Presentación
OpenID Connect (se abre en una nueva pestaña) es una capa de identidad sencilla por encima del protocolo OAuth 2.0. Le permite verificar la identidad de los usuarios en función de la autenticación realizada por un servidor de autorización, así como obtener información de perfil básica sobre ellos de forma interoperable. Docebo admite el flujo del Código de Autorización de OpenID Connect, que es una de las secuencias disponibles para autenticación. Consulte la documentación técnica de OpenID Connect (el enlace se abre en una nueva pestaña) para obtener más información.
Al activar la aplicación OpenID Connect en su plataforma Docebo, los usuarios podrán iniciar sesión en sus plataformas Docebo utilizando las credenciales de sesiones activas de otras plataformas web. Cuando está activa la aplicación, los usuarios pueden pulsar el icono de OpenID Connect en la página de inicio de sesión de Docebo para conectarse a la plataforma con las credenciales de otras plataformas web, y también se les permite iniciar sesión en la plataforma Docebo desde el panel de control de OpenID Connect pulsando el icono de la plataforma Docebo. Si un usuario que solicita iniciar sesión aún no está en Docebo, será creado automáticamente en el primer inicio de sesión.
Este artículo le ofrece un proceso paso a paso para activar y configurar la aplicación. Recuerde que la integración con OpenID Connect está disponible para la aplicación Extended Enterprise de Docebo.
A tener en cuenta: Cuando utilice OpenID Connect puede integrar un único proveedor de identidad por dominio de la plataforma. Si necesita integrar otros proveedores de identidad para el mismo dominio, utilice otro protocolo.
La aplicación móvil Go.Learn admite la mayoría de los ejemplos de configuración de autenticación de OpenID Connect descritos en este artículo.
Buena práctica: Cuando se configuran al mismo tiempo una integración de SSO y un dominio personalizado, se recomienda encarecidamente configurar el dominio personalizado primero en la Gestión de dominios. Las URL de extremos necesarias para la integración de SSO dependen de la URL de la plataforma.
Activación de la aplicación OpenID Connect
Active la aplicación OpenID Connect como se describe en el artículo Gestión de aplicaciones y características de la Base de conocimientos. La aplicación aparece en la pestaña Single Sign On (Inicio de sesión único).
Una vez activada, puede empezar a configurarla. Consulte la sección siguiente para más información.
Configuración de la aplicación OpenID Connect
Para comenzar a configurar esta aplicación, inicie sesión en su plataforma como Superadministrador y acceda al Menú de administrador desde el icono de engranaje de la esquina superior derecha. A continuación, busque la sección OpenID Connect en el Menú de administrador y pulse el subelemento Gestionar. Se le redirigirá a la página de ajustes de OpenID Connect.
Las URL indicadas en la sección URL de la plataforma son generadas automáticamente por su plataforma y deben trasladarse a su proveedor de identidad para una configuración adecuada de la plataforma Docebo en sus plataformas:
- URL de inicio de sesión
-
Página de inicio de sesión de aplicaciones de terceros para la autenticación federada mediante OpenID Connect
- URL de desconexión
- URL de desconexión utilizada para cerrar la sesión actual del usuario en la aplicación de terceros
-
A tener en cuenta: Si desea utilizar el SSO OpenID Connect en su aplicación móvil Go.Learn o de marca propia, tendrá que añadir la URL
golearn://sso_logout
a la lista de URI de redireccionamiento de cierre de sesión (también llamadas URI de redireccionamiento de desconexión o URL de devoluciones de llamadas) en la página de configuración del proveedor de identidad. - URL de código
- URL de redireccionamiento de la aplicación de terceros para respuestas de código de OpenID Connect.
-
A tener en cuenta: Si desea utilizar el SSO OpenID Connect en su aplicación móvil Go.Learn o de marca propia, tendrá que añadir el parámetro
?device=mobile
al final de la URL de código al copiar y pegar la URL de código de Docebo en la página de configuración del proveedor de identidad.
La sección Cliente OpenID debe cumplimentarse con los datos del proveedor de identidad que esté integrando. Copie y pegue estos datos del proveedor en esta sección de su plataforma Docebo. Consulte la documentación técnica de su proveedor de identidad para más información sobre cómo obtener estos datos. Si su proveedor de identidad es OKTA, OneLogin, Salesforce, Microsoft Entra ID, Microsoft Azure AD B2C o Ping Identity, encontrará ejemplos de configuración en la lista al final de este artículo.
