Skip to content
Contracko Logo
Documentaci贸n

Configurar el inicio de sesion unico (SSO)

El inicio de sesi贸n 煤nico (SSO) permite a su equipo acceder a Contracko a trav茅s de su proveedor de identidad existente, de modo que TI controla el acceso desde un solo lugar. Contracko admite inicio de sesi贸n 煤nico OIDC de autoservicio en el plan Big Business. Puede conectar Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak o cualquier proveedor compatible con OIDC. SAML 2.0 est谩 disponible bajo petici贸n.

Esta gu铆a recorre toda la configuraci贸n: verificar su dominio, crear una aplicaci贸n en su proveedor de identidad, conectarla en Contracko, probarla y activar la exigencia obligatoria.

Antes de empezar

Necesitar谩:

  • El plan Big Business. Los ajustes de SSO solo est谩n disponibles en Big Business.
  • Un rol de administrador, propietario o propietario de facturaci贸n en su espacio de trabajo de Contracko.
  • Autenticaci贸n de dos factores (2FA) activada en la cuenta del propietario de facturaci贸n. El propietario de facturaci贸n es la 煤nica cuenta que puede seguir accediendo con contrase帽a si su proveedor de identidad llegara a no estar disponible, as铆 que Contracko exige que esa cuenta tenga 2FA antes de poder conectar un proveedor o activar la exigencia. El propietario de facturaci贸n puede configurarlo en Ajustes o en /totp/setup.
  • Acceso de administrador a su proveedor de identidad (para crear una aplicaci贸n OIDC).
  • Acceso a sus registros DNS (para verificar su dominio).

Todo se configura en Ajustes > Seguridad (/account/security).

Paso 1: Verifique su dominio

Antes de poder conectar un proveedor, verifique al menos un dominio de empresa. Un dominio verificado es lo que le permite despu茅s exigir SSO a todos los usuarios de ese dominio.

  1. Vaya a Ajustes > Seguridad y busque la tarjeta Dominios verificados.
  2. Haga clic en A帽adir dominio e introduzca el dominio simple de su empresa, por ejemplo suempresa.com. No incluya https://, www. ni una barra final. Los subdominios cuentan como dominios distintos.
  3. Contracko muestra un registro DNS TXT que debe a帽adir, con la forma contracko-domain-verification=.... C贸pielo.
  4. A帽ada ese registro TXT a su dominio en su proveedor de DNS.
  5. De vuelta en Contracko, haga clic en Verificar junto al dominio. Los cambios de DNS pueden tardar hasta 48 horas en propagarse; una vez que el registro est茅 activo, la verificaci贸n se completa y el dominio muestra una insignia verde de Verificado.

Verificar suempresa.com tambi茅n cubre sus subdominios, como [email protected] y [email protected].

Paso 2: Cree una aplicaci贸n OIDC en su proveedor de identidad

En su proveedor de identidad, cree una nueva aplicaci贸n web OIDC (OpenID Connect). Necesitar谩 la URI de redirecci贸n que Contracko le muestra durante el Paso 3:

https://app.contracko.com/api/auth/sso/callback/<your-provider-id>

Abra Ajustes > Seguridad > Inicio de sesi贸n 煤nico > A帽adir proveedor, elija su proveedor y Contracko muestra la URI de redirecci贸n exacta para pegar. (Para la opci贸n gen茅rica "Otro", la URI de redirecci贸n aparece en el paso de prueba, despu茅s de guardar, as铆 que a帽谩dala a su proveedor antes de ejecutar la prueba.)

De su proveedor de identidad recopilar谩 un Client ID y un Client secret, adem谩s de un valor espec铆fico del proveedor que se indica m谩s abajo.

Microsoft Entra

  1. En el portal de Azure, vaya a Microsoft Entra ID > App registrations > New registration.
  2. En Redirect URI, elija la plataforma Web y pegue la URI de redirecci贸n de Contracko.
  3. En la p谩gina de Overview, copie el Application (client) ID y el Directory (tenant) ID.
  4. Vaya a Certificates and secrets > New client secret y copie el Value del secreto (no el Secret ID).
  5. En Contracko, introduzca el Directory (tenant) ID. Use su ID espec铆fico del tenant, no common, para que el inicio de sesi贸n quede restringido a su tenant. Contracko construye la URL del issuer por usted.

