El inicio de sesión único (SSO) con SAML 2.0 permite que tus usuarios inicien sesión en deskbird usando su proveedor de identidad (IdP) actual. A continuación encontrarás opciones rápidas para Okta y Keycloak, además de una guía completa para configurar la federación (SSO iniciado por el SP).
- SAML usando Okta
- SAML usando Keycloak
- Configuración de la federación SAML 2.0
- Renovación del certificado SAML
- Cuándo usar SAML vs. OAuth / OIDC
1. SAML usando Okta
Utiliza nuestra guía dedicada de Okta para configurar una app SAML en Okta, mapear los atributos requeridos y probar el inicio de sesión único (SSO) iniciado por el SP en deskbird. Incluye capturas de pantalla, declaraciones de atributos y consejos para resolver problemas.
👉 Paso a paso: Configura SAML SSO con Okta
2. SAML usando Keycloak
¿Prefieres usar Keycloak? Sigue la guía de Keycloak para iniciar sesión único en deskbird.
👉 Paso a paso: Configura SAML SSO con Keycloak
3. Configuración de la federación SAML 2.0
SAML 2.0 (Security Assertion Markup Language) es un protocolo basado en XML para intercambiar de forma segura datos de autenticación/autorización entre un proveedor de identidad (IdP) y un proveedor de servicios (SP). deskbird es compatible con el inicio de sesión único iniciado por el SP (la autenticación debe comenzar desde deskbird).
Si quieres un acceso directo en tu lanzador IAM (por ejemplo, OneLogin, JumpCloud) para que los usuarios hagan clic, añade una aplicación de marcador que inicie el flujo iniciado por el SP en deskbird:https://app.deskbird.com/saml?providerName={saml-provider-ID}
El ID del proveedor SAML sigue el formato saml.{company-name}. Ejemplo para "Polaroid": https://app.deskbird.com/saml?providerName=saml.polaroid.
Crea una aplicación de federación separada y oculta en tu IdP para la conexión SAML (no visible para los usuarios).
3.1 Configuración general
Configura tu IdP con los siguientes datos del proveedor de servicios de deskbird:
| ID del proveedor de servicios (Entity ID) | https://api.deskbird.app/saml/metadata |
| ACS URL (Callback) | https://app.deskbird.com/__/auth/handler |
💡 Para que la autenticación SAML 2.0 sea exitosa, configura NameID con la dirección de correo electrónico del usuario usando el formato urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
Ejemplo de fragmento de aserción
<saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" NameQualifier="<IdP Entity ID>" SPNameQualifier="https://api.deskbird.app/saml/metadata" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> email </saml2:NameID> <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> </saml2:Subject> Enviar a deskbird para la configuración
| IdP Entity ID | |
| IdP SSO URL | |
| IdP Certificate | Debe comenzar con -----BEGIN CERTIFICATE----- y terminar con -----END CERTIFICATE----- (pegar sin caracteres extra o saltos de línea). |
Si tienes un archivo de metadatos del IdP, puedes enviar ese archivo en su lugar.
3.2 Atributos de usuario
Atributos obligatorios (usa estos nombres exactos):
| Atributo | Descripción |
| Dirección de correo UPN usada para iniciar sesión, notificaciones e información de reservas | |
| first_name | Nombre del usuario (se muestra en la plataforma) |
| last_name | Apellido del usuario (se muestra en la plataforma) |
Atributos recomendados:
| Atributo | Descripción |
| avatar_url | URL de la foto de perfil; se usan iniciales si se omite |
| external_id | ID de usuario en el IdP para emparejamiento |
| manager_id | ID del IdP del responsable directo del usuario (usado para aprobaciones) |
| locale | Idioma preferido del usuario (por defecto el idioma de la empresa si se omite) |
| office | Oficina principal del usuario |
| job_title | Puesto de trabajo del usuario |
| department | Departamento del usuario (usado para gestión de accesos) |
| company_entity | Entidad legal del usuario (por defecto la entidad de la empresa si se omite) |
3.3 Archivo de metadatos
Después de crear la aplicación SAML en tu IdP, por favor envíanos el archivo de metadatos que incluya:
- Certificado
- Entity ID
- SSO URL
4. Renovación del certificado SAML
Los certificados SAML tienen una fecha de caducidad (normalmente de 1 a 3 años después de su creación). Cuando un certificado está por expirar, tu proveedor de identidad te avisará. Es importante renovarlo antes de que expire para evitar problemas de acceso.
Comienza el proceso de renovación al menos 2 o 3 semanas antes de la fecha de caducidad para tener tiempo de coordinarlo.
Proceso de renovación paso a paso (Microsoft Entra ID):
- En el portal de Microsoft Entra ID, ve a tu aplicación empresarial de deskbird.
- Navega a Inicio de sesión único > Certificados SAML.
- Haz clic en el icono de Editar (lápiz).
- Haz clic en Nuevo certificado.
- Establece la fecha de caducidad (por defecto es 3 años).
- Haz clic en Guardar. El nuevo certificado aparecerá con estado Inactivo.
- Descarga el nuevo certificado (formato Base64).
- Envía el certificado al soporte de deskbird mediante un ticket de soporte. Incluye el nombre de tu empresa y menciona que es una renovación de certificado SAML.
- El soporte de deskbird reemplazará el certificado de nuestro lado y te confirmará cuando esté listo.
- Una vez que deskbird confirme, vuelve a Entra ID y activa el nuevo certificado (ponlo en Activo).
Tiempo sin servicio
Normalmente no hay tiempo sin servicio durante la rotación del certificado, siempre que coordines el momento de la activación con el soporte de deskbird. El certificado antiguo sigue funcionando hasta que cambies al nuevo.
5. Cuándo usar SAML vs. OAuth / OIDC
Si estás decidiendo entre SAML y OAuth (Microsoft SSO), ten en cuenta lo siguiente:
| Funcionalidad | SAML 2.0 | OAuth / Microsoft SSO / Google SSO |
|---|---|---|
| Gestión de certificados | Requiere renovación periódica | No requiere gestión de certificados |
| Experiencia de usuario | Los usuarios hacen clic en "Iniciar sesión con cuenta de empresa (SSO)" en la pantalla de acceso | Los usuarios hacen clic en "Iniciar sesión con Microsoft" en la pantalla de acceso |
| Flexibilidad del IdP | Funciona con cualquier IdP SAML 2.0 (Okta, Keycloak, ADFS, etc.) | Solo Microsoft y Google |
| Requisito de plan | User and Data Management Plus | Disponible en todos los planes |