El inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS respalda SSO. Para proporcionar servicios de inicio de sesión único para tu dominio, TalentLMS actúa como proveedor de servicio (SP) a través del estándar SAML (Lenguaje de Marcado para Confirmaciones de Seguridad).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Para empezar, necesitas una suscripción válida a EntraID (Azure AD). Como proveedor de identidades (IdP), Entra (Azure) gestiona el proceso de inicio de sesión y proporciona las credenciales de tus usuarios a TalentLMS.
La información requerida por TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentican a través de tu IdP, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Nota: El proceso para los dominios [mi-nombre-de-dominio].talentlms.com es diferente al de los dominios personalizados. Si necesitas configurar el SSO para un dominio personalizado, omite el punto A y ve directamente al punto B. |
Ahora sí, ¡empecemos!
Sección A. Configurar el SSO para los dominios [mi-nombre-de-dominio].talentlms.com con la aplicación de TalentLMS en EntraID (Azure AD)
Paso 1: Configurar la aplicación de TalentLMS en EntraID (Azure AD)
- Inicia sesión en tu portal de gestión de Entra (Azure). En el panel de la izquierda, haz clic en Active Directory. Haz clic en el título del directorio para el que deseas configurar el SSO. Haz clic en Aplicación de empresa. Haz clic en Nueva aplicación y, en la sección Añadir desde la galería, escribe talentlms y presiona Enter. De los resultados, selecciona TalentLMS, cambia el nombre si lo deseas y haz clic en Añadir.
- Ve a la página de la aplicación de TalentLMS y haz clic en Single sign-on.
En el cuadro de diálogo Seleccionar un método de inicio de sesión único, selecciona el modo SAML para activar el Inicio de sesión único.
En la página Configurar el inicio de sesión único con SAML, haz clic en el ícono Editar para abrir el cuadro de diálogo Configuración básica de SAML.
En el campo Identificador (ID de la entidad) escribe el "ID de la entidad" que se encuentra en la página de configuración de SSO de Talentlms.
En el campo URL de respuesta (URL del Servicio de comprobación de usuarios), escribe la URL del Servicio de comprobación de usuarios (ACS) que se encuentra en la página de configuración de SSO de Talentlms.
Nota: En caso de que desees configurar el SSO para tus divisiones, puedes añadir la URL de respuesta correspondiente para cada división. Simplemente reemplaza el valor {tudominio.talentlms.com } por el dominio de tu división (es decir, división1-tudominio.talentlms.com), en la URL anterior. |
En el campo Sign on URL, escribe la URL segura de tu dominio (es decir, que empiece por https://)
En el campo Logout URL escribe la URL del servicio de cierre de sesión único que se encuentra en la página de configuración de SSO de Talentlms.
Luego, haz clic en el botón Guardar.
Nota: Reemplaza tudominio.talentlms.com por tu dominio real de TalentLMS |
En las secciones Certificado de firma SAML y Tutorial de configuración de la galería de TalentLMS anota los valores EntraID (Azure AD) Identifier, Login URL, Logout URL y el valor Thumbprint del certificado. Los necesitarás para configurar TalentLMS en el siguiente paso.
Paso 2. Habilitar el SSO de SAML en tu dominio de TalentLMS
Inicia sesión en tu dominio de TalentLMS como SuperAdmin y ve a Cuenta y ajustes → Usuarios. Si tu plan de suscripción respalda integraciones SSO (actualmente respaldadas en los planes Basic, Plus y Premium), puedes hacer clic en el enlace Single Sign-On (SSO).
En esta página debes completar la información relativa a tu proveedor de identidades EntraID (Azure AD).
- Tipo de integración SSO: Elige SAML2.0 en la lista desplegable
- Proveedor de identidades (IdP): Escribe el identificador de EntraID (Azure AD) de la sección Tutorial de la Galería TalentLMS de Entra (Azure).
Nota: No marques la casilla de verificación de EntraID (Azure AD) cuando configures la aplicación de TalentLMS en Entra (Azure) desde la galería de aplicaciones. |
- Certificado de huella digital: Escribe la huella digital del certificado de la sección Certificado de firma SAML de Entra (Azure).
- URL de entrada remota: Introduce la URL de inicio de sesión de la sección Tutorial de la Galería TalentLMS de Entra (Azure).
El resto de los campos se utilizan para definir los nombres de las variables del protocolo SAML que contienen los datos del usuario proporcionados por tu IdP, que son esenciales para TalentLMS. Evita el uso de nombres de variables con guiones bajos ( _ ). Por ejemplo, no configures tu IdP para enviar el nombre con la variable "given_name". En su lugar, utiliza de preferencia "givenname".
