Ir al contenido principal

Configuración de SSO/IDP

Connect Microsoft Entra, Google Workspace, or any OpenID Connect provider so technicians can sign in to Level with existing credentials.

Introducción

Configure el inicio de sesión único para que su equipo pueda iniciar sesión en Level usando su proveedor de identidad (IdP) existente en lugar de una contraseña separada de Level. Level ofrece dos IdP preconfigurados (Microsoft Entra y Google Workspace) más una opción genérica de OpenID Connect (OIDC) que funciona con cualquier otro IdP que admita el protocolo: Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak, entre otros.

ℹ️ NOTA: «IdP» (proveedor de identidad) es el sistema que autentica a sus usuarios. «OIDC» (OpenID Connect) es el protocolo que Level usa para comunicarse con él. Microsoft Entra y Google Workspace son IdP que implementan OIDC internamente; Level los preconfigura para que la instalación sea con un solo clic. La tercera fila, etiquetada OIDC, es la opción de protocolo genérico para cualquier otro IdP que admita OpenID Connect.

Este artículo explica la configuración por proveedor, cómo cambiar usuarios a SSO una vez que un proveedor está conectado, y cómo editar o desconectar un proveedor.

Cómo funciona SSO en Level

Level trata cada proveedor como una integración a nivel de toda la organización. Conectar un proveedor no cambia automáticamente la autenticación de nadie. Los administradores mueven a los técnicos individuales a SSO desde Workspace → Equipo, y cualquier usuario que no haya sido migrado continúa iniciando sesión con correo electrónico y contraseña.

ℹ️ NOTA: Solo se puede configurar un proveedor de SSO a la vez. Para cambiar de un proveedor a otro (por ejemplo, de Entra a OIDC), desconecte primero el proveedor actual y luego conecte el nuevo. La desconexión revierte inmediatamente a todos los usuarios de SSO a la autenticación por correo electrónico y contraseña, así que planifique el restablecimiento de contraseñas para los usuarios afectados antes de realizar el cambio.

SSO Configuration

La identidad SSO de un técnico se asocia por dirección de correo electrónico. El correo electrónico en su cuenta de Level debe coincidir con el correo devuelto por el proveedor de identidad. La coincidencia no distingue entre mayúsculas y minúsculas, por lo que [email protected] y [email protected] resuelven al mismo usuario. La parte local (antes del @) debe ser idéntica en todo lo demás.

💡 CONSEJO: Mantenga al menos una cuenta de administrador con autenticación por correo electrónico y contraseña. Si su proveedor de identidad se cae, los usuarios de SSO no podrán iniciar sesión. Una cuenta de administrador local le proporciona una vía de acceso de emergencia sin depender del proveedor.

Conectar Microsoft Entra

Microsoft Entra (anteriormente Azure AD) utiliza un flujo OAuth de un solo clic. No es necesario registrar manualmente una aplicación en Entra. La aplicación de Level gestiona el registro y la autorización del lado de Microsoft.

  1. Vaya a Configuración → Organización.

  2. Desplácese hasta la Inicio de sesión único sección.

  3. Haga clic en Conectar junto a Microsoft Entra.

  4. Será redirigido a Microsoft para iniciar sesión con una cuenta de administrador de Entra y otorgar consentimiento para que Level lea los datos del perfil de usuario y del correo electrónico.

  5. Tras el consentimiento, Microsoft le redirige de vuelta a Level. La fila de Microsoft Entra ahora muestra una insignia Conectado junto con su ID de inquilino.

⚠️ ADVERTENCIA: La cuenta de Microsoft con la que autorice debe tener permiso para otorgar consentimiento a nivel de inquilino para la aplicación de Level. Si se conecta con una cuenta sin privilegios de administrador, la pantalla de consentimiento fallará y la integración no se completará.

Conectar Google Workspace

Google Workspace utiliza el mismo patrón de un solo clic que Microsoft Entra. Level gestiona el registro de la aplicación del lado de Google.

