejemplos de configuración de OpenID Connect.

Emisor

La URL completa del servidor de autorización

ID del cliente

Identificador del cliente que solicita acceder al token

Clave del cliente

Esta clave del cliente se utiliza junto con el ID del cliente para autenticar la aplicación del cliente

URL de metadatos

Devuelve metadatos de OpenID Connect relacionados con el servidor de autorización especificado. La URL de metadatos proporciona todos los datos configurables en la segunda sección de la página de configuración de OpenID Connect.

Utilice la sección Tipo de autenticación para seleccionar si activar el tipo de autenticación Autenticación básica o Cadena de consulta dependiendo del proveedor de identidad que esté utilizando. El tipo Autenticación básica es la selección predeterminada porque es la más utilizada. Consulte la documentación de su proveedor de identidad para recuperar esta información.

Pulse Continuar para activar la segunda tanda de parámetros y continúe con la configuración. Las opciones que aparecerán serán rellenadas automáticamente por la URL de metadatos.

• Puede pulsar Restablecer en cualquier momento para iniciar la configuración desde cero. En este caso, después de completar la primera tanda de parámetros y pulsar Continuar, pulse también Guardar cambios al final para actualizar la página y localizar correctamente las opciones desde la URL de metadatos.

Atributo Nombre de usuario

Al implementar el inicio de sesión único (SSO) a través de un proveedor de identidad, la decisión acerca de si un usuario que inicie sesión mediante SSO ya existe en la plataforma depende generalmente de un campo de identificador único que se recibe del proveedor de identidad.

Desde la lista desplegable Atributo nombre de usuario, seleccione el campo que desee utilizar para tal fin:

• La lista se autorrellena con los campos disponibles de su proveedor de identidad.
• Al realizar su selección, asegúrese de que el campo seleccionado esté rellenado para todos sus usuarios en el proveedor de identidad.
• El campo seleccionado también debe ser único. Por ejemplo, si selecciona family_name, deberá tener la seguridad de que ninguno de sus usuarios tiene los mismos apellidos en el proveedor de identidad. 
• Por ejemplo, puede utilizar email como Atributo nombre de usuario, siempre y cuando todos sus usuarios tengan correos electrónicos distintos en el proveedor.

El campo del proveedor de identidad que seleccione en Atributo nombre de usuario se comparará con el campo Nombre de usuario de la plataforma. Esto significa que:
- Si los dos campos coinciden, se considerará que el usuario que se está autenticando a través de SSO ya existe en la plataforma, y se iniciará su sesión en esa cuenta.
- Si no se encuentra ningún nombre de usuario que coincida en la plataforma, el usuario de SSO aún no existirá en ella, pero podrá crearse automáticamente si configura el aprovisionamiento de usuarios.

Los campos/reclamaciones se recuperan de forma predeterminada desde el token de acceso IdP. Seleccione la opción Recuperar reclamaciones a través del extremo Información del usuario solo si, por el contrario, su implementación recupera todas las reclamaciones a través de dicho extremo.

Alcance

Las opciones de la lista Alcance se rellenan automáticamente con campos recuperados del proveedor de identidad a través de la URL de metadatos introducida en la sección Cliente OpenID. Las opciones que verá aquí dependerán de la configuración del proveedor de identidad.

Los alcances ayudan al proveedor de identidad a decidir qué información del usuario (reclamaciones) debe incluirse en el token de ID o estar disponible a través del extremo /userinfo. Seleccione las casillas de verificación correspondientes a los tipos de datos de usuarios que desee recuperar. La selección que efectúe determinará qué reclamaciones estarán disponibles en la sección Aprovisionamiento de usuarios. Recuerde que Correo electrónico y Perfil son alcances obligatorios y deben estar siempre seleccionados.

Método de intercambio de tokens

Utilice este ajuste para definir cómo envía el sistema la solicitud de datos JWT al proveedor de identidad. De forma predeterminada, Docebo envía solicitudes a través de la URL utilizando parámetros GET. Cuando se utiliza la opción POST, Docebo envía solicitudes a través de la URL utilizando parámetros POST y añadiéndolos al BODY de la llamada.

La opción GET es más sencilla y envía los datos a través de la URL, mientras que la opción POST es más compleja pero utiliza un método de cifrado más eficaz.

A tener en cuenta: Esta opción está ajustada a GET de forma predeterminada. Cuando utilice este ajuste, asegúrese de haber configurado correctamente su proveedor de identidad de acuerdo con la opción seleccionada.

Tanto las solicitudes GET como las POST envían los siguientes datos para el tipo de autenticación Código de autorización:

Código

El valor Código intercambiado por el estándar OpenID cuando se utiliza el tipo de autenticación código de autorización

URI de redireccionamiento

La URI donde Docebo envía el JTW.