- Emisor
- La URL completa del servidor de autorización
- ID del cliente
- Identificador del cliente que solicita acceder al token
- Clave del cliente
- Esta clave del cliente se utiliza junto con el ID del cliente para autenticar la aplicación del cliente
- URL de metadatos
- Devuelve metadatos de OpenID Connect relacionados con el servidor de autorización especificado. La URL de metadatos proporciona todos los datos configurables en la segunda sección de la página de configuración de OpenID Connect.
Utilice la sección Tipo de autenticación para seleccionar si activar el tipo de autenticación Autenticación básica o Cadena de consulta dependiendo del proveedor de identidad que esté utilizando. El tipo Autenticación básica es la selección predeterminada porque es la más utilizada. Consulte la documentación de su proveedor de identidad para recuperar esta información.
Pulse Continuar para activar la segunda tanda de parámetros y continúe con la configuración. Las opciones que aparecerán serán rellenadas automáticamente por la URL de metadatos.
- Puede pulsar Restablecer en cualquier momento para iniciar la configuración desde cero. En este caso, después de completar la primera tanda de parámetros y pulsar Continuar, pulse también Guardar cambios al final para actualizar la página y localizar correctamente las opciones desde la URL de metadatos.
Atributo Nombre de usuario
En la sección Atributo Nombre de usuario, seleccione una de las opciones que proporciona automáticamente el proveedor de identidad. El atributo que seleccione será el nombre de usuario de sus usuarios en la plataforma Docebo. Al seleccionar, asegúrese de que el atributo seleccionado esté rellenado para todos sus usuarios en el proveedor de identidad. Tenga en cuenta que el atributo seleccionado debe ser un identificador único. Por ejemplo, si selecciona Apellido como atributo de nombre de usuario, debe asegurarse de que ninguno de sus usuarios tenga el mismo apellido. Sugerimos seleccionar Correo electrónico como atributo Nombre de usuario.
Recuerde también que, si ha seleccionado la opción Son necesarios el nombre y los apellidos para registrarse en la pestaña Autorregistro de la sección Ajustes avanzados del Menú de administrador de Docebo, el proveedor de identidad debe proporcionar el nombre y apellidos de los usuarios para un registro adecuado en la plataforma.
Alcance
Los elementos de la lista Alcance también se rellenan automáticamente y dependen del extremo. Esta es una lista de la información de perfil disponible recuperada por la URL de metadatos introducida en la sección Cliente OpenID. Seleccione los datos de usuario que desee recuperar del proveedor de identidad vía Token de ID marcando las casillas de verificación correspondientes. Tenga en cuenta que el correo electrónico y el perfil son alcances obligatorios y deben marcarse siempre.
Las opciones seleccionadas en esta sección identifican los datos que rellenarán el perfil de usuario cuando se cree el usuario en la plataforma en el primer inicio de sesión. Si el Token de ID incluye asignaciones de campos adicionales, grupos o ramas a Docebo, esta información se tendrá en cuenta y se rellenará en la plataforma Docebo.
Método de intercambio de tokens
Utilice este ajuste para definir cómo envía el sistema la solicitud de datos JWT al proveedor de identidad. De forma predeterminada, Docebo envía solicitudes a través de la URL utilizando parámetros GET
. Cuando se utiliza la opción POST
, Docebo envía solicitudes a través de la URL utilizando parámetros POST
y añadiéndolos al BODY
de la llamada.
La opción GET
es más sencilla y envía los datos a través de la URL, mientras que la opción POST
es más compleja pero utiliza un método de cifrado más eficaz.
A tener en cuenta: Esta opción está ajustada a GET
de forma predeterminada. Cuando utilice este ajuste, asegúrese de haber configurado correctamente su proveedor de identidad de acuerdo con la opción seleccionada.
Tanto las solicitudes GET
como las POST
envían los siguientes datos para el tipo de autenticación Código de autorización:
- Código
- El valor Código intercambiado por el estándar OpenID cuando se utiliza el tipo de autenticación código de autorización
- URI de redireccionamiento
- La URI donde Docebo envía el JTW.
Cuando se utiliza el tipo de autenticación autenticación básica, también se envían los siguientes datos:
- ID del cliente
- Clave del cliente
Validación del parámetro de estado
Se recomienda ajustar la opción a Forzar y validar el parámetro de estado, ya que esto aumenta la seguridad. Deseleccione esta opción solo si su proveedor de identidad no está configurado para enviar o validar el parámetro de estado.