  1. Vaya a Configuración → Organización.

  2. Desplácese hasta la Inicio de sesión único sección.

  3. Haga clic en Conectar junto a Google Workspace.

  4. Inicie sesión en Google con una cuenta de superadministrador de Workspace y otorgue consentimiento para que Level lea los datos de perfil y correo electrónico.

  5. Google le redirige de vuelta a Level. La fila de Google Workspace ahora muestra una insignia Conectado insignia.

ℹ️ NOTA: El SSO de Google Workspace funciona para cualquier usuario en su dominio de Workspace. Level asocia identidades por correo electrónico, por lo que el correo en la cuenta de Level de cada técnico debe coincidir exactamente con su correo de Workspace.

Conectar un proveedor OIDC personalizado

Use la opción OIDC opción para cualquier IdP que admita OpenID Connect: Okta, Auth0, JumpCloud, OneLogin, Ping Identity, Keycloak, AWS Cognito, entre otros. Esta es una configuración manual porque Level no puede pre-registrar una aplicación en todos los IdP.

El proceso consta de dos partes: crear una aplicación en su IdP y luego ingresar sus credenciales en Level.

Paso 1: Crear una aplicación en su proveedor de identidad

En la consola de administración de su proveedor, cree una nueva aplicación OpenID Connect. Level usa el flujo implícito con un id_token tipo de respuesta, lo que significa que la aplicación debe configurarse como una aplicación del lado del navegador, no como una aplicación web del lado del servidor.

Use esta configuración:

  • Tipo de aplicación: Aplicación de página única (SPA), a veces etiquetada como «Aplicación basada en navegador»

  • Tipo de concesión / tipo de respuesta: Flujo implícito con id_token (Auth0 lo llama «Implicit Grant»; Okta lo llama «Implicit (Hybrid)»; algunas interfaces de administración más nuevas lo dividen como «Allow Implicit Hybrid»)

  • URI de redirección de inicio de sesión: la URL de devolución de llamada que Level proporciona en el diálogo de configuración de OIDC (coincidencia exacta, incluyendo protocolo y ruta)

  • Algoritmo de firma de token: RS256 (el valor predeterminado en casi todos los IdP)

  • Ámbitos: openid y email disponibles para la aplicación

⚠️ ADVERTENCIA: Muchos IdP deshabilitan el flujo implícito de forma predeterminada porque la comunidad de OAuth lo clasifica como heredado. Es posible que deba habilitarlo explícitamente en la configuración de su aplicación. En Auth0, encuéntrelo en Configuración avanzada → Tipos de concesión. En Okta, marque la casilla Implícito (Híbrido) casilla de tipo de concesión en la aplicación. Si el flujo implícito no está habilitado en el lado del IdP, la redirección de inicio de sesión de Level fallará silenciosamente o devolverá un error genérico.

Guarde la aplicación y copie el ID de cliente y URL del emisor (a veces llamada «URL de descubrimiento de OIDC» o «dominio»). Level usa el flujo implícito, por lo que no hay ningún secreto de cliente que copiar. A continuación, pegará el ID de cliente y la URL del emisor en Level.

ℹ️ NOTA: Cada proveedor nombra la URL del emisor de forma ligeramente diferente. En Auth0 es el dominio de su inquilino (p. ej., https://your-tenant.us.auth0.com); Auth0 puede emitir el emisor con una barra diagonal al final, lo cual Level gestiona automáticamente. En Okta, el emisor depende del tipo de inquilino: los inquilinos de producción usan https://<your-org>.okta.com, y las cuentas de desarrollador usan https://dev-<id>.okta.com. En JumpCloud, el emisor aparece en la página de detalles de la aplicación SSO.

OIDC Callback

Paso 2: Configurar OIDC en Level

💡 CONSEJO: Si no está seguro de cuál debería ser la URL del emisor, consulte el documento de descubrimiento de OIDC de su proveedor. Generalmente se sirve en https://<your-domain>/.well-known/openid-configuration. El issuer campo en ese documento es lo que Level espera en el URL del emisor campo.

