El Inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS respalda SSO. Para proporcionar servicios de inicio de sesión único para tu dominio, TalentLMS actúa como proveedor de servicio (SP) a través del estándar SAML (Lenguaje de Marcado para Confirmaciones de Seguridad).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic y hacia arriba. |
Para empezar, necesitas un Google Workspace para gestionar el proceso de inicio de sesión y proporcionar las credenciales de tus usuarios a TalentLMS.
La información requerida por TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentican a través de tu IdP, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Nota: TalentLMS sólo respalda el SSO iniciado por el SP. Para forzar el SSO iniciado por el SP desde el lado del IdP, debes crear una aplicación de marcadores personalizada en GSuite que redireccione a tus usuarios a la siguiente URL de TalentLMS (simplemente reemplaza "[mi-dominio]" por tu dominio de TalentLMS): [mi-dominio]/index/ssologin/service:saml |
Paso 1: Configurar la aplicación de TalentLMS nativa de Google Workspace (para dominios de TalentLMS)
1. Inicia sesión en tu cuenta de GSuite y ve a la consola del Administrador en https://admin.google.com.
2. Haz clic en Aplicaciones.
3. Haz clic en Web y aplicaciones móvil.
4. Haz clic en el botón Añadir y selecciona Busca por Aplicaciones.
5. Escribe Talent LMS en el campo Introducir nombre de Aplicación y haz clic en Seleccionar al lado del listado de la Aplicación Talent LMS.
6. Debajo de la Opción 2, anota los valores de la URL de SSO y del ID de la entidad, y descarga el certificado SAML 2.0 para utilizarlo al configurar tu dominio de TalentLMS.
7. Haz clic en Continuar.
8. En el cuadro de diálogo Detalles del proveedor de servicio, edita los valores de URL de ACS, ID de la entidad y URL de inicio reemplazando "{subdominio}" por el nombre de tu dominio de TalentLMS.
9. Haz clic en Continuar.
10. En el cuadro de diálogo Mapeo de atributos, selecciona una categoría y un campo de usuario para cada atributo predeterminado (es decir, correo electrónico, nombre y apellido). Puedes añadir también más atributos que deseas mapear a los campos personalizados de TalentLMS, mira este artículo para más información Cómo mostrar los campos personalizados a través del SSO.
Nota: Debes utilizar exactamente los mismos nombres en la configuración de TalentLMS correspondiente. |
11. Haz clic en Finalizar.
12. Tu nueva aplicación de TalentLMS está etiquetada como DESACTIVADO para todos. Para activarla, haz clic en el texto DESACTIVADO para todos debajo del campo Acceso de usuario y selecciona tu preferencia, luego haz clic en Guardar.
Paso Alternativo 1: Crear una aplicación SAML en Google Workspace (para dominios personalizados)
1. Inicia sesión en tu cuenta de Google Workspace y ve a la Consola del Administrador en https://admin.google.com.
2. Haz clic en Aplicaciones.
3. Haga clic en Añadir Aplicaciones..
4. Haga clic en la opción Añadir aplicación SAML perosnalizada para crear una nueva aplicación.
5. Rellena el nombre, la descripción y el icono de la nueva Aplicación personalizada y haz clic en Continuar.
6. Desde la Opción 2, anota los valores de la URL de SSO y del ID de la entidad, y descarga el certificado SAML 2.0 para utilizarlo al configurar tu dominio de TalentLMS.
7. Haz clic en Continuar.
8. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Inicio > Cuenta y Ajustes > Usuarios.
9. Haz clic en Inicio de sesión único (SSO) y, desde la sección configuración del proveedor de identidades (IdP), anota los valores de la URL del Servicio de comprobación de usuarios (ACS) y del ID de la entidad.
10. Vuelve a tu consola del administrador de Google Workspace y, en el cuadro de diálogo Detalles del proveedor de servicio, pega la URL de ACS y el ID de la entidad en los campos correspondientes.
11. En el campo URL de inicio, escribe: https://[su-nombre-dominio]/index/ssologin/service:saml.
12. Desmarca la casilla de verificación Firmar respuesta (si está marcada).
13. En las listas desplegables de ID de nombre, selecciona Información básica y Correo electrónico principal.
14. En la lista desplegable Formato de ID de nombre, elige Sin especificar.
15. Haz clic en Siguiente.
16. En el cuadro de diálogo Mapeo de atributos, haz clic en Añadir nuevo mapeo para mapear los valores de las cuentas de tus usuarios a los atributos SAML especificados. Por ejemplo (es decir, consulta la siguiente imagen):
- Escribe Email en el campo en blanco y elige Información básica y correo electrónico principal en las listas desplegables correspondientes.
