Configurando SSO
Habilita Single Sign-On (SSO) para permitir que los usuarios se autentiquen con el Identity Provider de tu organización.
Prerrequisitos
- Acceso administrativo a Console
- Acceso a la configuración de tu Identity Provider (IdP)
- Detalles del IdP (Client ID, Secret, o metadata SAML)
Eligiendo un Protocolo
| Protocolo | Mejor Para | Proveedores Comunes |
|---|---|---|
| OIDC | Aplicaciones modernas | Okta, Auth0, Azure AD, Google |
| SAML 2.0 | Sistemas heredados | Active Directory, Shibboleth |
Configurando OIDC
Paso 1: Obtener Detalles del IdP
De tu Identity Provider, recopila:
- Issuer URL (ej:
https://tu-dominio.okta.com) - Client ID
- Client Secret
- Redirect URI:
https://console.solucao42.com.br/auth/callback
Paso 2: Configurar en Console
- Ve a Configuración → Single Sign-On
- Selecciona OIDC como protocolo
- Completa los detalles:
- Issuer URL
- Client ID
- Client Secret
- Mapea atributos de usuario:
- Email →
email - Nombre →
name
- Email →
- Haz clic en Guardar
Paso 3: Probar la Configuración
- Haz clic en Probar SSO
- Serás redirigido a tu IdP
- Inicia sesión con credenciales de prueba
- Verifica que seas redirigido de vuelta a Console
- Comprueba que los detalles del usuario sean correctos
Paso 4: Habilitar para la Organización
- Habilita SSO Habilitado
- (Opcional) Habilita Requerir SSO para deshabilitar otros métodos de inicio de sesión
- Haz clic en Guardar Cambios
Configurando SAML
Paso 1: Obtener Metadata SAML
De tu IdP:
- Descarga archivo XML de metadata SAML
- O anota la URL de metadata
Paso 2: Configurar en Console
- Ve a Configuración → Single Sign-On
- Selecciona SAML 2.0 como protocolo
- Elige método de carga:
- URL de Metadata: Ingresa la URL
- Subir XML: Sube archivo de metadata
- Console parseará el metadata automáticamente
Paso 3: Configurar Tu IdP
Proporciona estos valores a tu admin de IdP:
- Entity ID:
https://console.solucao42.com.br - ACS URL:
https://console.solucao42.com.br/auth/saml/callback - Name ID Format: Dirección de correo electrónico
Paso 4: Mapear Atributos
Mapea atributos SAML a campos de Console:
- Email →
emailonameID - Nombre →
displayNameoname - Grupos (opcional) →
groups
Paso 5: Probar y Habilitar
- Haz clic en Probar SAML
- Verifica que la autenticación funcione
- Habilita SSO para tu organización
Aprovisionamiento Just-In-Time (JIT)
Crea usuarios automáticamente en el primer inicio de sesión SSO:
- Ve a Configuración → Single Sign-On
- Habilita Aprovisionamiento JIT
- Establece grupos por defecto para nuevos usuarios
- Guarda cambios
Beneficios:
- No es necesario pre-invitar usuarios
- Usuarios creados automáticamente en el primer inicio de sesión
- Asignados a grupos por defecto automáticamente
Aplicación de SSO
Requiere que todos los usuarios usen SSO:
- Configura y prueba SSO primero
- Habilita Requerir SSO para todos los usuarios
- Otros métodos de inicio de sesión son deshabilitados
- Los usuarios deben autenticarse vía IdP
aviso
Prueba SSO exhaustivamente antes de aplicarlo para evitar bloquear usuarios.
Solución de Problemas
Problemas Comunes
Error "Emisor inválido":
- Verifica que el Issuer URL sea correcto
- Comprueba barras diagonales finales
"Desajuste de URI de redirección":
- Asegúrate de que el redirect URI en IdP coincida exactamente
- Verifica http vs https
"Falló mapeo de atributos":
- Verifica que IdP envíe atributos requeridos (email)
- Comprueba que nombres de atributos coincidan con la configuración
Usuarios no pueden iniciar sesión después de habilitar SSO:
- Verifica que SSO funcione vía botón de prueba
- Comprueba que el usuario exista en IdP
- Revisa logs de auditoría de Console
Próximos Pasos
- Habilitando 2FA - Agregar autenticación de dos factores
- Concepto de Seguridad - Mejores prácticas de seguridad
¿Necesitas Ayuda?
Contacta [email protected] para asistencia en configuración de SSO.