  1. Vaya a Configuración → Organización.

  2. Desplácese hasta la Inicio de sesión único sección.

  3. Haga clic en Conectar junto a OIDC.

  4. En el diálogo de configuración de OIDC, ingrese:

    • URL del emisor: la base del punto de conexión de descubrimiento de su proveedor (por ejemplo, https://your-tenant.us.auth0.com)

    • ID de cliente: de la aplicación que creó

  5. Haga clic en Guardar para validar la configuración. Level ejecuta el descubrimiento de OIDC contra la URL del emisor para confirmar que la conexión funciona.

  6. Una vez validada, la fila OIDC muestra una insignia Conectado insignia y muestra la URL del emisor debajo de la etiqueta OIDC.

Consejos específicos por proveedor

La integración OIDC funciona con cualquier proveedor compatible con los estándares que admita el flujo implícito. A continuación se indica cómo se corresponden los nombres de campo más comunes:

  • Okta: Tipo de aplicación «Single-Page App». Tipo de concesión «Implicit (Hybrid)» con id_token tipo de respuesta. La URL del emisor es https://<your-org>.okta.com para inquilinos de producción, o https://dev-<id>.okta.com para cuentas de desarrollador gratuitas.

  • Auth0: Tipo de aplicación «Single Page Application». En Configuración avanzada → Tipos de concesión, habilite Implícito. La URL del emisor es https://<your-tenant>.<region>.auth0.com. Agregue la URL de devolución de llamada de Level a URL de devolución de llamada permitidas. Auth0 puede emitir el emisor con una barra diagonal al final; Level gestiona ambas formas.

  • JumpCloud: Cree una aplicación SSO de OIDC configurada para flujo implícito. La URL del emisor aparece en la página de detalles de la aplicación SSO después de su creación.

  • Keycloak: Cree un cliente con tipo de acceso «público» (no confidencial, ya que el flujo implícito no usa un secreto de cliente). Habilite Flujo implícito habilitado en la configuración del cliente. La URL del emisor es https://<keycloak-host>/realms/<realm>.

ℹ️ NOTA: Level admite una sola conexión OIDC personalizada a la vez. Si necesita cambiar de un IdP OIDC a otro (por ejemplo, de Auth0 a Okta), desconecte primero y luego reconecte con la nueva URL de emisor y credenciales.

Cambiar usuarios a SSO

⚠️ ADVERTENCIA: Cambiar un usuario a SSO borra su contraseña de Level existente. Si posteriormente lo vuelve a cambiar a autenticación por correo electrónico y contraseña, necesitará restablecer su contraseña antes de poder iniciar sesión.

Conectar un proveedor no mueve a nadie a SSO automáticamente. Para cambiar a un técnico:

  1. Vaya a Workspace → Equipo.

  2. Busque la fila del técnico y abra el menú de tres puntos.

  3. Seleccione Cambiar a SSO.

El cambio es inmediato. La columna Autenticación columna se actualiza para mostrar su nuevo método de autenticación, y en su próximo inicio de sesión es redirigido al proveedor de SSO conectado en lugar de ver el mensaje de contraseña de Level.

ℹ️ NOTA: La configuración de 2FA existente en una cuenta de Level se omite una vez que el usuario está en SSO. El proveedor de identidad se encarga de la autenticación y de cualquier aplicación de MFA a partir de ese momento.

Para ver el flujo de trabajo completo del Equipo de Workspace, consulte Equipo de Workspace.

Editar una conexión OIDC

OIDC es el único proveedor con configuración editable. Entra y Google Workspace se gestionan completamente mediante el consentimiento de OAuth, por lo que no hay nada que editar en el lado de Level. Si la URL de su emisor OIDC cambia o necesita apuntar Level a una aplicación diferente:

  1. Vaya a Configuración → Organización.

  2. En la Inicio de sesión único sección, haga clic en Editar en la fila de OIDC.

  3. Actualice el campo URL del emisor o ID de cliente.

  4. Haga clic en Guardar. Level revalida el descubrimiento de OIDC con los nuevos valores.

⚠️ ADVERTENCIA: Guardar valores no válidos interrumpe el SSO para todos los usuarios de este proveedor hasta que los corrija. Pruebe el inicio de sesión desde una ventana de incógnito antes de confiar en una nueva configuración.