- Haz clic en Añadir nuevo mapeo, escribe FirstName en el campo en blanco y elige Información básica y Nombre en las listas desplegables correspondientes.
- Haz clic en Añadir nuevo mapeo, escribe LastName en el campo en blanco y elige Información básica y Apellido en las listas desplegables correspondientes.
Puedes añadir también más atributos que deseas mapear a los campos personalizados de TalentLMS, mira este artículo para más información Cómo mostrar los campos personalizados a través del SSO
17. Haz clic en Terminar.
Nota: El ejemplo ilustrativo es sólo una sugerencia. Puedes nombrar tus atributos SAML como prefieras. Sin embargo, debes utilizar exactamente los mismos nombres en la configuración de TalentLMS correspondiente. |
18. Tu nueva aplicación de TalentLMS está etiquetada como DESACTIVADO para todos. Para activarla, haz clic haz clic en el texto DESACTIVADO para todos debajo del campo Acceso de usuario y selecciona tu preferencia, luego haz clic en Guardar.
Paso 2: Habilitar el SSO de SAML para tu dominio de TalentLMS
1. Vuelve a tu cuenta de TalentLMS como Administrador, ve a Inicio > Cuenta y ajustes > Usuarios y haz clic en Inicio de sesión único (SSO).
2. Tipo de integración SSO: En la lista desplegable, selecciona SAML2.0.
3. Proveedor de identidades (IdP): Pega el ID de la entidad del cuadro de diálogo Información del IdP de Google (Paso 1.6).
4. Certificado de huella digital: Ubica tu certificado PEM (consulta Paso 1.6) en tu disco local, ábrelo en un editor de texto y copia el contenido del archivo. Haz clic en Ο pega tu certificado SAML (formato PEM) para abrir el área de texto del certificado SAML. Ahora pega el certificado PEM en el área de texto. Haz clic en Guardar y comprobar tu configuración para que se calcule la huella digital SHA-1del certificado.
5. URL de entrada remota: La URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para que inicien sesión. Pega la URL de SSO del cuadro de diálogo Información del IdP de Google (Paso 1.6).
6. URL de salida remota: La URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para que inicien sesión. Puedes dejar en blanco este campo.
Los campos restantes se utilizan para nombrar las variables SAML que contienen los datos del usuario requeridos por TalentLMS y proporcionados por tu IdP.
7. TargetedID: El nombre de usuario de cada cuenta de usuario que actúa como identificador único del usuario. Para esta aplicación SAML debes utilizar la dirección de correo electrónico del usuario. Escribe: Email.
8. Nombre: El nombre del usuario. Escribe: FirstName.
9. Apellido: El apellido del usuario. Escribe: LastName.
10. Email: La dirección de correo electrónico del usuario. Escribe: Email.
Nota: Asegúrate de que todos los usuarios tengan direcciones de correo electrónico válidas. El atributo de correo electrónico es fundamental para establecer la comunicación entre tu IdP de Google Workspace y TalentLMS. |
11. Grupo: Los nombres de los grupos a los que pertenece el usuario. A esta variable se le puede asignar un único valor de cadena o una matriz de valores de cadena para más de un nombre de grupo. Cuando hay un grupo con el mismo nombre en tu dominio de TalentLMS, el usuario se registra automáticamente en ese grupo en su primer inicio de sesión. El usuario también se matricula en todos los cursos asignados a ese grupo.
Nota: Para forzar la asignación de grupos en cada inicio de sesión, marca la casilla Añadir grupos asignados con cada login. Los usuarios se asignan automáticamente a los nuevos grupos enviados por tu IdP en cada inicio de sesión, pero no se eliminan de los grupos no incluidos en esa lista. |
12. Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo.
13. Haz clic en Guardar y comprobar tu configuración. Si todo está correcto, obtendrás un mensaje de conclusión exitosa que contiene todos los valores extraídos de tu IdP.