Cuando se utiliza el tipo de autenticación autenticación básica, también se envían los siguientes datos:

• ID del cliente
• Clave del cliente

Validación del parámetro de estado

Se recomienda ajustar la opción a Forzar y validar el parámetro de estado, ya que esto aumenta la seguridad. Deseleccione esta opción solo si su proveedor de identidad no está configurado para enviar o validar el parámetro de estado.

Rotación de certificados

Cuando está habilitada la opción Rotación de certificados, la plataforma Docebo recupera la clave válida en el momento de la solicitud desde una URL definida por el estándar OpenID Connect. El proveedor de identidad habilita automáticamente la opción de actualizar la certificación de forma autónoma. Esto forma parte de la relación estándar y está marcado automáticamente o no.

Si el proveedor de identidad no admite la rotación de certificados, pero está habilitada esta opción, se mostrará un mensaje de error.

Comportamiento de SSO

El Comportamiento de SSO se puede configurar de dos maneras diferentes. Defina si desea mostrar la página estándar de inicio de sesión de la plataforma Docebo o redireccionar automáticamente a los usuarios al panel del proveedor de identidad. Cuando marque la primera opción, defina si desea mostrar el botón de SSO en la página de inicio de sesión de su plataforma.

Cuando seleccione la opción Redirección automática al proveedor de identidad, puede establecer una página de destino de desconexión específica cuando sus usuarios cierren sesión en la plataforma en lugar de mantener la página estándar de desconexión. Utilice el cuadro de texto para escribir la URL de la página de destino de desconexión.

Comportamiento de desconexión

La sección Comportamiento de desconexión le permite configurar si los usuarios serán desconectados automáticamente del proveedor de identidad cuando cierren sesión desde la plataforma Docebo. Como opción adicional, puede seleccionar un extremo de desconexión de terceros personalizado, capaz de recibir el mensaje de desconexión vía GET para completar el cierre de sesión único; esta opción es compatible con algunos proveedores de identidad.

En esta sección también puede activar la opción de no enviar el id_token_hint. Tenga en cuenta que Docebo no recomienda utilizar esta opción.

Aprovisionamiento de usuarios

El aprovisionamiento de usuarios le permite crear automáticamente un nuevo usuario en la plataforma si la autenticación mediante SSO es válida pero dicho usuario aún no existe en la plataforma. También le permite actualizar automáticamente los detalles de un usuario en la plataforma tomando como base la información correspondiente en el proveedor de identidad de SSO. 

Consejo: Se considerará que un usuario ya existe en la plataforma si su Nombre de usuario coincide con el campo del proveedor de identidad que estableciera como Atributo nombre de usuario. Consulte el capítulo Atributo Nombre de usuario.

Habilitar la creación de usuarios aprovisionados:

Comience marcando la opción Habilitar. Si está habilitado el aprovisionamiento, un usuario que inicie sesión mediante SSO y aún no exista en la plataforma será creado automáticamente, siendo el Nombre de usuario de la plataforma igual al campo del proveedor establecido en Atributo nombre de usuario.  

Nota sobre la colocación predeterminada en ramas: Para el SSO en la plataforma raíz, los nuevos usuarios creados se colocarán en la rama raíz. Para el SSO con un cliente de Extended enterprise, los nuevos usuarios creados se colocarán en la rama asociada al cliente.

Añadir más campos aprovisionados: 

Además del Nombre de usuario, es posible que desee rellenar otros detalles de un usuario aprovisionado con la información recuperada del proveedor de identidad.

Esto se configura en la sección Agregar campos. Aquí, la lista desplegable Seleccionar campo muestra todos los campos y campos adicionales de usuarios que están configurados en la plataforma. 

• Desde esta lista, seleccione el campo deseado para que aparezca bajo el encabezado Campo de la plataforma. 
• A continuación, desde la lista desplegable junto al nuevo campo añadido, seleccione el valor correspondiente del proveedor de identidad que desee utilizar para ese campo. Aparecerá bajo el encabezado Reclamación OpenID connect. 

Repita los dos pasos anteriores para todos los campos que desee aprovisionar. Tenga en cuenta que cada campo de la plataforma y del proveedor de identidad puede utilizarse una sola vez. No puede combinar múltiples campos de la plataforma con la misma reclamación OIDC o viceversa. 

Consejo: Si en los Ajustes avanzados > Autorregistro ha marcado la opción Son necesarios el nombre y los apellidos para registrarse, asegúrese de incluir estos campos en la sección Agregar campos, para que puedan crearse los usuarios aprovisionados. 

