Presentación
Al activar la aplicación SAML en Docebo, los usuarios pueden iniciar sesión en su plataforma de aprendizaje utilizando credenciales de sesiones activas de otras plataformas web. Docebo ofrece dos tipos de procedimientos de configuración para la integración SAML; se denominan Configuración Smart y Configuración Standard. Este artículo revisará las diferencias entre ellos para que pueda entender cuál le conviene más.
¿Desea saber más acerca de los primeros pasos con el inicio de sesión único de SAML? ¡Eche un vistazo al curso al respecto, SAML Single SignOn (se abre en una nueva pestaña) en Docebo U!
Configuración Smart frente a configuración Standard
Al configurar la integración entre Docebo y SAML puede seleccionar el procedimiento Configuración Smart o Configuración Standard.
Buena práctica: Cuando se deban configurar a la vez una integración SSO y un dominio personalizado que se haya configurado en la Gestión de dominios, se recomienda encarecidamente configurar primero el dominio personalizado. Las URL de extremos necesarias para la integración SSO dependen de la URL de la plataforma.
Si configuró la integración con SAML antes del 25 de febrero de 2020, habrá realizado el procedimiento Configuración Standard, mientras que el procedimiento Configuración Smart es la opción predeterminada para quienes la configuraran después de esa fecha.
Independientemente del tipo de configuración seleccionado actualmente en su plataforma, y de si ya ha configurado la integración, puede volver a hacerlo en cualquier momento.
A tener en cuenta: Si vuelve a configurar la integración, se perderán todos sus ajustes y tendrá que iniciar la configuración desde cero.
Aquí tiene una comparativa de los dos tipos de integraciones:
|
Configuración Smart |
Configuración Standard |
|
|
Procedimiento guiado |
Configuración guiada para los principales proveedores de identidad, fácil de usar incluso sin una formación técnica sólida. |
Seguimiento del protocolo SAML estándar para escenarios de SSO avanzados. Sin guiar, pero más flexible, requiere experiencia técnica. |
|
Validación del certificado x509 |
Validación automática del certificado x509 para los principales proveedores de identidad al cargar el certificado. |
Sin validación automática del certificado x509 al cargar el certificado. La integración garantiza la operatividad estándar basándose en las especificaciones de seguridad. El usuario que configura la integración es responsable de validar el certificado. |
|
Validación del certificado PEM/CERT |
Validación automática del certificado PEM/CERT para los principales proveedores de identidad al cargar el certificado. |
Sin validación automática del certificado PEM/CERT al cargar el certificado. La integración garantiza la operatividad estándar basándose en las especificaciones de seguridad. El usuario que configura la integración es responsable de validar el certificado. |
|
Notificación de caducidad del certificado |
La plataforma envía automáticamente una notificación antes de que caduquen los certificados x509 y PEM/CERT, como recordatorios automáticos de la renovación. Las notificaciones tienen un formato estándar no editable y se envían 30, 15, 5 y un día antes de que caduque el certificado. Si en su plataforma está activa la aplicación Extended Enterprise, las notificaciones se envían tanto al dominio principal como a todos los subdominios. |
No se envía ninguna notificación como recordatorio de la renovación. El proceso de renovación debe ser ejecutado manualmente por la persona a cargo de la integración. |
Más información
Para obtener instrucciones para la configuración, consulte el artículo Docebo for SAML- Smart and Standard configuration.
Flujo de autenticación
Desde el 26 de octubre de 2021, Docebo ha implementado un token de corta duración para proporcionar mayor seguridad:
Flujo de autenticación anterior
Antes del 26 de octubre de 2021, la plataforma Docebo enviaba una solicitud al proveedor de identidad (IdP) y recibía un token de acceso persistente.
Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL:
https://mylms.docebosaas.com/learn/home;type=oauth2_response;reenter_cc=0;access_token=9b8de7ed2af145dee78aa4282bf1d3b17baf02cd;expires_in=3600;token_type=Bearer;scope=api
Flujo de autenticación con token de corta duración
El flujo de autenticación actualizado proporciona seguridad adicional al sustituir el token de corta duración de un solo uso proporcionado por el proveedor de identidad por un token de acceso utilizado internamente:
Cada SSO (inicio de sesión único) tiene un proceso ligeramente diferente, pero todos devuelven un enlace a Docebo con el token de acceso en la URL. El token de corta duración es un token de un solo uso con una vida útil de 30 segundos que se puede intercambiar por credenciales reales:
https://mylms.docebosaas.com/learn/signin;type=token_exchange;exchange_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSU
Docebo, utilizando llamadas POST de forma automática e interna, lo intercambia por el token de acceso real. Esto aumenta la seguridad, pero no cambia el comportamiento general del SSO.