Cómo crear una aplicación de marcadores para forzar el SSO iniciado por el SP
1. Inicia sesión en tu cuenta de GSuite y ve a la consola del Administrador en https://admin.google.com.
2. Haz clic en Aplicaciones y selecciona Web y aplicaciones móvil.
3. Haz clic en Aplicaciones SAML.
4. Haz clic en el botón Añadir aplicación SAML personalizada para crear una nueva aplicación.
5. Rellena el nombre, la descripción y el icono de la nueva Aplicación personalizada y haz clic en Continuar.
6. En el cuadro de diálogo Información del IdP de Google, haz clic en Continuar (no necesitas el marcador de IdP metadata de esta aplicación, no uses esta información en tu formulario de TalentLMS SSO).
7. En el cuadro de diálogo Detalles del proveedor de servicio, escribe los siguientes valores en los campos correspondientes:
- URL de ACS: https://[your-domain-name].talentlms.com/index/ssologin/service:saml
- ID de la entidad: dummyentity-[your-domain-name].talentlms.com
- URL de inicio: https://[your-domain-name].talentlms.com/index/ssologin/service:saml
Nota: Si utilizas tu dominio personalizado para el SSO, introduce tu dominio personalizado en la URL de detalles del proveedor de servicio en lugar de tu dominio de TalentLMS. |
8. En el cuadro de diálogo de Mapeo de atributos, haz clic en Finalizar.
Nota: No tienes que asignar ningún atributo, puesto que ya los has asignado en la aplicación SSO de TalentLMS. |
9. Tu nueva aplicación de TalentLMS está etiquetada como DESACTIVADO para todos. Para activarla,haz clic haz clic en el texto DESACTIVADO para todos debajo del campo Acceso de usuario y selecciona tu preferencia, luego haz clic en Guardar.
A partir de ahora, cuando los usuarios hacen clic en la Aplicación de marcadores de Talentlms, son redireccionados a la URL definida en el campo de URL de ACS, que utiliza un SSO iniciado por el SP. Luego, TalentLMS envía una solicitud SAML a la aplicación de TalentLMS para proporcionar SSO a tus usuarios.
Coincidencia de cuentas de usuario
Al momento de escribir este artículo, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario se puede lograr sólo cuando el nombre de usuario proporcionado por tu IdP es exactamente el mismo que el nombre de usuario de la cuenta TalentLMS existente. En ese caso, la cuenta de TalentLMS del usuario sigue siendo la misma durante el proceso de SSO. Sin embargo, los valores del nombre, los apellidos y el correo electrónico del usuario se extraen de tu IdP y reemplazan los existentes.
Cuando el nombre de usuario proporcionado por tu IdP para un usuario existente de TalentLMS es diferente de su nombre de usuario de TalentLMS, se crea una nueva cuenta para el nombre de usuario proporcionado por el IdP. En ese caso, se atribuyen dos cuentas diferentes a la misma persona.
Para asegurarte de que funciona correctamente la coincidencia de cuentas de usuario, configura tu IdP para que envíe los mismos nombres de usuario para todas las cuentas de usuario de TalentLMS existentes. El nombre de la variable SAML que contiene el nombre de usuario es el que se escribe en el campo TargetedID en la página de configuración de Single Sign-On (SSO) de TalentLMS (consulta paso 2.7).
Perfil de usuario
Tus usuarios pueden cambiar la información de su perfil en TalentLMS, pero no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afecta a su sesión actual. La próxima vez que el usuario inicie sesión, esos valores se extraerán de tu servidor IdP y reemplazarán a los que se han modificado. Si se cambia el nombre de usuario, se produce una falta de coincidencia entre los usuarios, ya que los usuarios de TalentLMS coinciden con los de tu IdP en función del valor del nombre de usuario.
Sugerimos que notifiques a tus usuarios cómo afecta el proceso de SSO a tu dominio de TalentLMS y les aconsejes que eviten cambiar su nombre, apellido, correo electrónico y, sobre todo, su nombre de usuario en su perfil de TalentLMS.
Cuando tus usuarios se autentican sólo a través de SSO, se considera una buena práctica desactivar las actualizaciones del perfil para aquellos usuarios. Para ello:
1. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Tipos de usuario > Tipo-Alumno > General > Perfil.
2. Si están marcados, desmarca los permisos de Actualización y Cambio de contraseña.
Nota: Para obtener más información sobre los tipos de usuarios de TalentLMS, consulta este artículo. |