Google Workspace

  1. En la consola de Google Cloud, vaya a APIs and Services > Credentials > Create credentials > OAuth client ID.
  2. Elija el tipo de aplicaci贸n Web application.
  3. En Authorized redirect URIs, a帽ada la URI de redirecci贸n de Contracko.
  4. Copie el Client ID y el Client secret generados.
  5. En Contracko, introduzca su Dominio alojado esperado, que es su dominio principal de Google Workspace (por ejemplo, suempresa.com). Solo se permite iniciar sesi贸n a las cuentas de ese dominio. Google siempre usa el mismo issuer, as铆 que no hay URL de issuer que introducir.

Okta

  1. En la consola de administraci贸n de Okta, vaya a Applications > Create App Integration.
  2. Elija OIDC - OpenID Connect y el tipo de aplicaci贸n Web Application.
  3. En Sign-in redirect URIs, a帽ada la URI de redirecci贸n de Contracko.
  4. Copie el Client ID y el Client secret desde la pesta帽a General de la aplicaci贸n.
  5. En Contracko, introduzca su dominio de Okta (por ejemplo, su-empresa.okta.com). Sin https://, sin barra final, sin ruta. Contracko construye la URL del issuer por usted.

Auth0

  1. En el panel de Auth0, vaya a Applications > Create Application.
  2. Elija el tipo de aplicaci贸n Regular Web Application.
  3. En Settings > Allowed Callback URLs, a帽ada la URI de redirecci贸n de Contracko.
  4. Copie el Client ID y el Client Secret desde la pesta帽a Settings.
  5. En Contracko, introduzca su tenant de Auth0, que es la parte anterior a .auth0.com en la URL de su tenant. Contracko construye la URL del issuer por usted.

JumpCloud

  1. En el portal de administraci贸n de JumpCloud, vaya a SSO Applications > Add New Application.
  2. Seleccione Custom OIDC App.
  3. En Redirect URIs, a帽ada la URI de redirecci贸n de Contracko.
  4. Copie el Client ID y el Client Secret desde la pesta帽a SSO de la aplicaci贸n. JumpCloud usa el mismo issuer para todos los tenants, as铆 que no hay URL de issuer que introducir.

Keycloak

  1. En la consola de administraci贸n de Keycloak, seleccione su realm y luego vaya a Clients > Create client.
  2. Establezca el tipo de cliente en OpenID Connect y active Client authentication.
  3. En Valid redirect URIs, a帽ada la URI de redirecci贸n de Contracko.
  4. En la pesta帽a Credentials, copie el Client secret. El Client ID es el nombre que le dio al cliente.
  5. En Contracko, introduzca su host de Keycloak y Realm. Contracko construye la URL del issuer por usted.

Cualquier otro proveedor OIDC

  1. En su proveedor de identidad, cree una aplicaci贸n web OIDC (OpenID Connect).
  2. A帽ada la URI de redirecci贸n de Contracko a las URL de redirecci贸n permitidas de la aplicaci贸n.
  3. Copie el Client ID y el Client secret.
  4. En Contracko, introduzca la Issuer URL completa de su proveedor y un Nombre del proveedor. Contracko descubre los endpoints de autorizaci贸n, token y claves autom谩ticamente desde /.well-known/openid-configuration.

Paso 3: Conecte el proveedor en Contracko

  1. Vaya a Ajustes > Seguridad > Inicio de sesi贸n 煤nico (OIDC) y haga clic en A帽adir proveedor.
  2. Elija su proveedor de identidad de la lista.
  3. Configure la conexi贸n: pegue el Client ID y el Client secret, y luego rellene el campo espec铆fico del proveedor del Paso 2 (tenant ID, dominio alojado, dominio de Okta, etc.).
  4. Establezca el rol por defecto que reciben los nuevos usuarios de SSO la primera vez que inician sesi贸n (member, manager o admin). El valor por defecto es member.
  5. Haga clic en Guardar y probar.

