El Inicio de sesión único (SSO) es un proceso de autenticación de usuarios que ahorra tiempo y es muy seguro. El SSO permite que los usuarios accedan a varias aplicaciones con una sola cuenta y cierren la sesión al instante con un solo clic.
TalentLMS respalda el SSO. Para proporcionar servicios de inicio de sesión único para tu dominio, TalentLMS actúa como de proveedor de servicio (SP) a través del estándar SAML (Lenguaje de Marcado para Confirmaciones de Seguridad).
Nota: El Inicio de sesión único está disponible con los planes de suscripción Basic, Plus y Premium. |
Para empezar, necesitas un proveedor de identidades (IdP) de SAML 2.0 para gestionar el proceso de inicio de sesión y proporcionar las credenciales de tus usuarios a TalentLMS.
La información requerida por TalentLMS es:
- Un identificador único para cada usuario.
- El nombre y apellido del usuario.
- El correo electrónico del usuario.
Cuando los usuarios se autentican a través de tu IdP, este gestiona los detalles de su cuenta. Cualquier cambio realizado en esos detalles se sincroniza con TalentLMS. TalentLMS no almacena ninguna contraseña.
Para configurar el SSO habilitado por SAML 2.0 necesitas:
- La versión de tu proveedor de identidades (IdP) de SAML. Actualmente, TalentLMS soporta SAML 2.0.
- La dirección URL del IdP de SAML que gestiona las solicitudes de inicio de sesión.
- La dirección URL del IdP donde TalentLMS redirecciona a los usuarios para que inicien la sesión.
- La dirección URL del IdP donde TalentLMS redirecciona a los usuarios para que cierren la sesión.
- La huella digital del certificado SAML que utiliza el IdP para firmar las comprobaciones SAML enviadas a TalentLMS. El certificado SAML lo proporciona el IdP en formato PEM.
Nota: TalentLMS funciona con certificados RSA. Los certificados DSA no son compatibles. |
Ahora sí, ¡empecemos!
Paso 1: Habilitar el SSO de SAML para tu dominio de TalentLMS
1. Inicia sesión en tu cuenta de TalentLMS como Administrador, ve a Inicio > Cuenta y ajustes > Usuarios y haz clic en Inicio de sesión único (SSO).
2. Tipo de integración SSO: En la lista desplegable, selecciona SAML2.0.
3. Proveedor de identidades (IdP): Escribe el dominio de tu proveedor de identidades de SAML 2.0.
4. Certificado de huella digital: Escribe la huella digital SHA-1 del certificado SAML que proporciona tu IdP. Alternativamente, haz clic en Ο pega tu certificado SAML (formato PEM) para abrir el área de texto del certificado SAML. Ubica tu certificado PEM en tu disco local, ábrelo en un editor de texto y copia el contenido del archivo. Pega el certificado PEM en el área de texto. Haz clic en Guardar y comprobar tu configuración para que se calcule la huella digital SHA-1 del certificado.
5. URL de entrada remota: Escribe la URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para que inicien la sesión.
6. URL de salida remota: Escribe la URL del servidor de tu IdP a la que TalentLMS redirecciona a los usuarios para que cierren la sesión.
Los campos restantes se utilizan para nombrar las variables SAML que contienen los datos del usuario requeridos por TalentLMS y proporcionados por tu IdP. Son opcionales y pueden dejarse en blanco para la mayoría de implementaciones del IdP SAML. En ese caso, se aplican sus valores predeterminados.
Nota: Si decides añadir tus propias variables, evita el uso de guiones bajos ( _ ) en los nombres de las variables (p.ej., firstname en lugar de first_name). |
7. TargetedID: El nombre de usuario de cada cuenta de usuario que sirve como identificador único del usuario. El valor predeterminado es urn:oid:1.3.6.1.4.1.5923.1.1.10.
Nota: Si tus usuarios se identifican únicamente con otra variable SAML, debes establecerla aquí. Sin embargo, la variable TargetedID predeterminada es suficiente para este propósito. |
8. Nombre: El nombre del usuario. El valor predeterminado es urn:oid:2.5.4.42.
9. Apellido: El apellido del usuario. El valor predeterminado es urn:oid:2.5.4.4.
10, Correo electrónico: La dirección de correo electrónico del usuario. El valor predeterminado es urn:oid:0.9.2342.19200300.100.1.3.
Nota: Asegúrate de que todos los usuarios tengan direcciones de correo electrónico válidas. El atributo de correo electrónico es fundamental para establecer la comunicación entre tu IdP SAML 2.0 y TalentLMS. |
11. Grupo: Los nombres de los grupos a los que pertenece el usuario. A esta variable se le puede asignar un único valor de cadena o una matriz de valores de cadena para más de un nombre de grupo. Cuando hay un grupo con el mismo nombre en tu dominio de TalentLMS, el usuario se registra automáticamente en ese grupo en su primer inicio de sesión. El usuario también se matricula en todos los cursos asignados a ese grupo.
