# Configurar el inicio de sesion unico (SSO)

Source: https://contracko.com/es/docs/configurar-inicio-sesion-unico

[Documentación](https://contracko.com/es/docs)

Configurar el inicio de sesion unico (SSO)

# Configurar el inicio de sesion unico (SSO)

Copiar para LLM

El inicio de sesión único (SSO) permite a su equipo acceder a Contracko a través de su proveedor de identidad existente, de modo que TI controla el acceso desde un solo lugar. Contracko admite inicio de sesión único OIDC de autoservicio en el plan Big Business. Puede conectar Microsoft Entra, Google Workspace, Okta, Auth0, JumpCloud, Keycloak o cualquier proveedor compatible con OIDC. SAML 2.0 está disponible bajo petición.

Esta guía recorre toda la configuración: verificar su dominio, crear una aplicación en su proveedor de identidad, conectarla en Contracko, probarla y activar la exigencia obligatoria.

## Antes de empezar

Necesitará:

- El plan Big Business. Los ajustes de SSO solo están disponibles en Big Business.
- Un rol de administrador, propietario o propietario de facturación en su espacio de trabajo de Contracko.
- Autenticación de dos factores (2FA) activada en la cuenta del propietario de facturación. El propietario de facturación es la única cuenta que puede seguir accediendo con contraseña si su proveedor de identidad llegara a no estar disponible, así que Contracko exige que esa cuenta tenga 2FA antes de poder conectar un proveedor o activar la exigencia. El propietario de facturación puede configurarlo en Ajustes o en /totp/setup.
- Acceso de administrador a su proveedor de identidad (para crear una aplicación OIDC).
- Acceso a sus registros DNS (para verificar su dominio).

Todo se configura en Ajustes > Seguridad (/account/security).

## Paso 1: Verifique su dominio

Antes de poder conectar un proveedor, verifique al menos un dominio de empresa. Un dominio verificado es lo que le permite después exigir SSO a todos los usuarios de ese dominio.

1. Vaya a Ajustes > Seguridad y busque la tarjeta Dominios verificados.
2. Haga clic en Añadir dominio e introduzca el dominio simple de su empresa, por ejemplo suempresa.com. No incluya https://, www. ni una barra final. Los subdominios cuentan como dominios distintos.
3. Contracko muestra un registro DNS TXT que debe añadir, con la forma contracko-domain-verification=.... Cópielo.
4. Añada ese registro TXT a su dominio en su proveedor de DNS.
5. De vuelta en Contracko, haga clic en Verificar junto al dominio. Los cambios de DNS pueden tardar hasta 48 horas en propagarse; una vez que el registro esté activo, la verificación se completa y el dominio muestra una insignia verde de Verificado.

Verificar suempresa.com también cubre sus subdominios, como ana@suempresa.com y juan@ing.suempresa.com.

## Paso 2: Cree una aplicación OIDC en su proveedor de identidad

En su proveedor de identidad, cree una nueva aplicación web OIDC (OpenID Connect). Necesitará la URI de redirección que Contracko le muestra durante el Paso 3:

```
https://app.contracko.com/api/auth/sso/callback/<your-provider-id>
```

Abra Ajustes > Seguridad > Inicio de sesión único > Añadir proveedor, elija su proveedor y Contracko muestra la URI de redirección exacta para pegar. (Para la opción genérica "Otro", la URI de redirección aparece en el paso de prueba, después de guardar, así que añádala a su proveedor antes de ejecutar la prueba.)

De su proveedor de identidad recopilará un Client ID y un Client secret, además de un valor específico del proveedor que se indica más abajo.

### Microsoft Entra

1. En el portal de Azure, vaya a Microsoft Entra ID > App registrations > New registration.
2. En Redirect URI, elija la plataforma Web y pegue la URI de redirección de Contracko.
3. En la página de Overview, copie el Application (client) ID y el Directory (tenant) ID.
4. Vaya a Certificates and secrets > New client secret y copie el Value del secreto (no el Secret ID).
5. En Contracko, introduzca el Directory (tenant) ID. Use su ID específico del tenant, no common, para que el inicio de sesión quede restringido a su tenant. Contracko construye la URL del issuer por usted.

### Google Workspace

1. En la consola de Google Cloud, vaya a APIs and Services > Credentials > Create credentials > OAuth client ID.
2. Elija el tipo de aplicación Web application.
3. En Authorized redirect URIs, añada la URI de redirección de Contracko.
4. Copie el Client ID y el Client secret generados.
5. En Contracko, introduzca su Dominio alojado esperado, que es su dominio principal de Google Workspace (por ejemplo, suempresa.com). Solo se permite iniciar sesión a las cuentas de ese dominio. Google siempre usa el mismo issuer, así que no hay URL de issuer que introducir.

### Okta

1. En la consola de administración de Okta, vaya a Applications > Create App Integration.
2. Elija OIDC - OpenID Connect y el tipo de aplicación Web Application.
3. En Sign-in redirect URIs, añada la URI de redirección de Contracko.
4. Copie el Client ID y el Client secret desde la pestaña General de la aplicación.
5. En Contracko, introduzca su dominio de Okta (por ejemplo, su-empresa.okta.com). Sin https://, sin barra final, sin ruta. Contracko construye la URL del issuer por usted.

### Auth0

1. En el panel de Auth0, vaya a Applications > Create Application.
2. Elija el tipo de aplicación Regular Web Application.
3. En Settings > Allowed Callback URLs, añada la URI de redirección de Contracko.
4. Copie el Client ID y el Client Secret desde la pestaña Settings.
5. En Contracko, introduzca su tenant de Auth0, que es la parte anterior a .auth0.com en la URL de su tenant. Contracko construye la URL del issuer por usted.

