El inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS soporta el SSO. Para proporcionar servicios de inicio de sesión único para tu dominio, TalentLMS actúa como proveedor de servicio (SP) a través del estándar SAML (Lenguaje de Marcado para Confirmaciones de Seguridad).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Para empezar, necesitas una cuenta de OneLogin para gestionar el proceso de inicio de sesión y proporcionar las credenciales de tus usuarios a TalentLMS.
La información requerida por TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentifican a través de OneLogin, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Por defecto, OneLogin utiliza el correo electrónico como identificador único para cada usuario. Como alternativa, puedes optar por utilizar el nombre de usuario de Active Directory o LDAP, siempre que tus usuarios de OneLogin se recuperen de tu servidor de Active Directory o LDAP.
Paso 1: Configurar la aplicación de TalentLMS en OneLogin
1. Inicia sesión en tu cuenta de OneLogin y, desde la barra de navegación superior, ve a Aplicaciones > Añadir aplicaciones. En el campo de búsqueda, escribe talentlms y presiona Enter. En los resultados de la búsqueda, haz clic en TalentLMS.
2. En la página Añadir TalentLMS, haz clic en Guardar.
3. Ve a la pestaña Configuración.
4. En el campo Subdominio, escribe tu dominio completo de TalentLMS (es decir, [mi-nombre-dominio].talentlms.com) y haz clic en Guardar
5.Ve a la pestaña SSO.
6. Anota la URL del emisor, el punto final de SAML 2.0 y el punto final de SLO. Justo debajo del campo certificado X.509, haz clic en Ver detalles. En la página del certificado, anota el contenido del área de texto del certificado X.509. Haz clic en el símbolo de atrás para volver a la página de la aplicación de TalentLMS.
6. Ve a la pestaña Parámetros.
7. En la sección Credenciales son, haz clic en Configurado por el Administrador.
9. En el área de parámetros predeterminados, haz clic en la entrada correspondiente de la columna Valor para definir los datos de usuario que OneLogin envía a TalentLMS con cada atributo. Sugerimos que utilices los valores predeterminados.
Nota: Ten mucho cuidado con los atributos Identificador de nombre (Asunto) y TargetedID, ya que son los identificadores únicos de tus usuarios y no deben cambiar. Cuando tu cuenta de OneLogin está conectada a tu Active Directory o servidor LDAP, se recomienda seleccionar el valor Nombre de usuario para ambos campos. No olvides que cuando un usuario intenta iniciar sesión en tu dominio de TalentLMS a través de OneLogin, se crea una nueva cuenta de TalentLMS basada en el valor del TargetedID. Cuando ese valor cambia para un usuario (p.ej. el valor es el correo electrónico del usuario que, en algún momento, actualiza en su perfil), se crea una nueva cuenta de TalentLMS, basada en el nuevo TargetedID, en su siguiente inicio de sesión. En ese caso, se podría atribuir dos o más cuentas diferentes a la misma persona. Para evitarlo, elige siempre un valor que sea único para cada usuario para los atributos Identificador de nombre (Asunto) y TargetedID. |
Paso 2: Habilitar el SSO de SAML para tu dominio de TalentLMS
1. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Inicio > Cuenta y ajustes.
2. Ve a la pestaña Usuarios y haz clic en Inicio de sesión único (SSO).
3. Tipo de integración SSO: En la lista desplegable, selecciona SAML2.0.
4. Proveedor de identidades (IdP): Escribe la URL de tu proveedor de identidades de OneLogin (es decir, la URL del emisor que has anotado en el paso 1.6).
5. Certificado de huella digital: El certificado X.509 que has anotado en el paso 1.6. Haz clic en O pega tu certificado SAML (formato PEM) para abrir el área de texto del certificado SAML. Pega el contenido del certificado X.509 en el área de texto.
6. URL de entrada remota: La URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para que inicien sesión. Escribe el punto final de SAML 2.0 que has anotado en el paso 1.6.
