TalentLMS respalda el inicio de sesión único (SSO), un proceso que permite a los usuarios autenticarse con un proveedor de identidades externo (como miniOrange) en lugar de obtener y utilizar un nombre de usuario y una contraseña independientes gestionados por TalentLMS.
En la configuración de SSO, TalentLMS puede funcionar como un proveedor de servicio (SP) a través de SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) que te permite proporcionar servicios de Single Sign On (SSO) para tu dominio.
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Lo que necesitarás es una cuenta de miniOrange (o el plugin/extensión de miniOrange instalado en tu CMS, que actúa como IdP (proveedor de identidades). El proceso de configuración en este caso es un poco diferente al definido a continuación). MiniOrange gestionará del proceso de inicio de sesión y finalmente, proporcionará las credenciales de autenticación de tus usuarios a TalentLMS. Los usuarios de TalentLMS que se autentican a través de MiniOrange se gestionan desde MiniOrange y cualquier cambio que realicen en su cuenta (es decir, nombre, apellido y correo electrónico) se sincroniza con su cuenta de TalentLMS. Los únicos datos del usuario que son necesarios para TalentLMS son un identificador único para cada usuario, su nombre, apellido y correo electrónico. TalentLMS no almacena contraseñas.
Paso 1: Configurar los Ajustes de inicio de sesión único (SSO) de miniOrange para TalentLMS
-
- Inicia sesión como cliente desde la Consola del Administrador
- Ve a Aplicaciones → Gestionar aplicaciones. Haz clic en el botón Configurar aplicaciones.
- Haz clic en la pestaña SAML. Selecciona TalentLMS y haz clic en el botón Añadir aplicación.
- Los metadatos del proveedor de servicio para tu dominio se pueden obtener en la siguiente URL: https://[tudominio].talentlms.com/simplesaml/module.php/saml/sp/metadata.php/[tudominio].talentlms.com?output=xhtml
- Introduce el ID de la entidad de tu proveedor de servicio de TalentLMS en el formato [tudominio].talentlms.com.
- Asegúrate de que la URL de ACS tenga el formato: https://[tudominio].talentlms.com/simplesaml/module.php/saml/sp/saml2-acs.php/[tudominio].talentlms.com
- Selecciona el ID de correo electrónico en la lista desplegable de ID de nombre
-
- Haz clic en Atributos, introduce el Nombre del atributo y selecciona el Valor del atributo en el menú desplegable
- Del mismo modo, puedes añadir el resto de los Atributos
- Haz clic en Guardar para almacenar los atributos
- Ve a Añadir norma y selecciona PREDETERMINADO en el menú desplegable Nombre de grupo
- Ahora introduce la norma de TalentLMS en el campo Nombre de política
- Selecciona CONTRASEÑA en el menú desplegable del primer tipo de factor
- Haz clic en Guardar para configurar TalentLMS.
-
- Haz clic en metadatos para descargar el certificado que se necesitará más adelante.
-
- Presiona el botón Descargar certificado x.509
Paso 2: Configurar el Inicio de sesión único para tu dominio en TalentLMS
-
- Inicia sesión en tu dominio de TalentLMS como Super-Admin y ve a Cuenta y Ajustes → Usuarios. Si tu plan de suscripción admite integraciones SSO (actualmente se admite en los planes Basic, Plus y Premium), puedes hacer clic en el enlace Inicio de sesión único (SSO)
- Introduce el tipo de integración SSO: elige SAML2.0 en la lista desplegable
- Introduce la URL del proveedor de identidades: Se trata de la URL del emisor (consulta el ID de la entidad del IdP o emisor en la imagen anterior).
- Copia el contenido del certificado x.509 que acabas de descargar. Luego, pégalos en el área de texto que aparecerá al hacer clic en el enlace "pegar tu certificado SAML (formato PEM)". La huella digital SHA-1 del certificado se calculará cuando hagas clic en el botón Guardar.
- Introduce la URL de entrada remota: Se trata de la URL a la que TalentLMS redireccionará a tus usuarios para que inicien sesión (consulta Login URL de SAML en la imagen anterior).
- Introduce la URL de salida remota: Se trata de la URL a la que TalentLMS redireccionará a tus usuarios cuando cierren sesión (consulta Logout URL de SAML en la imagen anterior).
Paso 3: Definir los nombres de los atributos en TalentLMS
Estos campos definen los nombres de las variables del protocolo SAML que contienen los datos del usuario. Los nombres de los atributos se definen en la sección de atributos de miniOrange.