Rotación de certificados
Cuando está habilitada la opción Rotación de certificados, la plataforma Docebo recupera la clave válida en el momento de la solicitud desde una URL definida por el estándar OpenID Connect. El proveedor de identidad habilita automáticamente la opción de actualizar la certificación de forma autónoma. Esto forma parte de la relación estándar y está marcado automáticamente o no.
Si el proveedor de identidad no admite la rotación de certificados, pero está habilitada esta opción, se mostrará un mensaje de error.
Comportamiento de SSO
El Comportamiento de SSO se puede configurar de dos maneras diferentes. Defina si desea mostrar la página estándar de inicio de sesión de la plataforma Docebo o redireccionar automáticamente a los usuarios al panel del proveedor de identidad. Cuando marque la primera opción, defina si desea mostrar el botón de SSO en la página de inicio de sesión de su plataforma.
Cuando seleccione la opción Redirección automática al proveedor de identidad, puede establecer una página de destino de desconexión específica cuando sus usuarios cierren sesión en la plataforma en lugar de mantener la página estándar de desconexión. Utilice el cuadro de texto para escribir la URL de la página de destino de desconexión.
Comportamiento de desconexión
La sección Comportamiento de desconexión le permite configurar si los usuarios serán desconectados automáticamente del proveedor de identidad cuando cierren sesión desde la plataforma Docebo. Como opción adicional, puede seleccionar un extremo de desconexión de terceros personalizado, capaz de recibir el mensaje de desconexión vía GET
para completar el cierre de sesión único; esta opción es compatible con algunos proveedores de identidad.
En esta sección también puede activar la opción de no enviar el id_token_hint
. Tenga en cuenta que Docebo no recomienda utilizar esta opción.
Aprovisionamiento de usuarios
Esta sección le permite crear instantáneamente un usuario que esté presente en su proveedor de identidad pero todavía no en la base de datos. Comience marcando la opción Habilitar. También puede marcar la opción de bloquear campos de usuarios aprovisionados, lo que significa que los usuarios no pueden editar detalles de su perfil de usuario creado a través de OpenID Connect. Al editar el perfil de usuario, las opciones aparecerán en gris.
Si existen usuarios en ambas bases de datos, le sugerimos que marque la opción de actualizar la información si el usuario ya existe. Tenga en cuenta que, cuando no estén marcadas estas opciones, tendrá que registrar (opción habilitar) o actualizar sus usuarios (actualizar información) manualmente en la plataforma Docebo.
Tenga en cuenta que OpenID Connect rellena automáticamente los campos adicionales del proveedor de identidad, así que recuerde seleccionarlos uno por uno en el menú desplegable Agregar campos y asociarlos a los campos adicionales del usuario de Docebo en la sección que se muestra para cada campo adicional después de la selección. Recuerde que, si establece como obligatorio algún campo adicional de usuario en su plataforma Docebo, debe asignarse en esta sección para que se rellene en su plataforma. Si no se rellenan los campos adicionales obligatorios, no se creará el usuario.
Haga clic en Guardar cambios para completar la configuración.
Los tipos de campos adicionales que sí se admiten para el aprovisionamiento de usuarios en esta integración son:
- Desplegable (usa el ID desplegable de la declaración de atributos)
- Campo de texto
- Código fiscal - País (usa el ID del país de la declaración de atributos)
- Campo de fecha (formato: AAAA-MM-DD)
- Campo Sí/No
Tipos de campos adicionales que no son compatibles:
- IFrame
- Campo de archivo
- Campo de texto libre
Notas sobre el aprovisionamiento de usuarios:
- Si desea rellenar el campo adicional de usuario del país mediante SSO, los valores aceptables serían el ID del país o el Nombre del país, según se indica en el artículo Lista de códigos ISO 3166-1 de países.
- El atributo de usuario Idioma no es compatible para el aprovisionamiento de usuarios.
Ejemplos de configuración
Esta sección le proporciona ejemplos sobre cómo configurar e integrar algunos de los proveedores de identidad más populares. Si su proveedor no aparece aquí, consulte la documentación anterior.
