Saltar a contenido

SSO (Single Sign-On)

El SSO (Single Sign-On) es un mecanismo de autenticación que permite a los usuarios acceder a la plataforma utilizando las credenciales ya existentes en su proveedor de identidad corporativo (como Google Workspace, Microsoft Azure AD, entre otros), sin necesidad de crear o gestionar una contraseña separada.

Con el SSO habilitado, el proceso de inicio de sesión está centralizado y controlado por la organización, lo que aporta beneficios tanto para usuarios como para administradores.

  • Usuarios: acceden a la plataforma con las mismas credenciales que ya utilizan en su día a día.
  • Administradores: tienen control centralizado sobre los accesos, pudiendo revocar permisos de forma inmediata desde el proveedor de identidad.

¿Quién tiene acceso?

Solo los usuarios con el rol de Administrador tienen acceso a la configuración de esta funcionalidad.

Captura de pantalla del Centro de Seguridad de BotCity, en el menú SSO, en la pestaña Configuración de proveedor, que muestra la lista de proveedores configurados con la información en columnas: Activo, Proveedor, URL de redirección y Acciones (Editar y Eliminar). Encima de la lista, el botón para activar y desactivar el SSO y el botón para agregar un proveedor.

Configuración de proveedor

Para activar el SSO/SAML, acceda a:

  • Centro de Seguridad en el menú global
  • Menú SSO
  • Pestaña Configuración de proveedor
  • Realice la configuración de los proveedores

Puede configurar uno o más proveedores de identidad (IdPs).

Cada proveedor tiene su propia configuración, vea a continuación cada una de ellas. Los proveedores disponibles son:

  • IdPs Sociales
    • Microsoft
    • Google
  • IdPs Definidos por el Usuario
    • SAML v2.0
    • OpenID Connect v1.0

¡Atención!

Al deshabilitar el SSO, los usuarios que accedían exclusivamente mediante SSO perderán el acceso a la plataforma.

GIF que muestra el camino desde la página de Inicio de BotCity, haciendo clic en el menú global en la esquina superior izquierda de la página, seleccionando la opción Centro de Seguridad dentro de Administración, redirigiendo a la plataforma del Centro de Seguridad, en el menú lateral, selecciona la opción SSO y la pestaña Configuración de Proveedor.

IdPs Sociales (Microsoft y Google)

Para configurar IdPs Sociales, necesita la siguiente información:

  • ID de Cliente
  • Secreto de Cliente

¿Dónde encontrar esta información?

Microsoft

Google

¡Atención!

La URL de redirección debe ser copiada y configurada en el entorno del IdP para completar la integración. Utilice el botón de copia disponible en la tabla.

GIF que muestra cómo agregar un proveedor social. Hace clic en el botón Agregar Proveedor en la esquina superior derecha de la página, se abre una ventana modal con el formulario, selecciona el proveedor y hace clic en siguiente, completa los campos de ID de Cliente y Secreto de Cliente y hace clic en Confirmar. El nuevo proveedor queda disponible en la lista para su gestión.

SAML v2.0

Para configurar SAML v2.0, necesita la siguiente información:

  • Display Name
  • Service Provider Entity ID
  • Archivo de configuración del IdP

¿Dónde encontrar esta información?

Normalmente descarga este archivo de configuración .xml directamente desde el panel de su IdP (ej.: Okta, Azure AD, Google Workspace).

¡Atención!

La URL de redirección debe ser copiada y configurada en el entorno del IdP para completar la integración. Utilice el botón de copia disponible en la tabla.

Ejemplo de archivo de configuración de IdP 
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://your-idp.example.com/auth/realms/your-realm">
    <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>YOUR_BASE64_ENCODED_X509_CERTIFICATE_HERE</ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </md:KeyDescriptor>
        <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-idp.example.com/auth/realms/your-realm/protocol/saml"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>

GIF que muestra cómo agregar un proveedor SAML. Hace clic en el botón Agregar Proveedor en la esquina superior derecha de la página, se abre una ventana modal con el formulario, selecciona el proveedor y hace clic en siguiente, completa el campo Nombre de Display y carga el archivo XML con la configuración del IdP, y hace clic en Confirmar. El nuevo proveedor queda disponible en la lista para su gestión.

