El Inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS soporta el SSO. Para proporcionar servicios de inicio de sesión único para su dominio, TalentLMS actúa como proveedor de servicio (SP).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Para empezar, necesitas un proveedor de identidades (IdP) de LDAP para gestionar el proceso de inicio de sesión y proporcionar las credenciales de tus usuarios a TalentLMS.
La información que requiere TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentican a través de tu IdP, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Para configurar el SSO habilitado por LDAP necesitas:
- La dirección URL y el puerto de tu proveedor de identidades (IdP) de LDAP.
- El dominio de tu servidor LDAP para permitir las conexiones entrantes desde TalentLMS.
- El patrón de DN de tu configuración LDAP.
- El atributo de nombre de usuario de tu configuración LDAP.
Ahora sí, ¡empecemos!
Habilita el SSO de LDAP en tu dominio de TalentLMS
1. Inicia sesión en tu cuenta de TalentLMS como Administrador, ve a Inicio > Cuenta y ajustes > Usuarios y haz clic en Inicio de sesión único (SSO).
2. Tipo de integración SSO: En la lista desplegable, selecciona LDAP.
3. Servidor LDAP: El dominio o la dirección IP de tu servidor LDAP.
4. Puerto del servidor: El puerto de tu servidor LDAP.
5. SSL/TLS activado: Selecciona Sí si tu servidor LDAP es compatible con SSL/TLS.
Nota: En caso afirmativo, el servidor LDAP anterior debe seguir el patrón "ldaps://ldap-hostname" y, en la mayoría de los casos, el Puerto del servidor se establece en 636. |
6. DN de enlace y contraseña de enlace: Opcional. Escribe el DN de enlace y la contraseña de enlace tal y como se encuentran en la configuración de tu servidor LDAP.
7. Patrón de DN: Escribe el patrón de DN de tu configuración LDAP que permite la autenticación del usuario en la base de datos LDAP. El patrón de DN es parte de la cadena de autenticación que consiste en:
- El atributo de nombre de usuario (es decir, normalmente uid) tal y como se define a continuación (p.ej., uid).
- El nombre de usuario definido por el usuario tal y como se encuentra en el formulario de inicio de sesión (p.ej., talentuser).
- El patrón de DN (p.ej., ou=people,dc=example,dc=org).
Según estos ejemplos, la cadena de autenticación que se envía a tu servidor LDAP es: uid=talentuser,ou=people,dc=example,dc=org.
Los campos restantes se utilizan para los atributos LDAP que contienen los datos del usuario requeridos por TalentLMS y proporcionados por tu IdP. Son opcionales y se pueden dejar en blanco para la mayoría de las implementaciones del IdP LDAP. En ese caso, se aplican sus valores predeterminados.
8. Nombre de usuario: Escribe el atributo de nombre de usuario. El valor convencional es uid.
Nota: Este es el valor del nombre de usuario que se combina con el nombre de usuario definido por el usuario y el patrón de DN para formar la cadena de autenticación que se envía a tu servidor LDAP. |
9. Nombre completo: Escribe el atributo para el nombre completo del usuario. El valor predeterminado es displayName.
10. Correo electrónico: Escribe el atributo para el correo electrónico del usuario. El valor predeterminado es mail.
Nota: Asegúrate de que todos los usuarios tengan direcciones de correo electrónico válidas. El atributo de correo electrónico es fundamental para establecer la comunicación entre tu IdP LDAP y TalentLMS.
11. Haz clic en Guardar y comprobar tu configuración. Si todo está correcto, recibirás un mensaje de conclusión exitosa que contiene todos los valores extraídos de tu IdP.
Coincidencia de cuentas de usuario
Al momento de escribir este artículo, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario se puede lograr sólo cuando el nombre de usuario proporcionado por tu IdP es exactamente el mismo que el nombre de usuario de la cuenta de TalentLMS existente. En ese caso, la cuenta de TalentLMS del usuario sigue siendo la misma durante el proceso de SSO. Sin embargo, los valores del nombre, los apellidos y el correo electrónico del usuario se extraen de tu IdP y reemplazan a los existentes.
Cuando el nombre de usuario proporcionado por tu IdP para un usuario existente de TalentLMS es diferente de su nombre de usuario de TalentLMS, se crea una nueva cuenta para el nombre de usuario proporcionado por el IdP. En ese caso, se atribuyen dos cuentas diferentes a la misma persona.
Para asegurarte de que funcione correctamente la coincidencia de cuentas de usuario, configura tu IdP para enviar los mismos nombres de usuario para todas las cuentas de usuario de TalentLMS existentes.
Perfil de usuario
Tus usuarios pueden cambiar la información de su perfil en TalentLMS, pero no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afecta a su sesión actual. La próxima vez que el usuario inicie sesión, esos valores se extraerán de tu servidor IdP y reemplazarán a los que se han modificado. Si se cambia el nombre de usuario, se produce una falta de coincidencia entre los usuarios, ya que los usuarios de TalentLMS coinciden con los de tu IdP en función del valor del nombre de usuario.
Sugerimos que notifiques a tus usuarios cómo afecta el proceso de SSO a tu dominio de TalentLMS y les aconsejes que eviten cambiar su nombre, apellido, correo electrónico y, sobre todo, su nombre de usuario en su perfil de TalentLMS.
Cuando tus usuarios se autentican sólo a través de SSO, se considera una buena práctica desactivar las actualizaciones del perfil para aquellos usuarios. Para ello:
1. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Tipos de usuario > Tipo-Alumno > General > Perfil.
2. Si están marcados, desmarca los permisos de Actualización y Cambio de contraseña.
Nota: Para obtener más información sobre los tipos de usuarios de TalentLMS, consulta este artículo. |
¡Lo lograste!
Tu dominio TalentLMS está configurado para proporcionar servicios SSO. Tus usuarios pueden iniciar sesión en tu dominio de TalentLMS con el nombre de usuario y la contraseña que se almacenan en tu proveedor de identidades de LDAP.