- Ejemplo de configuración Okta
- Ejemplo de configuración OneLogin
- Ejemplo de configuración Salesforce
- Ejemplo de configuración Microsoft Entra ID
- Ejemplo de configuración Microsoft Azure AD B2C
- Ejemplo de configuración Ping Identity
Okta
Al configurar Okta con OpenID Connect, no es necesario que la aplicación Okta esté activada en su plataforma. Comience conectándose al sitio web de Okta como Administrador, haga clic en Admin en la esquina superior derecha y vaya después a la pestaña Applications y haga clic en Add Application para crear la aplicación Docebo en Okta, registrándola como proveedor de servicios. Haga clic en Create New App.
En el cuadro emergente, seleccione Web como Platform Type y OpenID Connect como Sign On Method. Pulse Create para continuar. Escriba el Application Name (puede ser Docebo o como se haya renombrado la aplicación para su empresa) y añada un logotipo para identificar la aplicación en el panel de OpenID Connect. Cargar un logotipo es opcional, pero puede ser muy útil para identificar rápidamente la plataforma Docebo en el panel de control de OpenID Connect.
Abra la página de configuración de OpenID Connect en Docebo (Menú de administrador → OpenID Connect → Gestionar) y copie los valores que se muestran en la sección URL de la plataforma en los campos correspondientes de la sección Configure OpenID Connect de la página Create OpenID Connect Integration en Okta. En la sección Login redirect URIs, copie y pegue los valores Login URL y Code URL de Docebo, por este orden. Pulse el botón Add URI para insertar una fila nueva. Copie y pegue el valor Logout URL de Docebo en la sección Logout redirect URIs de OKTA. Pulse el botón Add URI para insertar una fila nueva. Pulse Save para continuar.
Recupere ahora la información de OpenID Connect de la sección Configure OpenID Connect de la página Create OpenID Connect Integration de Okta y péguela en la sección Cliente OpenID de la página de configuración de OpenID Connect en Docebo. Vaya a la pestaña General, copie los valores Client ID y Client Secret y cópielos en los campos correspondientes en Docebo. Recupere el código Client Issuer de su URL de instalación de OKTA: copie la URL desde https
hasta el final del nombre de dominio (es decir, https://{yourdomainname}.oktapreview.com/
) y péguela en el campo Issuer.
Para finalizar, componga el valor Metadata URL de la siguiente manera:
{{url}}/.well-known/openid-configuration?client_id={{clientId}}
donde si:
{{url}}
Es el código del emisor (incluido el protocolo https o http), eliminar {{ }}
{{clientId}}
Es el valor Identificador de cliente, eliminar {{ }}
Copie la URL resultante y péguela como valor URL de metadatos en Docebo.
En el sitio web de Okta, defina los usuarios que tienen permitido usar la aplicación. Desplácese a la pestaña Assignments y añada los usuarios, sea uno por uno o con una acción masiva. Haga clic en Assign y seleccione Assign to People o Assign to Groups según sus necesidades. Seleccione los usuarios y/o grupos creados previamente en Okta y haga clic en Assign y Done para completar la acción.
Se ha completado la configuración de Docebo en Okta. Vuelva a Docebo, establezca el valor Tipo de autenticación en Autenticación básica y haga clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finalice la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.
OneLogin
Al configurar OneLogin con OpenID Connect, no es necesario que la aplicación OneLogin esté activada en su plataforma. Inicie la configuración desde el proveedor de identidad. Inicie sesión en OneLogin (el enlace se abre en una nueva pestaña), haga clic en Administration en la barra superior de la página, seleccione la pestaña Apps y haga clic en Custom Connectors.
Cree un conector personalizado para registrar Docebo como proveedor de servicios. Haga clic en New Connector en la esquina superior derecha. Introduzca el nombre de su aplicación Docebo (es decir, yourtrial.docebosaas.com
) y pulse Thick para confirmar. Verá la página Basic Configuration. Añada un icono para identificar la aplicación en el panel de control de OpenID Connect. Cargar el icono es opcional, pero puede ser muy útil para identificar rápidamente la plataforma Docebo en el panel de control de OpenID Connect. En la sección Sign On Method, seleccione OpenID Connect.
Abra la página de configuración de OpenID Connect en Docebo (Menú de administrador → OpenID Connect → Gestionar) y copie los valores que se muestran en la sección URL de la plataforma en los campos correspondientes de OneLogin como se describe a continuación. En la sección de OneLogin OpenID Connect, pegue la URL de código de Docebo en el campo Redirect URI. Vaya a la sección Login URL y pegue la URL de inicio de sesión en el campo Login URL. Pulse Save para continuar.