Nota: Para forzar la asignación de grupos en cada inicio de sesión, marca la casilla Añadir grupos asignados con cada login. Los usuarios se asignan automáticamente a los nuevos grupos enviados por tu IdP en cada inicio de sesión, pero no se eliminan de los grupos no incluidos en esa lista. |
12. Campos personalizados: Puedes seleccionar los campos personalizados de TalentLMS y hacer que se muestren con la información derivada desde tu IdP (Proveedor de identidades). Para más información échale un vistazo a este artículo.
13. Haz clic en Guardar y comprobar tu configuración. Si todo está correcto, recibirás un mensaje de conclusión exitosa que contiene todos los valores extraídos de tu IdP.
Paso 2: Configurar tu proveedor de identidades (IdP)
A continuación, tienes que establecer la comunicación entre tu IdP y tu proveedor de servicio (SP) SAML de TalentLMS. Ahora, te brindamos toda la información necesaria para configurar tu IdP:
Nota: No olvides reemplazar "[my-domain-name]" por el nombre de tu dominio de TalentLMS. |
1. El ID de la entidad de tu proveedor de servicio de TalentLMS es
[my-domain-name].talentlms.com.
2. La URL del servicio de comprobación de usuarios (ACS) es:
[my-domain-name].talentlms.com/simplesaml/module.php/saml/sp/saml2-acs.php/[my-domain-name].talentlms.com.
3. La URL del servicio de salida única es:
[my-domain-name].talentlms.com/simplesaml/module.php/saml/sp/saml2-logout.php/[my-domain-name].talentlms.com.
4. Puedes obtener los metadatos del SP de TalentLMS para tu dominio en la siguiente URL:
[my-domain-name].talentlms.com/simplesaml/module.php/saml/sp/metadata.php/[my-domain-name].talentlms.com?output=xhtml.
Coincidencia de cuentas de usuario
En el momento de escribir este artículo, TalentLMS proporciona un mecanismo pasivo para la coincidencia de cuentas de usuario. Esto significa que las cuentas de usuario de TalentLMS existentes se comparan con las cuentas de usuario de SSO en función de su nombre de usuario.
La coincidencia de cuentas de usuario se puede lograr sólo cuando el nombre de usuario proporcionado por tu IdP es exactamente el mismo que el nombre de usuario de la cuenta de TalentLMS existente. En ese caso, la cuenta de TalentLMS del usuario sigue siendo la misma durante el proceso de SSO. Sin embargo, los valores del nombre, el apellido y el correo electrónico del usuario se extraen de tu IdP y reemplazan a los existentes.
Cuando el nombre de usuario proporcionado por tu IdP para un usuario de TalentLMS existente es diferente de su nombre de usuario de TalentLMS, se crea una nueva cuenta para el nombre de usuario proporcionado por el IdP. En ese caso, se atribuyen dos cuentas diferentes a la misma persona.
Para asegurarte de que funcione correctamente la coincidencia de cuentas de usuario, configura tu IdP para que envíe los mismos nombres de usuario para todas las cuentas de usuario de TalentLMS existentes. El nombre de la variable SAML que contiene el nombre de usuario es el que se escribe en el campo TargetedID de la página de configuración Inicio de sesión único (SSO) de TalentLMS (consulta el paso 1.7).
Perfil de usuario
Tus usuarios pueden cambiar la información de su perfil de TalentLMS, pero no se recomienda hacerlo. Cambiar el nombre, el apellido y el correo electrónico sólo afecta a su sesión actual. La próxima vez que el usuario inicie sesión, esos valores se extraerán de tu servidor IdP y reemplazarán a los que se han modificado. Si se cambia el nombre de usuario, se produce una falta de coincidencia entre los usuarios, ya que los usuarios de TalentLMS coinciden con los de tu IdP en función del valor del nombre de usuario.
Sugerimos que notifiques a tus usuarios cómo afecta el proceso de SSO a tu dominio de TalentLMS y les aconsejes que eviten cambiar su nombre, apellido, correo electrónico y, sobre todo, su nombre de usuario en su perfil de TalentLMS.
Cuando tus usuarios se autentican sólo a través de SSO, se considera una buena práctica desactivar las actualizaciones del perfil para aquellos usuarios. Para ello:
1. Inicia sesión en tu cuenta de TalentLMS como Administrador y ve a Tipos de usuario > Learner-Type > General > Perfil.
2. Si están marcados, desmarca los permisos de Actualización y Cambio de contraseña.
Nota: Para obtener más información sobre los tipos de usuarios de TalentLMS, consulta este artículo. |
Problemas conocidos
TalentLMS sólo respalda el SSO iniciado por el SP. Para forzar el SSO iniciado por el SP desde el lado del IdP, debes crear una aplicación de marcadores personalizada en tu servicio IdP que redireccione a tus usuarios a la siguiente URL de TalentLMS (simplemente reemplaza "[mi-dominio]" por tu dominio de TalentLMS):
[mi-dominio]/index/ssologin/servicio:saml