Paso 4: Pruebe la conexi贸n

Contracko verifica la conexi贸n con un viaje de ida y vuelta real antes de que pueda exigirla.

  1. En el paso Probar inicio de sesi贸n, haga clic en Abrir prueba de inicio de sesi贸n. Contracko abre su proveedor de identidad en una ventana emergente.
  2. Inicie sesi贸n con una cuenta de prueba de su tenant.
  3. Contracko detecta el viaje de ida y vuelta correcto, marca el proveedor como Verificado y cierra la sesi贸n de la cuenta de prueba.
  4. Haga clic en Continuar.

Si la prueba falla, compruebe que la URI de redirecci贸n de su proveedor de identidad coincide exactamente y luego haga clic en Reintentar.

Paso 5: Active la exigencia obligatoria

La exigencia hace que el SSO sea el 煤nico m茅todo de inicio de sesi贸n para los usuarios de sus dominios verificados.

  1. En el paso Exigir SSO (o en la lista de proveedores), active Exigir SSO para esta organizaci贸n.
  2. Cuando activa la exigencia, Contracko cierra las sesiones existentes con contrase帽a y con redes sociales de los usuarios de sus dominios verificados, de modo que todos vuelvan a iniciar sesi贸n a trav茅s de su proveedor de identidad.

Un proveedor debe estar Verificado antes de poder exigirlo, y el propietario de facturaci贸n debe tener 2FA activada. Puede desactivar la exigencia de nuevo en cualquier momento. Para eliminar un proveedor, desactive primero la exigencia.

Acceso de emergencia

Si su proveedor de identidad llegara a no estar disponible, el propietario de facturaci贸n puede seguir iniciando sesi贸n con contrase帽a o con una cuenta de redes sociales, incluso con la exigencia activada. Por eso Contracko exige que el propietario de facturaci贸n tenga 2FA activada.

Cuando el propietario de facturaci贸n inicia sesi贸n de esta forma, Contracko muestra un aviso breve, registra el evento y env铆a un correo al propietario de facturaci贸n con la direcci贸n IP y el dispositivo utilizados. El propietario de facturaci贸n puede optar por continuar con el acceso excepcional o cambiar a iniciar sesi贸n a trav茅s de su proveedor de identidad.

C贸mo funcionan las cuentas y los roles

  • Los nuevos usuarios se crean autom谩ticamente la primera vez que inician sesi贸n a trav茅s de SSO, y se a帽aden a su espacio de trabajo con el rol por defecto que estableci贸 en el proveedor.
  • Los usuarios existentes con la misma direcci贸n de correo se vinculan autom谩ticamente, de modo que alguien que antes usaba una contrase帽a conserva su cuenta y su historial.
  • La asignaci贸n de roles utiliza el rol por defecto del proveedor. Asignar grupos del proveedor de identidad a roles espec铆ficos de Contracko a煤n no est谩 disponible.

Preguntas frecuentes

驴Qu茅 plan incluye SSO? El SSO de autoservicio est谩 incluido en el plan Big Business.

驴Admiten SAML? La configuraci贸n de autoservicio es OIDC actualmente. SAML 2.0 est谩 disponible bajo petici贸n; cont谩ctenos y le ayudaremos a configurarlo.

驴Qui茅n puede configurar SSO? Los administradores, propietarios y el propietario de facturaci贸n. El propietario de facturaci贸n debe tener primero 2FA activada.

驴Puedo exigir SSO a todos? S铆. Verifique su dominio, conecte y pruebe un proveedor y luego active la exigencia. Los usuarios de sus dominios verificados iniciar谩n sesi贸n a trav茅s de su proveedor de identidad.

驴Qu茅 ocurre si nuestro proveedor de identidad se cae? El propietario de facturaci贸n puede iniciar sesi贸n con una contrase帽a m谩s 2FA como acceso excepcional de emergencia, y recibe un correo cada vez que esto ocurre.

ennldefres