A tener en cuenta: OpenID Connect habilita el SSO iniciado por el proveedor de servicios (SP-initiated), pero no el SSO iniciado por el proveedor de identidad (IdP-initiated). Cuando indica una URL de inicio de sesión, OneLogin imita una experiencia de SSO iniciado por el proveedor de identidad: el usuario es llevado a la página de inicio de sesión de la aplicación, donde comienza el flujo de autenticación SP-initiated. Consulte la base de conocimientos de OneLogin (se abre en una nueva pestaña) para más información. Al configurar la integración con Docebo, escriba la URL pura de la plataforma (https://[platformname].docebosaas.com
) en el campo Login URL en OneLogin y ajuste el Comportamiento de SSO a Redirección automática en la página de configuración de Docebo OpenID Connect.
Vaya a la pestaña Apps, seleccione Add Apps y busque OpenID Connect en la barra de búsqueda. Seleccione OpenId Connect (OIDC) entre los resultados de búsqueda que aparecen en la página Find Application. Confirme o seleccione su plan de suscripción y pulse Continue. Introduzca el nombre y la descripción de la aplicación. En la pestaña Configuration, copie y pegue la Login URL de Docebo en los campos Login URL y el Code URL y el Logout URL en la sección Redirect URIs, como líneas separadas. Pulse Save para continuar.
Recupere la información de OpenID Connect desde OneLogin. El código Issuer proviene de la URL del sitio web de OneLogin: copie el enlace desde HTTPS hasta la última letra antes de la primera barra diagonal única (sin copiar la barra). Pase ahora a la pestaña SSO.
Copie el Client ID y el Client Secret y péguelos en los campos correspondientes de la sección Cliente OpenID de la página de configuración de OpenID Connect en Docebo (Menú de administrador → OpenID Connect → Gestionar).
Para finalizar, componga el valor Metadata URL de la siguiente manera:
{{url}}/oidc/.well-known/openid-configuration
Donde url
sea la URL del proveedor de identidad, quitar {{ }}
Defina ahora los usuarios a los que se les permite usar la aplicación. Vaya a la pestaña Users e introduzca las cuentas de usuario que podrán conectarse con este proveedor de identidad.
Se ha completado la configuración de Docebo en OneLogin. Vuelva a Docebo, establezca el valor Tipo de autenticación en Autenticación básica y haga clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finalice la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.
Salesforce
Al configurar Salesforce con OpenID Connect, no es necesario que la aplicación Salesforce esté activada en su plataforma. Inicie la configuración desde el proveedor de identidad. Inicie sesión en Salesforce (el enlace se abre en una nueva pestaña) y haga clic en Setup en la barra superior de la página. En el menú del lado izquierdo, acceda a la sección Build, seleccione Create y, por último, Apps.
Desde la página Apps, vaya a la sección Connected Apps y haga clic en New para añadir Docebo como nueva aplicación.
En la página New Connected App que se abrirá, escriba el Connected App Name y una dirección de correo electrónico de contacto en las secciones correspondientes. Vaya ahora a la sección API (Enable OAuth Settings) y marque la opción Enable OAuth Settings. Cuando se seleccione esta opción se mostrarán varias opciones de configuración debajo.
Abra la página de configuración de OpenID Connect en Docebo (Menú de administrador → OpenID Connect → Gestionar) y copie los valores que se muestran en la sección URL de la plataforma en los campos correspondientes de esta página. En la URL Callback, pegue los valores Login URL y Code URL en dos líneas separadas, sin caracteres de separación.
Defina ahora el Selected OAuth Scope añadiendo Allow access to your unique identifier y Access your basic information (id, profile, email, address, phone) en el cuadro Selected OAuth Scope. Marque la opción Configure ID Token y seleccione Include standard claim en las opciones que se muestran debajo. Si es necesario, habilite la opción Enable Single Logout y copie y pegue la Logout URL de Docebo.
Pulse Save para completar la configuración. Tenga en cuenta que, una vez que haya guardado, su aplicación puede tardar hasta diez minutos en crearse. Cuando finalice el procedimiento de creación, se le redirigirá a la página de la aplicación que acaba de crear.
Recupere ahora la información de OpenID Connect para Docebo. El código Issuer proviene de la URL del sitio web; copie el enlace desde HTTPS hasta la última letra antes de la barra diagonal única. Copie los valores Consumer Key y Consumer Secret (haga clic en Click to Reveal para ver el código sin cifrar) y péguelos en el ID del cliente y la Clave del cliente en la sección Cliente OpenID de la página de configuración de OpenID Connect en Docebo (Menú → OpenID Connect → Gestionar).