7. URL de salida remota: La URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para cerrar la sesión. Escribe el punto final de SLO que has anotado en el paso 1.6.
Los campos restantes se utilizan para nombrar las variables del protocolo SAML que contienen los datos del usuario requeridos por TalentLMS y proporcionados por tu OneLogin.
8. TargetedID: El nombre de usuario para cada cuenta de usuario que actúa como identificador único del usuario. Tipo: targetedid.
9. Nombre: El nombre del usuario. Tipo: User.FirstName.
10. Apellido: El apellido del usuario. Tipo: User.LastName.
11. Correo electrónico: El correo electrónico del usuario. Tipo: User.Email.
12. Grupo: Los nombres de los grupos a los que pertenece el usuario. A esta variable se le puede asignar un único valor de cadena o una matriz de valores de cadena para más de un nombre de grupo. Cuando hay un grupo con el mismo nombre en tu dominio de TalentLMS, el usuario se registra automáticamente en ese grupo en su primer inicio de sesión. El usuario también se matricula en todos los cursos asignados a ese grupo.
13. Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo.
Nota: Para forzar la asignación de grupos en cada inicio de sesión, marca la casilla Añadir grupos asignados con cada login. Los usuarios se asignan automáticamente a los nuevos grupos enviados por tu IdP en cada inicio de sesión, pero no se eliminan de los grupos no incluidos en esa lista. |
14. Haz clic en Guardar y comprobar tu configuración. Si todo está correcto, recibirás un mensaje de finalización exitosa que contiene todos los valores extraídos de tu IdP.
Coincidencia de cuentas de usuario
En el momento de escribir este artículo, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes coinciden con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario se puede lograr sólo cuando el nombre de usuario proporcionado por tu IdP es exactamente el mismo que el nombre de usuario de la cuenta de TalentLMS existente. En ese caso, la cuenta de TalentLMS del usuario sigue siendo la misma durante el proceso de SSO. Sin embargo, los valores del nombre, el apellido y el correo electrónico del usuario se extraen de tu IdP y reemplazan a los existentes.
Cuando el nombre de usuario proporcionado por tu IdP para un usuario existente de TalentLMS es diferente de su nombre de usuario de TalentLMS, se crea una nueva cuenta para el nombre de usuario proporcionado por el IdP. En ese caso, se atribuyen dos cuentas diferentes a la misma persona.
Para asegurarte de que funcione correctamente la coincidencia de cuentas de usuario, configura tu IdP para enviar los mismos nombres de usuario para todas las cuentas de usuario de TalentLMS existentes. El nombre de la variable SAML que contiene el nombre de usuario es el que se escribe en el campo TargetedID de la página de configuración de Single Sign-On (SSO) de TalentLMS (consulta el paso 2.7).
Perfil de usuario
Tus usuarios pueden cambiar la información de su perfil en TalentLMS, pero no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afecta a su sesión actual. La próxima vez que el usuario inicie sesión, esos valores se extraerán de tu servidor IdP y reemplazarán a los que se han modificado. Si se cambia el nombre de usuario, se produce una falta de coincidencia entre los usuarios, ya que los usuarios de TalentLMS coinciden con los de tu IdP en función del valor del nombre de usuario.
Sugerimos que notifiques a tus usuarios cómo afecta el proceso de SSO a tu dominio de TalentLMS y les aconsejes que eviten cambiar su nombre, apellido, correo electrónico y, sobre todo, su nombre de usuario en su perfil de TalentLMS.
Cuando tus usuarios se autentican sólo a través de SSO, se considera una buena práctica desactivar las actualizaciones del perfil para aquellos usuarios. Para ello:
1. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Tipos de usuario > Learner-Type > General > Perfil.
2. Si están marcados, desmarca los permisos de Actualización y Cambio de contraseña (1).
Nota: Para obtener más información sobre los tipos de usuarios de TalentLMS, consulta este artículo. |