- TargetedID: Es el nombre de usuario de la cuenta de usuario y debe ser un identificador único para cada usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
- Nombre: Es el nombre del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Apellido: El apellido del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- Correo electrónico: La dirección de correo electrónico del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Ten en cuenta que el correo electrónico es esencial para la comunicación de TalentLMS, por lo que debes asegurarte de que todos los usuarios tengan direcciones de correo electrónico válidas.
Ten en cuenta que, según tu configuración de EntraID (Azure AD), es posible que este atributo no se envíe en absoluto. Utiliza el nombre del atributo TargetedId (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name) en su lugar, si su valor es el correo electrónico del usuario.
- Grupo: el(los) nombre(s) del(los) grupo(s) a los que pertenece el usuario. Esta variable SAML puede contener un único valor de cadena (nombre de grupo) o una matriz de valores de cadena (nombres de grupos). Si existe un grupo con el mismo nombre en tu dominio de Talentlms, entonces el usuario será asignado en ese grupo y obtendrá todos los cursos de ese grupo específico en su primer inicio de sesión. La opción "Añadir grupos asignados con cada login" se puede seleccionar para forzar la asignación de grupos en cada inicio de sesión. Ten en cuenta que con esta opción no se elimina el usuario de los grupos para que coincidan con los enviados por tu IdP. En su lugar, sólo se realizan asignaciones a nuevos grupos.
- Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo.
Sección B. Configurar el SSO para dominios de TalentLMS personalizados configurando una aplicación personalizada en EntraID (Azure AD)
La aplicación de TalentLMS en la galería de aplicaciones de Entra (Azure) sólo admite dominios de TalentLMS de la forma http://{nombrededominio}.talentlms.com. Si has configurado un dominio personalizado en tu cuenta de TalentLMS, debes configurar una aplicación personalizada en EntraID (Azure AD).
Nota: Ten en cuenta que todo el proceso de autenticación de SSO se lleva a cabo a través de HTTP seguro. Por lo tanto, es obligatorio asignar tu certificado SSL a tu dominio de TalentLMS personalizado antes de configurar el SSO descrito a continuación. Ponte en contacto con el soporte de TalentLMS para obtener más información sobre cómo configurar tu certificado SSL para tu dominio de TalentLMS personalizado. |
Paso 1. Configuración de EntraID (Azure AD)
Inicia sesión en tu portal de gestión de Entra (Azure). En el panel de la izquierda, haz clic en Active Directory. Haz clic en el título del directorio para el que deseas configurar el SSO. Haz clic en Aplicación de empresa. Haz clic en Nueva aplicación y luego, haz clic en Aplicación que no sea de galería. Escribe un nombre y haz clic en Añadir.
Ve a la página de la aplicación de TalentLMS personalizada recién creada y haz clic en Single sign-on.
En el cuadro de diálogo Seleccionar un método de inicio de sesión único, selecciona el modo SAML para activar el inicio de sesión único.
En la página Configurar el inicio de sesión único con SAML, haz clic en el ícono Editar para abrir el cuadro de diálogo Configuración básica de SAML.
En el campo Identificador (ID de la entidad) escribe el "ID de la entidad" que se encuentra en la página de configuración de SSO de Talentlms.
En el campo URL de respuesta (URL del Servicio de comprobación de usuarios), escribe la URL del Servicio de comprobación de usuarios (ACS) que se encuentra en la página de configuración de SSO de Talentlms.
Nota: En caso de que desees configurar el SSO para tus divisiones, puedes añadir la URL de respuesta correspondiente para cada división. Simplemente reemplaza el valor de {tudominiopersonalizado.com} por el dominio personalizado de tu división (es decir, división1.tudominiopersonalizado.com) en la URL anterior. |
En el campo Sign on URL, escribe la URL segura de tu dominio (es decir, que empiece por https://)
En el Logout URL escribe la URL del servicio de salida única que se encuentra en la página de configuración de SSO de Talentlms.
Luego, haz clic en el botón Guardar.
Nota: Reemplaza tudominiopersonalizado.com por el dominio personalizado real de tu cuenta de TalentLMS. |
En las secciones Certificado de firma SAML y Tutorial de configuración de la galería de TalentLMS anota los valores EntraID (Azure AD) Identifier, Login URL, Logout URL y el valor Thumbprint del certificado. Los necesitarás para configurar TalentLMS en el siguiente paso.
Paso 2. Habilitar el SSO de SAML en tu dominio de TalentLMS
Inicia sesión en tu dominio de TalentLMS como Super-Admin y ve a Cuenta y ajustes → Usuarios. Si tu plan de suscripción respalda integraciones SSO (actualmente respaldadas en los planes Basic, Plus y Premium), puedes hacer clic en el enlace Single Sign-On (SSO).