Igualmente, si ha establecido algunos campos adicionales de usuarios como obligatorios en la plataforma, asegúrese de que estén asignados aquí para que puedan rellenarse, ya que de lo contrario no se podrá crear correctamente al usuario. Para más información, consulte el capítulo Tipos de campos adicionales compatibles para el aprovisionamiento.

Bloquear campos de usuarios aprovisionados:

Seleccione la casilla de verificación Bloquear campos de usuarios aprovisionados para evitar que los usuarios editen en Mi perfil ningún campo de usuario aprovisionado. Estos campos aparecerán en gris y se marcarán como deshabilitados, por lo que el usuario no podrá cambiar el valor obtenido del proveedor de identidad. 

→ Tenga en cuenta, no obstante, que un Superadministrador o Usuario avanzado aún podrá editar los valores de estos campos aprovisionados bloqueados en la Gestión de usuarios con la siguiente limitación: Solo pueden editarse los campos de información del usuario, mientras que los campos adicionales de usuarios, si están bloqueados, no puede editarlos nadie. 

Actualizar los campos aprovisionados:

Seleccione la casilla de verificación Si el usuario ya existe, actualice su información para actualizar automáticamente en la plataforma los valores de los campos aprovisionados que se hayan cambiado por parte del proveedor de identidad. Si no selecciona esta opción, tendrá que copiar manualmente todos los cambios para mantener alineados los campos aprovisionados.  

Consejo: Interacción entre campos bloqueados con múltiples proveedores de SSO
En las plataformas con más de un proveedor de SSO activo para el mismo dominio, puede encontrar un comportamiento de bloqueo de campos incoherente si los dos proveedores tienen el aprovisionamiento habilitado, pero diferentes ajustes para el bloqueo de campos aprovisionados (uno configurado como ON y otro como OFF). 

Por ejemplo:
- Es posible que se queden campos bloqueados incluso para el proveedor con el bloqueo en OFF.
- Al contrario, es posible que se desbloqueen campos para el proveedor con el bloqueo en ON. 

Por tanto, se recomienda evitar contar con múltiples proveedores de SSO activos en el mismo dominio, ya que pueden producirse interferencias aunque algunos proveedores no estén configurados por completo. 

→ Tenga en cuenta que este comportamiento se produce solo cuando hay múltiples proveedores de SSO activos en la misma plataforma raíz o en el mismo cliente/dominio de la empresa extendida. Sin embargo, los campos bloqueados de un dominio no tendrán efecto alguno sobre los demás dominios.

Haga clic en Guardar cambios para completar la configuración.

Tenga en cuenta que todos estos ajustes del aprovisionamiento aquí descritos se aplican solo a los usuarios que inician sesión a través de SSO (inicio de sesión único). Por ejemplo, los campos aprovisionados bloqueados no estarán desactivados para los usuarios que inicien sesión utilizando las credenciales de la plataforma. 

Tipos de campos adicionales compatibles para el aprovisionamiento

Los tipos de campos adicionales que sí se admiten para el aprovisionamiento de usuarios en esta integración son:

• Desplegable (usa el ID desplegable de la declaración de atributos)
• Campo de texto
• Código fiscal - País (usa el ID del país de la declaración de atributos)
• Campo de fecha (formato: AAAA-MM-DD)
• Campo Sí/No

Tipos de campos adicionales que no son compatibles:

• IFrame
• Campo de archivo
• Campo de texto libre

Notas sobre el aprovisionamiento de usuarios:

• Si desea rellenar el campo adicional de usuario del país mediante SSO, los valores aceptables serían el ID del país o el Nombre del país, según se indica en el artículo Lista de códigos ISO 3166-1 de países.
• El atributo de usuario Idioma no es compatible para el aprovisionamiento de usuarios.

Flujo de autenticación

Desde el 26 de octubre de 2021, Docebo tiene implementado un token de corta duración para proporcionar mayor seguridad:

Flujo de autenticación anterior

Antes del 26 de octubre de 2021, la plataforma Docebo enviaba una solicitud al proveedor de identidad (IdP) y recibía un token de acceso persistente.

Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL:

https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api

Flujo de autenticación con token de corta duración

El flujo de autenticación actualizado proporciona seguridad adicional al sustituir el token de corta duración de un solo uso proporcionado por el IdP por un token de acceso utilizado internamente:

Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL. El token de corta duración es un token de un solo uso con una vida útil de 30 segundos que se puede intercambiar por credenciales reales:

https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU

Docebo, utilizando llamadas POST de forma automática e internamente, lo intercambia por el token de acceso real. Esto aumenta la seguridad, pero no cambia el comportamiento general del SSO.