OpenID Connect v1.0

Para configurar OpenID Connect v1.0, necesita la siguiente información:

  • Display Name
  • Service Provider Entity ID
  • Discovery Endpoint URL
  • Archivo de configuración del IdP

¿Dónde encontrar esta información?

Normalmente descarga este archivo de configuración .json directamente desde el panel de su IdP (ej.: Okta, Azure AD, Google Workspace).

¡Atención!

La URL de redirección debe ser copiada y configurada en el entorno del IdP para completar la integración. Utilice el botón de copia disponible en la tabla.

Ejemplo de archivo de configuración de IdP 
{
  "alias": "oidc-manual",
  "providerId": "oidc",
  "enabled": true,
  "config": {
    "authorizationUrl": "https://idp.example.com/oauth2/authorize",
    "tokenUrl": "https://idp.example.com/oauth2/token",
    "userInfoUrl": "https://idp.example.com/oauth2/userinfo",
    "jwksUrl": "https://idp.example.com/oauth2/jwks",
    "issuer": "https://idp.example.com",
    "clientId": "YOUR_CLIENT_ID",
    "clientSecret": "YOUR_CLIENT_SECRET"
  }
}

GIF que muestra cómo agregar un proveedor SAML. Haga clic en el botón Agregar proveedor en la esquina superior derecha de la página, se abrirá una ventana modal con el formulario, seleccione el proveedor y haga clic en Siguiente, complete los campos Nombre para mostrar y cargue el archivo JSON con la configuración del IdP, y haga clic en Confirmar. El nuevo proveedor estará disponible en la lista de administración.

Activación

Con las configuraciones realizadas, puede habilitar y deshabilitar el inicio de sesión con SSO/SAML.

También puede gestionar cada uno de los proveedores directamente en el panel de control, con las acciones:

  • Activar: Botón para activar o desactivar un proveedor específico.
  • Editar: Editar la información configurada de un proveedor.
  • Eliminar: Eliminar la configuración de un proveedor.

Cuentas locales

Las cuentas locales son todas las cuentas registradas en Organización.

Aquí puede visualizar la lista de cuentas registradas en cada workspace y permitir que esos usuarios continúen accediendo a la plataforma mediante Correo electrónico y Contraseña.

Para activar las cuentas locales, acceda a:

  • Centro de Seguridad en el menú global
  • Menú SSO
  • Pestaña Cuentas locales
  • Haga clic en Habilitar cuentas locales.

Consejo

Puede habilitar y deshabilitar esta funcionalidad siempre que sea necesario.

¡Atención!

Al deshabilitar las cuentas locales, los usuarios que accedían exclusivamente mediante Correo electrónico y Contraseña perderán el acceso a la plataforma.

Captura de pantalla del Centro de Seguridad de BotCity, en el menú SSO, en la pestaña Cuentas Locales, que muestra la lista de usuarios configurados con la información en columnas: Nombre, Correo electrónico, Workspace. Encima de la lista, el botón para activar y desactivar cuentas locales.

Impacto en otras funcionalidades

La configuración del SSO afecta las siguientes áreas de la plataforma:

Invitación de Usuarios

  • La opción de marcar a un usuario como local y no-SSO se muestra únicamente si las cuentas locales están habilitadas en el workspace.
  • Los usuarios SSO no reciben contraseña temporal en la invitación.
  • Los usuarios locales reciben contraseña temporal en la invitación.

Pantalla de Inicio de Sesión

  • Las opciones de inicio de sesión federado se muestran según los proveedores configurados.

Actualización y Recuperación de Contraseña

  • No permitida para usuarios SSO. En estos casos, la contraseña debe actualizarse directamente en el proveedor de acceso.