En esta página debes completar la información relativa a tu proveedor de identidades EntraID (Azure AD).
- Tipo de integración SSO: Elige SAML2.0 en la lista desplegable
- Proveedor de identidades (IdP): Escribe el identificador de EntraID (Azure AD) desde la sección Tutorial de la Galería de TalentLMS de Entra (Azure).
- Certificado de huella digital: Escribe la huella digital del certificado desde la sección Certificado de firma SAML de Entra (Azure).
- URL de entrada remota: Introduce la URL de inicio de sesión de la sección Tutorial de la Galería de TalentLMS de Entra (Azure).URL de salida remota: Introduce la URL de Logout URL remota de la sección Tutorial de la Galería TalentLMS de Entra (Azure).
El resto de los campos se utilizan para definir los nombres de las variables del protocolo SAML que contienen los datos del usuario proporcionados por tu IdP, que son esenciales para TalentLMS. Evita el uso de nombres de variables con guiones bajos ( _ ). Por ejemplo, no configures tu IdP para enviar el nombre con la variable "given_name". En su lugar, utiliza de preferencia "givenname".
- TargetedID: Es el nombre de usuario de la cuenta de usuario y debe ser un identificador único para cada usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
- Nombre: El nombre del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Apellido: El apellido del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- Correo electrónico: la dirección de correo electrónico del usuario.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Ten en cuenta que el correo electrónico es esencial para la comunicación de TalentLMS, por lo que debes asegurarte de que todos los usuarios tengan direcciones de correo electrónico válidas.
- Grupo: El nombre del grupo o grupos a los que pertenece el usuario. Esta variable SAML puede contener un único valor de cadena (nombre de grupo) o una matriz de valores de cadena (nombres de grupos). Si el grupo con el mismo nombre existe en tu dominio de Talentlms, entonces el usuario será asignado en ese grupo y obtendrá todos los cursos de ese grupo específico en su primer inicio de sesión. La opción "Añadir grupos asignados con cada login" se puede seleccionar para forzar la asignación de grupos en cada inicio de sesión. Ten en cuenta que con esta opción no se elimina el usuario de los grupos para que coincidan con los enviados por tu IdP. En su lugar, sólo se realizan asignaciones a nuevos grupos.
- Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo.
Coincidencia de cuentas de usuario
En el momento de escribir este documento, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario sólo es posible en el caso de que el nombre de usuario proporcionado por tu IdP coincida exactamente con el nombre de usuario de una cuenta TalentLMS existente. En este caso, el estado de la cuenta de usuario de TalentLMS sigue siendo la misma durante el proceso de inicio de sesión de SSO. Sin embargo, el nombre, el apellido y el correo electrónico se extraen de tu IdP y reemplazan los valores existentes.
Si el nombre de usuario proporcionado por tu IdP para un usuario de TalentLMS existente es diferente de su nombre de usuario de TalentLMS, se creará una nueva cuenta con el nombre de usuario proporcionado por el IdP. En este caso, existirán dos cuentas diferentes para la misma persona.
Para garantizar que se realice correctamente la coincidencia de cuentas de usuario, debes configurar tu IdP para que envíe el mismo nombre de usuario para las cuentas de usuario existentes. El nombre del atributo SAML 2.0 que lleva el nombre de usuario se puede definir en el campo TargetedID en la página de configuración de SSO de TalentLMS.
Perfil de usuario
Aunque tus usuarios pueden cambiar su perfil (nombre, apellido, correo electrónico y nombre de usuario), no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afectará a la sesión actual. La próxima vez que un usuario inicie sesión, esos valores se extraerán de tu servidor IdP. Si se cambia el nombre de usuario, se producirá un efecto indeseable de falta de coincidencia de usuarios, ya que los usuarios coinciden en función de este valor. Por lo tanto, debes notificar a tus usuarios sobre cómo afecta el SSO a tu dominio de TalentLMS y evitar cambiar el nombre, el apellido, el correo electrónico y, sobre todo, el nombre de usuario de su perfil.
Si tus usuarios se autentican sólo a través de SSO, es una buena práctica desactivar las actualizaciones de perfil para tus usuarios cambiando los permisos específicos del grupo de usuarios. Para desactivar las actualizaciones del perfil de tus alumnos, ve al tablero, haz clic en Tipos de usuario → Tipo-Alumno→ General → Perfil y asegúrate de que no estén marcadas las casillas (1) "Actualización" y "Cambio de contraseña".