Para finalizar, componga el valor Metadata URL de la siguiente manera:
{{url}}/.well-known/openid-configuration
Donde url
sea la URL del proveedor de identidad, quitar {{ }}
Se ha completado la configuración de Docebo en Salesforce. Vuelva a Docebo, establezca el valor Tipo de autenticación en Cadena de consulta y haga clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finalice la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo.
Cuando los usuarios inicien sesión en la plataforma por primera vez utilizando Salesforce, se les pedirá que confirmen que Docebo puede acceder a sus datos antes de continuar. Tenga en cuenta que, si los usuarios no permiten que Docebo acceda a sus datos, no podrán iniciar sesión.
Microsoft Entra ID (antiguo Microsoft Azure Active Directory)
Inicie la configuración desde el proveedor de identidad (si tiene previsto utilizar la integración con un dominio personalizado, asegúrese de que su certificación SSL sea válida).
Inicie sesión en el centro de administración de Microsoft Entra (se abre en una nueva pestaña) como administrador.
Registre la aplicación:
- Vaya a Identity > Applications > App registrations y seleccione New registration.
- Introduzca el nombre (Name) que se mostrará para su aplicación y los tipos de cuentas compatibles.
- Haga clic en Register para completar el registro inicial de la aplicación.
ID del cliente:
Cuando finalice el registro, el panel Overview mostrará los detalles de su aplicación recién registrada. Copie el application (client) ID y cópielo en el campo ID del cliente de la página de configuración de Open ID connect de Docebo.
URI de redireccionamiento:
Ahora, en el panel de navegación a la izquierda, en la sección Manage, seleccione Authentication. A continuación, en Platform configurations, seleccione Add a platform y, debajo de Configure platforms, seleccione el cuadro Web.
- Al expandirse el cuadro Web, bajo la sección Redirect URIs, añada la Login URL y la Code URL copiando las dos desde la página de configuración de Open ID connect de Docebo.
- En Implicit grant and hybrid flows, seleccione los tipos de tokens que desea que le emita el extremo de autorización (ID tokens, Access tokens o ambos).
- Tenga en cuenta que debe seleccionar Access tokens si establece la opción Recuperar reclamaciones a través del extremo Información del usuario en la página de configuración de Open ID connect de Docebo.
Clave del cliente:
- En el panel de navegación a la izquierda, en la sección Manage, seleccione Certificates & Secrets.
- Seleccione la pestaña Client secrets y haga clic en New client secret.
- Añada una descripción para su clave de cliente y determine su fecha de vencimiento. A continuación, haga clic en Add.
Copie el valor de la clave y guárdelo en un lugar seguro. Este valor de clave no vuelve a mostrarse después de salir de esta página.
- Pegue el Valor de la clave en el campo Clave del cliente de la página de configuración de Open ID connect de Docebo.
Metadatos y Emisor:
Vuelva al panel Overview de la aplicación y, desde este, en el área de navegación superior, seleccione Endpoints.
- Copie el OpenID Connect metadata document URI y péguelo en el campo URL de metadatos de la página de configuración de Open ID connect de Docebo.
- A continuación, pegue el mismo OpenID Connect metadata document URI en la barra de dirección del navegador y navegue a la página, que es un archivo JSON.
- Busque en la página JSON el string issuer y anote la URL del emisor, que debería ser similar a esta:
https://login.microsoftonline.com/{tenantid}/v2.0
. - Copie esta URL del emisor y péguela en el campo Emisor de la página de configuración de Open ID connect de Docebo.
Comprobación de los campos de configuración de Open ID connect en la plataforma Docebo
Llegado a este punto de la configuración, debe haber rellenado todos los campos de la sección Cliente OpenID de la página de configuración de Open ID connect de Docebo: Emisor, ID del cliente, Clave del cliente y URL de metadatos.
Últimos pasos:
Para completar la configuración de la comunicación entre Docebo y Microsoft Entra ID:
- Configure el valor Tipo de autenticación según lo requiera su proveedor de identidad. Consulte la primera parte de este artículo para más información.
- Haga clic en Continuar para continuar y activar los parámetros de la segunda parte de la configuración.
- Complete la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo. Cuando haya terminado, haga clic en Guardar cambios.
