Con deskbird, puedes integrar el inicio de sesión único (SSO) usando Microsoft Entra ID (antes conocido como Azure AD). Esto garantiza una autenticación segura y un acceso cómodo en toda tu organización.
- Configura el SSO con Entra ID
- Configuración manual de OIDC (no se requiere aplicación empresarial)
- Restringe permisos mediante la asignación de aplicaciones
1. Configura el SSO con Entra ID
Para activar el SSO, un administrador de TI debe instalar la aplicación empresarial de Microsoft Entra ID y conceder los permisos necesarios.
👉 Haz clic aquí para instalar y conceder acceso:
https://login.microsoftonline.com/common/adminConsent?client_id=60e10e49-86e8-4755-ac34-2804c82237c6&redirect_uri=https://www.deskbird.com/single-sign-on-via-azure-ad
Los permisos requeridos son:
- User.Read: Permite a los usuarios iniciar sesión en deskbird y permite a deskbird leer los perfiles de los usuarios que han iniciado sesión. Nota: deskbird no tiene acceso a los datos de perfil de los usuarios que nunca han iniciado sesión.
- Group.Read.All: Permite a deskbird leer todos los grupos de usuarios. Esto se utiliza, por ejemplo, para importar grupos de usuarios en el Portal de administrador o para sincronizar grupos cuando los usuarios inician sesión.
Hay permisos estándar adicionales que se agregan automáticamente y no requieren consentimiento de administrador.
- offline_access: Permite a deskbird usar tokens de actualización para recuperar datos a través de la API de Microsoft Graph.
- email, openid y profile: Permisos que se agregan automáticamente y que otorgan a deskbird permisos similares a User.Read pero con menos información de perfil.
El tipo de permiso es delegado, lo que significa que deskbird accede a la API de Graph como el usuario que ha iniciado sesión, pero con acceso limitado por el permiso seleccionado.
💡 Nota: Las fotos de perfil de usuario se sincronizan automáticamente durante la primera autenticación por SSO, si están disponibles.
💡 Si el SSO está configurado como el único método de inicio de sesión para tu organización, esta restricción solo aplica a los usuarios internos. Los usuarios externos (por ejemplo, contratistas) aún pueden ser añadidos a deskbird y pueden usar correo electrónico y contraseña para iniciar sesión, ya que quedan fuera del alcance de tu proveedor de identidad.
2. Configuración manual de OIDC (no se requiere aplicación empresarial)
Si tu organización no puede instalar la aplicación empresarial de deskbird desde la galería de aplicaciones de Microsoft, puedes configurar el SSO creando tu propio registro de aplicación en Entra ID y compartiendo las credenciales con deskbird. El equipo de soporte de deskbird se encargará de la integración.
Paso 1: Crea el registro de la aplicación
- Ve a Azure Portal > Microsoft Entra ID > App registrations > New registration.
- Introduce un nombre, por ejemplo
deskbird SSO. - En Supported account types, selecciona Accounts in this organizational directory only (single tenant).
- Haz clic en Register.
Paso 2: Anota los IDs
- Desde la página de Overview de la aplicación, copia el Application (client) ID y el Directory (tenant) ID.
Paso 3: Crea un Client Secret
- Ve a Certificates & secrets > Client secrets > New client secret.
- Introduce una descripción, por ejemplo
deskbird production, y elige una duración de expiración. - Haz clic en Add y copia el Value de inmediato — no se mostrará de nuevo.
Paso 4: Configura los permisos de la API
- Ve a API permissions > Add a permission > Microsoft Graph > Delegated permissions.
- Agrega los siguientes permisos:
openid,profile,email,User.Read. - Haz clic en Grant admin consent for [Organization].
Paso 5: Comparte las credenciales con deskbird
Contacta al soporte de deskbird y proporciona los siguientes tres valores:
- Directory (tenant) ID
- Application (client) ID
- Valor del Client Secret
El equipo de soporte de deskbird completará la configuración por ti.
⚠️ Nota: El valor del Client Secret es sensible. Compártelo de forma segura y evita enviarlo por canales no cifrados.
3. Restringe permisos mediante la asignación de aplicaciones
Puedes restringir qué usuarios o grupos pueden acceder a deskbird usando SSO.
- En el centro de administración de Entra, abre la aplicación empresarial de deskbird.
- En Properties, establece Assignment required en "Yes".
- Agrega usuarios o grupos específicos en Users and groups.
⚠️ Esto restringe el acceso de inicio de sesión, pero no aprovisiona usuarios. Para el aprovisionamiento automático, se requiere una configuración SCIM aparte.
⚠️ Error AADSTS50105: Este error ocurre cuando alguien intenta iniciar sesión pero no está asignado a un grupo con acceso permitido. Pide a tu equipo interno de TI que agregue al usuario al grupo de acceso correcto (o actualice sus permisos), y luego inténtalo de nuevo.