- Introduce el TargetedID en este campo. Es el nombre del atributo SAML que contiene el nombre de usuario de la cuenta de usuario y debe ser un identificador único para cada usuario.
- Introduce el FirstName en este campo. Es el nombre del atributo SAML que contiene el nombre del usuario.
- Introduce el LastName en este campo. Es el nombre del atributo SAML que contiene el apellido del usuario.
- Introduce la dirección de correo electrónico en este campo. Es el nombre del atributo SAML que contiene la dirección de correo electrónico del usuario.
- Introduce el nombre del grupo en este campo. Es el nombre del atributo SAML que contiene el(los) nombre(s) del(los) grupo(s) a los que pertenece el usuario. Esta variable SAML puede contener un único valor de cadena (nombre de grupo) o una matriz de valores de cadena (nombres de grupos). Si el grupo con el mismo nombre existe en tu dominio de Talentlms, entonces el usuario será asignado a ese grupo y obtendrá todos los cursos de ese grupo específico en su primer inicio de sesión. La opción "Añadir grupos asignados con cada login" se puede seleccionar para forzar la asignación de grupos en cada inicio de sesión. Ten en cuenta que con esta opción no se elimina el usuario de los grupos para que coincidan con los enviados por tu IdP. En su lugar, sólo se realizan asignaciones a nuevos grupos.
- Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo
- Ahora haz clic en el botón Guardar en la parte inferior de la página.
Paso 4: Ahora iniciar sesión en tu cuenta de TalentLMS con el IDP de miniOrange con Inicio de sesión iniciado por el SP:
Ten en cuenta que TalentLMS sólo respalda un SSO iniciado por el SP
- Ve a https://auth.miniorange.com/moas/login, introduce tu dirección de correo electrónico y haz clic en Iniciar sesión. Ahora serás redireccionado a la página de inicio de sesión del IDP de miniOrange.
2. Introduce tu credencial de inicio de sesión de miniOrange y haz clic en Iniciar sesión. Se iniciará automáticamente la sesión en tu cuenta de TalentLMS.
Coincidencia de cuentas de usuario
Al momento de redactar este documento, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario (TargetedID).
La coincidencia de cuentas de usuario sólo es posible en el caso de que el nombre de usuario (TargetedID) proporcionado por miniOrange coincida exactamente con el nombre de usuario de una cuenta TalentLMS existente. En este caso, el estado de la cuenta de usuario de TalentLMS no cambiará durante el proceso de inicio de sesión de SSO. Sin embargo, el nombre, el apellido y el correo electrónico se extraerán de miniOrange y reemplazarán los valores existentes.
Si el nombre de usuario (TargetedID) proporcionado por miniOrange para un usuario existente de TalentLMS es diferente de su nombre de usuario de TalentLMS, se creará una nueva cuenta con el nombre de usuario proporcionado por miniOrange (TargetedID). En este caso habrá dos cuentas diferentes para la misma persona.
Para asegurarte de que la coincidencia de cuentas de usuario se realice con éxito, debes configurar la aplicación de TalentLMS en miniOrange para que envíe el mismo nombre de usuario para las cuentas de usuario existentes. El nombre del atributo SAML 2.0 que lleva el nombre de usuario es el campo TargetedID con valor targetedid y se puede configurar para enviar un valor único por usuario desde la página de configuración de miniOrange. Consulta el paso 1 de esta guía para obtener más información.
Perfil del usuario
Aunque tus usuarios pueden cambiar su perfil (nombre, apellido, correo electrónico y nombre de usuario), no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afectará a la sesión actual. La próxima vez que un usuario inicie sesión, esos valores se extraerán de miniOrange. Cambiar el nombre de usuario, producirá un efecto indeseable de falta de coincidencia entre los usuarios, ya que los usuarios coinciden en función de este valor. Por lo tanto, debes notificar a tus usuarios sobre cómo afecta el SSO a tu dominio de TalentLMS y evitar cambiar el nombre, el apellido, el correo electrónico y, sobre todo, el nombre de usuario de su perfil.
Si tus usuarios se autentican sólo a través de SSO, es una buena práctica desactivar las actualizaciones de perfil para tus usuarios cambiando los permisos específicos del grupo de usuarios. Para desactivar las actualizaciones del perfil de tus alumnos, ve al tablero, haz clic en Tipos de usuario → Tipo-Alumno→ General → Perfil y asegúrate de que no estén marcadas (1) las casillas "Actualización" y "Cambio de contraseña".