Cuando un usuario inicia sesión en Docebo a través de Microsoft Entra ID por primera vez después de la configuración, aparecerá un mensaje emergente pidiendo al usuario que conceda los permisos necesarios a la aplicación Docebo.
- El usuario deberá pulsar Aceptar para continuar. Tenga en cuenta que, sin este permiso de acceso, la integración no funcionará.
Microsoft Azure AD B2C
A tener en cuenta: La aplicación móvil go.Learn es incompatible con Microsoft Azure AD B2C cuando, en el momento de registrar una nueva aplicación, selecciona una de las siguientes de la lista de Tipos de cuentas compatibles:
- Cuentas en algún directorio organizativo (cualquier directorio Azure AD - Multitenant) y cuentas personales de Microsoft (ej. Skype, Xbox)
- Solo cuentas personales de Microsoft
Inicie la configuración desde el proveedor de identidad (si tiene previsto utilizar la integración con un dominio personalizado, asegúrese de que su certificación SSL sea válida). Conéctese al sitio web de Microsoft Azure Active Directory como Administrador. En la barra de búsqueda del área superior de la página All Services, busque Azure AD B2C y selecciónelo en los resultados de búsqueda. Para más información sobre la conexión al sitio web B2C de Azure, lea la notificación en el sitio web de Microsoft (se abre en una nueva pestaña).
Una vez en la página Azure AD B2C, seleccione App registrations en el menú Manage. A continuación, en la página App registrations, pulse el botón New registration.
Después, pulse la pestaña Authentication en el menú Manage y pulse el botón Add a platform. En la siguiente pantalla, Configure platforms, pulse el botón Web de la sección Web applications.
A continuación, en otra ventana del navegador, abra su plataforma de Docebo y navegue al Menú de administrador, localice la sección OpenID Connect y pulse Gestionar. En la ventana resultante, localice la sección URL de la plataforma y copie el valor URL de código en su portapapeles.
Vuelva a la pestaña del navegador de Azure AD B2C y, en la pestaña Configure Web, pegue la URL en el primer cuadro de texto, con la etiqueta Enter the redirect URI of the application. Después, vuelva a la pestaña de la plataforma de Docebo y copie la URL de desconexión en su portapapeles. Al volver a la pestaña del navegador de Azure AD B2C, pegue la URL en el cuadro de texto Front-channel logout URL.
Acceda ahora a la entrada Certificates & secrets del menú Manage y, en la pestaña Client Secrets, pulse el botón New client secret. A continuación, en la ventana Add a client secret, introduzca una descripción de la clave del cliente, seleccione una duración de vencimiento recomendada (Recommended expiration duration) de 180 días
y pulse el botón Add.
Al volver a la pestaña Client secrets, podrá ver su nuevo valor de clave del cliente en la lista. Pulse el icono Copy to Clipboard junto al valor client secret y regrese a continuación a la pestaña de la Plataforma de Docebo. En ella, navegue al Menú de administrador y acceda al elemento Ajustes avanzados, en el menú Configuración.
En el menú Ajustes avanzados, acceda al elemento del menú Ajustes de OpenID Connect y, en la sección Cliente OpenID, pegue los contenidos de su portapapeles en el campo Clave del cliente.
Como siguiente paso, para localizar el valor que pegar en el campo Emisor de la sección Cliente OpenID, vuelva a la pestaña Azure AD B2C de su navegador y acceda al área Overview situada encima del menú Manage. Copie y pegue el Tenant ID mostrado en esta página en un editor de texto, como Notepad, ya que lo necesitará más adelante. A continuación, pulse el botón Endpoints y, en la ventana resultante, pulse el botón Copy to Clipboard del campo OpenID Connect Metadata Document.
Pegue también esta URL en su editor de texto para utilizarla más adelante.
A continuación, abra una nueva pestaña en su navegador y pegue la URL en la barra de dirección. Busque el string issuer en la página y anote la URL, que debería ser parecida a esta:
https://login.microsoftonline.com/{tenantid}/v2.0
Sustituyendo {tenantid}
por su ID de inquilino obtendrá la URL que necesita pegar en el valor Issuer de la sección OpenID Connect Client.
