OIDC / SSO — inicio de sesión mediante un proveedor de identidad

Premium

Inicio de sesión SSO (OIDC / OAuth2): sus usuarios acceden a Omniscol con su cuenta institucional en lugar de con una contraseña dedicada — un único inicio de sesión que recordar, activación y desactivación centralizadas a medida que las personas se incorporan o se marchan, y su política de seguridad (MFA, expiración…) aplicada desde su sistema de información. Omniscol admite Google Workspace, Microsoft Entra ID, Keycloak y cualquier proveedor conforme con OIDC.

OpenID Connect (OIDC), construido sobre OAuth2, permite a sus usuarios acceder a Omniscol con su cuenta institucional en lugar de con una contraseña de Omniscol dedicada. Tres ventajas: una única contraseña que recordar, desactivación centralizada cuando una persona se incorpora o se marcha, y aplicación automática de la política de seguridad (MFA, longitud de la contraseña, expiración…) gestionada desde el sistema de información.

Esta página describe el SSO de usuario: el acceso de las personas a Omniscol mediante su proveedor de identidad. El caso inverso — Omniscol como servidor OAuth2 / OIDC al que se conectan servicios de terceros, con su pantalla de gestión de clientes — se trata en OAuth2 / OIDC (proveedor).

Proveedores admitidos

Omniscol admite:

  • Google Workspace,
  • Microsoft Entra ID (anteriormente Azure AD),
  • Keycloak,
  • un proveedor OIDC genérico mediante su issuer / discovery URL (cualquier proveedor conforme con OIDC).

Configurar en el lado de Omniscol

En AdministraciónConfiguraciones, en la sección Seguridad, el botón Configurar abre la pantalla de configuración OIDC, donde se declara el proveedor:

  • Nombre mostrado — la etiqueta que aparecerá en el botón de inicio de sesión (por ejemplo Continuar con Google).
  • Tipo de proveedor — Google, Microsoft Entra ID (Azure AD), Keycloak u OIDC genérico.
  • Tenant / issuer — el tenant de Microsoft para Entra ID, o la URL issuer para Keycloak y los proveedores OIDC genéricos. Los metadatos OIDC se descubren a continuación en la aplicación.
  • Client ID y Client secret — obtenidos al crear una aplicación en el lado del proveedor (consulte la documentación del proveedor).
  • Scopesopenid profile email de forma predeterminada. Añada los scopes específicos del proveedor si es necesario.
  • Dominios autorizados — una lista opcional de dominios de correo electrónico aceptados en el inicio de sesión SSO; si se deja vacía, no se aplica ningún filtrado por dominio.
  • URL de redirección — Omniscol le proporciona el valor exacto que debe copiar en la configuración del lado del proveedor (así como la URL de redirección tras el cierre de sesión si el proveedor la requiere).
  • Inicio de sesión solo mediante SSO — una vez validado el SSO, esta opción rechaza el inicio de sesión con contraseña de Omniscol, salvo para las cuentas de emergencia descritas más abajo.

La configuración SSO vigente se define en el nivel de la cuenta de la escuela.

Acceso de emergencia (break-glass)

En el modo Inicio de sesión solo mediante SSO, el inicio de sesión con contraseña de Omniscol se rechaza: todo el mundo pasa por el proveedor de identidad. Si ese proveedor deja de estar disponible — avería, secreto expirado, error de configuración — el acceso a Omniscol quedaría bloqueado para todos.

La cuenta de emergencia («break-glass») es la salvaguarda frente a este bloqueo: una cuenta de administrador autorizada a iniciar sesión con una contraseña de Omniscol incluso mientras el modo SSO exclusivo está activo.

  • En la ficha de una cuenta de administrador, cuando la opción Inicio de sesión solo mediante SSO está activa, aparece una casilla Break-glass (SSO only). Marcarla autoriza a esta cuenta a iniciar sesión con contraseña si el proveedor de identidad no está disponible. Solo las cuentas de administrador pueden designarse.
  • El soporte de Omniscol conserva además su propio acceso de emergencia independiente.

Designe al menos una cuenta de emergencia antes de activar el modo SSO exclusivo, y conserve su contraseña en un lugar seguro: es su red de seguridad si el proveedor de identidad deja de funcionar.

Configurar en el lado del proveedor (ejemplos)

Google Workspace

  1. Consola de Google Cloud > APIs & Services > Credentials.
  2. Crear una credencial OAuth 2.0, tipo Aplicación web.
  3. Pegue la URL de redirección proporcionada por Omniscol en Authorized redirect URIs.
  4. Recupere el Client ID y el Client secret para pegarlos en Omniscol.

Microsoft Entra ID

  1. Portal de Azure > Entra ID > App registrations.
  2. New registration, tipo Web, URL de redirección de Omniscol.
  3. Certificates & secrets > cree un client secret.
  4. API permissions > añada openid, profile, email.
  5. Recupere el Application (client) ID y el secret.

Keycloak

  1. Realm > Clients > Create client, tipo OpenID Connect.
  2. Valid redirect URIs: la URL proporcionada por Omniscol.
  3. Credentials > recupere el client secret.

Vincular con las cuentas de Omniscol

Cuando un usuario hace clic en el botón SSO, Omniscol:

  1. Lo redirige al proveedor,
  2. Recupera su dirección de correo electrónico tras la autenticación,
  3. Busca una cuenta de Omniscol con la misma dirección de correo electrónico.

Si la cuenta existe y está activa, el usuario inicia sesión. En caso contrario, el acceso se deniega. Consecuencia: para que el SSO funcione, los usuarios deben existir en Omniscol con la dirección de correo electrónico correcta — la creación no es automática en el lado de Omniscol de forma predeterminada.

Aprovisionamiento automático de las cuentas

La creación automática de cuentas en el primer inicio de sesión SSO (just-in-time provisioning) no es el comportamiento predeterminado de la pantalla de configuración. Si se necesita este modo, debe acotarse con Omniscol.

Procedimiento

Configurar un proveedor OIDC / SSO

  1. OIDC / SSO permite a sus usuarios iniciar sesión con su cuenta institucional (Google Workspace, Microsoft Entra ID, Keycloak, Okta…). La parte del lado del proveedor depende del proveedor.

  2. En el lado del proveedor, cree primero una aplicación OIDC Aplicación web: recupere el Client ID y el Client secret, copie la URL de redirección proporcionada por Omniscol en los Authorized redirect URIs del proveedor.

  3. En el lado de Omniscol, abra las configuraciones y luego la configuración OIDC. Rellene el nombre mostrado (etiqueta del botón de inicio de sesión), el tipo de proveedor, el issuer o el tenant según el caso, el Client ID, el Client secret y los scopes (predeterminado: openid profile email).

  4. Haga clic en Probar. Compruebe que la configuración funciona. Omniscol realiza una ida y vuelta OIDC; en caso de error de discovery, de secret o de redirección, el mensaje de error es explícito.

  5. Guarde. El botón de inicio de sesión SSO aparece en la página de inicio de sesión cuando la configuración está activa.

  6. Importante: las cuentas deben existir en Omniscol con la dirección de correo electrónico correcta. El inicio de sesión SSO empareja por correo electrónico; no hay aprovisionamiento automático de forma predeterminada.

Véase también