El inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS respalda el SSO. Para proporcionar servicios de inicio de sesión único para tu dominio, TalentLMS actúa como proveedor de servicio (SP) a través del estándar SAML (Lenguaje de Marcado para Confirmaciones de Seguridad).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Para empezar, necesitas una cuenta de Okta para gestionar el proceso de inicio de sesión y proporcionar las credenciales de tus usuarios a TalentLMS.
La información requerida por TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentican a través de tu IdP, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles (es decir, nombre, apellido, correo electrónico) se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Cómo integrar Okta y TalentLMS con la aplicación de TalentLMS
Okta proporciona a los usuarios registrados una completa guía paso a paso para configurar la aplicación de TalentLMS. A continuación, te explicamos cómo encontrarla:
1. Inicia sesión en tu cuenta de Okta y ve a Aplicaciones > Añadir aplicación.
2. En el campo de búsqueda, escribe talentlms y, en los resultados de búsqueda que aparecen, haz clic en Añadir junto a la entrada de TalentLMS.
3. En el campo Subdominio, escribe el nombre de tu dominio de TalentLMS (es decir, si tu dominio de TalentLMS es miempresa.talentlms.com, escribe miempresa) y haz clic en Hecho.
4. Ve a la pestaña Inicio de sesión y haz clic en Ver instrucciones de configuración.
Se le direccionará a un manual de configuración de Okta-TalentLMS adaptado a tu cuenta (es decir, contiene los parámetros exactos para integrar tus cuentas de Okta y TalentLMS).
5. Sigue atentamente las instrucciones para completar tu integración.
Nota: TalentLMS sólo respalda el SSO iniciado por el SP. Para forzar el SSO iniciado por el SP desde el lado del IdP, Okta recomienda ocultar la aplicación de TalentLMS y crear una aplicación personalizada de Marcadores con el logotipo de TalentLMS (tal y como se describe aquí). La aplicación de marcadores debe redireccionar a tus usuarios a la siguiente URL de TalentLMS (simplemente reemplaza "[mi-dominio]" por tu dominio de TalentLMS): [mi-dominio]/index/ssologin/service:saml |
Coincidencia de cuentas de usuario
En el momento de escribir este artículo, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario se puede lograr sólo cuando el nombre de usuario proporcionado por tu IdP es exactamente el mismo que el nombre de usuario de la cuenta de TalentLMS existente. En ese caso, el estado de la cuenta de TalentLMS del usuario sigue siendo el mismo durante el proceso de inicio de sesión único. Sin embargo, los valores del nombre, los apellidos y el correo electrónico del usuario se extraen de tu IdP y reemplazan a los existentes.
Cuando el nombre de usuario proporcionado por tu IdP para un usuario de TalentLMS existente es diferente de su nombre de usuario de TalentLMS, se crea una nueva cuenta para el nombre de usuario proporcionado por el IdP. En ese caso, se atribuyen dos cuentas diferentes a la misma persona.
Para asegurarte de que funcione correctamente la coincidencia de cuentas de usuario, configura tu IdP para que envíe los mismos nombres de usuario para todas las cuentas de usuario de TalentLMS existentes. El nombre de la variable SAML que lleva el nombre de usuario es el que se escribe en el campo TargetedID en la página de configuración de Single Sign-On (SSO) de TalentLMS.
Perfil de usuario
Tus usuarios pueden cambiar la información de su perfil en TalentLMS (nombre, apellido, correo electrónico y nombre de usuario), pero no se recomienda. Cambiar el nombre, el apellido y el correo electrónico sólo afectará a su sesión actual.
La próxima vez que el usuario inicie sesión, esos valores se extraerán de tu servidor IdP y reemplazarán a los que se han modificado. Si se cambia el nombre de usuario, se produce una falta de coincidencia de usuarios, ya que los usuarios de TalentLMS coinciden con los de tu IdP en función del valor del nombre de usuario.
Sugerimos que notifiques a tus usuarios cómo afecta el proceso de SSO a tu dominio de TalentLMS y les aconsejes que eviten cambiar su nombre, apellido, correo electrónico y, sobre todo, su nombre de usuario en su perfil de TalentLMS.
Cuando tus usuarios se autentican sólo a través de SSO, se considera una buena práctica desactivar las actualizaciones de perfil para aquellos usuarios. Para ello, ve a Tipos de usuario > Tipo-Alumno > General > Perfil y (si están marcados) desmarca los permisos de Actualización y Cambio de contraseña.
¡Lo lograste!
Tu dominio de TalentLMS está configurado para proporcionar servicios SSO. Tus usuarios pueden iniciar sesión en tu dominio de TalentLMS con el nombre de usuario y la contraseña que se almacena en tu proveedor de identidades de Okta.