Para encontrar la Metadata URL, vuelva a su editor de texto y, en la URL que pegó en él, sustituya la palabra organizations
por su ID de inquilino. Ahora puede pegar esta URL actualizada en el campo Metadata URL de la sección OpenID Connect Client.
https://login.microsoftonline.com/organizations/v2.0/.well-known/openid-configuration
La configuración de la comunicación entre Docebo y Microsoft Azure AD B2C está completa. Ajuste el valor Tipo de autenticación a Cadena de consulta y haga clic en Continuar para proceder y activar los parámetros de la segunda parte de la configuración. Finalice la configuración siguiendo las instrucciones proporcionadas en la primera parte de este artículo. Cuando un usuario inicie sesión en Docebo a través de Microsoft Azure AD B2C por primera vez después de la configuración, aparecerá un mensaje emergente que le pedirá que confirme que permite que la aplicación Docebo acceda a los datos almacenados en Microsoft Azure Active Directory y que vea su perfil básico. Pulse Aceptar para continuar. Tenga en cuenta que, si no da su permiso, la integración no funcionará.
Ping Identity
Al configurar Ping Identity con OpenID Connect, no hay ninguna aplicación Ping Identity que deba activarse en su plataforma. Inicie la configuración desde el proveedor de identidad.
Inicie sesión en Ping Identity con su cuenta de administrador y, en la pestaña Applications en Connections, elija Add Application haciendo clic en el icono más.
A continuación se le presentará una selección del tipo de aplicación, pulse el botón Web App seguido del botón Configure en la ventana emergente resultante.
A continuación, asigne a la aplicación el nombre que desee, añada un icono (si lo desea) y pulse el botón Next.
Después, tendrá que buscar las URL adecuadas para usar dentro de la plataforma. Abra una nueva pestaña y, en el LMS Docebo, haga clic en el icono de engranaje, busque OpenID Connect y haga clic en Gestionar. Las tres URL principales son lo que va a necesitar para el siguiente paso en Ping Identity.
Pegue las tres URL en el cuadro Redirect URLs y pulse el botón Save and Continue.
A continuación se le presentará una lista de alcances disponibles para usar con su configuración. Para minimizar la cantidad de datos innecesarios que se intercambian entre los sistemas y por motivos de seguridad, elija solo los alcances OpenID que sean necesarios para la plataforma y pulse el botón Save and Continue.
En la siguiente pantalla puede personalizar la Attribute Mapping para que se adapten a sus necesidades, si es necesario. No es necesario cambiar los ajustes predeterminados para que Ping Identity funcione correctamente. Pulse el botón Save and Close para continuar.
En la siguiente pantalla, pulse el botón de lápiz a la derecha de la configuración mostrada para editar su configuración recién creada. Busque el cuadro Redirect URIs y copie/pegue la URL que termina en "logout" en el cuadro Signoff URLs inferior. A continuación, pulse el botón Save.
Ahora se le mostrará una lista de direcciones URL que deben copiarse en la pantalla Gestionar de OpenID Connect de la plataforma Docebo. Los campos necesarios dentro de la plataforma corresponden a la misma información dada en Ping Identity, excepto la URL de metadatos, que es la URL denominada OIDC Discovery Endpoint en Ping Identity. Después, haga clic en el botón Continuar.
A continuación, en la sección Alcance, seleccione todas las entradas necesarias correspondientes a los alcances que haya definido en Ping Identity. En Método de intercambio de token, elija POST y, en Comportamiento de SSO, marque la casilla junto al botón Mostrar SSO en la página de inicio de sesión. A continuación, vaya a la sección Aprovisionamiento de usuarios y marque Habilitar y Si el usuario ya existe, actualice su información.
Pulse el botón Guardar cambios en OpenID Connect y ahora podrá iniciar sesión en su plataforma utilizando Ping Identity.
Flujo de autenticación
Desde el 26 de octubre de 2021, Docebo tiene implementado un token de corta duración para proporcionar mayor seguridad:
Flujo de autenticación anterior
Antes del 26 de octubre de 2021, la plataforma Docebo enviaba una solicitud al proveedor de identidad (IdP) y recibía un token de acceso persistente.
Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL:
https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api
Flujo de autenticación con token de corta duración
El flujo de autenticación actualizado proporciona seguridad adicional al sustituir el token de corta duración de un solo uso proporcionado por el IdP por un token de acceso utilizado internamente:
Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL. El token de corta duración es un token de un solo uso con una vida útil de 30 segundos que se puede intercambiar por credenciales reales:
https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU
Docebo, utilizando llamadas POST de forma automática e internamente, lo intercambia por el token de acceso real. Esto aumenta la seguridad, pero no cambia el comportamiento general del SSO.