### JumpCloud

1. En el portal de administración de JumpCloud, vaya a SSO Applications > Add New Application.
2. Seleccione Custom OIDC App.
3. En Redirect URIs, añada la URI de redirección de Contracko.
4. Copie el Client ID y el Client Secret desde la pestaña SSO de la aplicación. JumpCloud usa el mismo issuer para todos los tenants, así que no hay URL de issuer que introducir.

### Keycloak

1. En la consola de administración de Keycloak, seleccione su realm y luego vaya a Clients > Create client.
2. Establezca el tipo de cliente en OpenID Connect y active Client authentication.
3. En Valid redirect URIs, añada la URI de redirección de Contracko.
4. En la pestaña Credentials, copie el Client secret. El Client ID es el nombre que le dio al cliente.
5. En Contracko, introduzca su host de Keycloak y Realm. Contracko construye la URL del issuer por usted.

### Cualquier otro proveedor OIDC

1. En su proveedor de identidad, cree una aplicación web OIDC (OpenID Connect).
2. Añada la URI de redirección de Contracko a las URL de redirección permitidas de la aplicación.
3. Copie el Client ID y el Client secret.
4. En Contracko, introduzca la Issuer URL completa de su proveedor y un Nombre del proveedor. Contracko descubre los endpoints de autorización, token y claves automáticamente desde /.well-known/openid-configuration.

## Paso 3: Conecte el proveedor en Contracko

1. Vaya a Ajustes > Seguridad > Inicio de sesión único (OIDC) y haga clic en Añadir proveedor.
2. Elija su proveedor de identidad de la lista.
3. Configure la conexión: pegue el Client ID y el Client secret, y luego rellene el campo específico del proveedor del Paso 2 (tenant ID, dominio alojado, dominio de Okta, etc.).
4. Establezca el rol por defecto que reciben los nuevos usuarios de SSO la primera vez que inician sesión (member, manager o admin). El valor por defecto es member.
5. Haga clic en Guardar y probar.

## Paso 4: Pruebe la conexión

Contracko verifica la conexión con un viaje de ida y vuelta real antes de que pueda exigirla.

1. En el paso Probar inicio de sesión, haga clic en Abrir prueba de inicio de sesión. Contracko abre su proveedor de identidad en una ventana emergente.
2. Inicie sesión con una cuenta de prueba de su tenant.
3. Contracko detecta el viaje de ida y vuelta correcto, marca el proveedor como Verificado y cierra la sesión de la cuenta de prueba.
4. Haga clic en Continuar.

Si la prueba falla, compruebe que la URI de redirección de su proveedor de identidad coincide exactamente y luego haga clic en Reintentar.

## Paso 5: Active la exigencia obligatoria

La exigencia hace que el SSO sea el único método de inicio de sesión para los usuarios de sus dominios verificados.

1. En el paso Exigir SSO (o en la lista de proveedores), active Exigir SSO para esta organización.
2. Cuando activa la exigencia, Contracko cierra las sesiones existentes con contraseña y con redes sociales de los usuarios de sus dominios verificados, de modo que todos vuelvan a iniciar sesión a través de su proveedor de identidad.

Un proveedor debe estar Verificado antes de poder exigirlo, y el propietario de facturación debe tener 2FA activada. Puede desactivar la exigencia de nuevo en cualquier momento. Para eliminar un proveedor, desactive primero la exigencia.

## Acceso de emergencia

Si su proveedor de identidad llegara a no estar disponible, el propietario de facturación puede seguir iniciando sesión con contraseña o con una cuenta de redes sociales, incluso con la exigencia activada. Por eso Contracko exige que el propietario de facturación tenga 2FA activada.

Cuando el propietario de facturación inicia sesión de esta forma, Contracko muestra un aviso breve, registra el evento y envía un correo al propietario de facturación con la dirección IP y el dispositivo utilizados. El propietario de facturación puede optar por continuar con el acceso excepcional o cambiar a iniciar sesión a través de su proveedor de identidad.

## Cómo funcionan las cuentas y los roles

- Los nuevos usuarios se crean automáticamente la primera vez que inician sesión a través de SSO, y se añaden a su espacio de trabajo con el rol por defecto que estableció en el proveedor.
- Los usuarios existentes con la misma dirección de correo se vinculan automáticamente, de modo que alguien que antes usaba una contraseña conserva su cuenta y su historial.
- La asignación de roles utiliza el rol por defecto del proveedor. Asignar grupos del proveedor de identidad a roles específicos de Contracko aún no está disponible.

## Preguntas frecuentes

¿Qué plan incluye SSO? El SSO de autoservicio está incluido en el plan Big Business.

¿Admiten SAML? La configuración de autoservicio es OIDC actualmente. SAML 2.0 está disponible bajo petición; contáctenos y le ayudaremos a configurarlo.

¿Quién puede configurar SSO? Los administradores, propietarios y el propietario de facturación. El propietario de facturación debe tener primero 2FA activada.

¿Puedo exigir SSO a todos? Sí. Verifique su dominio, conecte y pruebe un proveedor y luego active la exigencia. Los usuarios de sus dominios verificados iniciarán sesión a través de su proveedor de identidad.

¿Qué ocurre si nuestro proveedor de identidad se cae? El propietario de facturación puede iniciar sesión con una contraseña más 2FA como acceso excepcional de emergencia, y recibe un correo cada vez que esto ocurre.