Desconectar un proveedor

Desconectar elimina la integración del proveedor e impide que cualquier usuario asignado a él inicie sesión mediante SSO.

  1. Vaya a Configuración → Organización.

  2. En la Inicio de sesión único sección, haga clic en Desconectar en la fila del proveedor.

  3. Confirme la acción.

⚠️ ADVERTENCIA: Desconectar un proveedor cambia inmediatamente a todos los usuarios de SSO de vuelta a la autenticación por correo electrónico y contraseña, y borra su enlace de SSO. Dado que cambiar a SSO borra la contraseña de Level del usuario, esos usuarios no podrán iniciar sesión hasta que la restablezcan (a través del flujo de contraseña olvidada o una invitación enviada por un administrador). Planifique la recuperación antes de desconectar.

Preguntas frecuentes

  • ¿Puedo exigir que todos los técnicos usen SSO? No con un solo interruptor. Después de conectar un proveedor, cambie los usuarios a SSO individualmente desde Workspace → Equipo. Todavía no existe la opción «forzar SSO para todos».

  • ¿Puedo conectar más de un proveedor de SSO a la vez? No. Solo se puede configurar un proveedor a la vez. Para cambiar de proveedor (por ejemplo, de Microsoft Entra a OIDC), desconecte el actual primero y luego conecte el nuevo. La desconexión revierte a todos los usuarios actuales de SSO a la autenticación por correo electrónico/contraseña, así que planifique el restablecimiento de contraseñas para los usuarios afectados antes de realizar el cambio.

  • ¿Qué ocurre con la configuración de 2FA de un técnico cuando lo cambio a SSO? Su 2FA del lado de Level se omite al iniciar sesión con SSO. A partir de ese momento, el MFA es aplicado por el proveedor de identidad (o no, si el proveedor no lo aplica).

  • ¿Qué ocurre con la contraseña de Level de un usuario cuando lo cambio a SSO? Se borra. Si posteriormente cambia al usuario de vuelta a la autenticación basada en correo electrónico, necesitará restablecer la contraseña antes de poder iniciar sesión. No hay forma de restaurar la contraseña anterior.

  • Mi proveedor no está en la lista. ¿Puedo usar SSO de todas formas? Si admite OpenID Connect con flujo implícito, sí. Use la opción OIDC opción con la URL del emisor y el ID de cliente de su proveedor. Los proveedores exclusivos de SAML no están soportados actualmente.

  • Configuré OIDC y la redirección ocurre, pero el inicio de sesión falla silenciosamente o muestra un error genérico. ¿Qué está mal? Casi siempre significa que su aplicación de IdP está configurada como Aplicación Web (flujo de código de autorización) en lugar de Aplicación de página única (flujo implícito). Level usa el flujo implícito con un id_token tipo de respuesta. Reconfigure la aplicación del IdP como una SPA con flujo implícito habilitado, guarde e intente iniciar sesión de nuevo.

  • Recibo el error «emisor no válido» o «fallo en el descubrimiento de OIDC» al guardar la configuración de OIDC. ¿Qué está mal? La URL del emisor debe coincidir exactamente con el emisor de OIDC tal como aparece en el documento de descubrimiento (el issuer campo en /.well-known/openid-configuration). Errores comunes: http en lugar de https, ruta de realm faltante en Keycloak, o pegar la URL de descubrimiento (.../.well-known/openid-configuration) en lugar de la URL del emisor.

  • ¿Quién puede configurar o desconectar el SSO? Solo los técnicos con el rol de Administrador pueden configurar proveedores de SSO. Los demás roles pueden ver la Inicio de sesión único sección pero no puede conectar, editar ni desconectar.

  • ¿Level crea automáticamente usuarios cuando inician sesión por primera vez mediante SSO? No. El aprovisionamiento Just-in-time (JIT) no está soportado, por lo que cada técnico debe existir en Workspace → Equipo primero. Puede marcarlos como SSO al momento de la invitación, o invitarlos con correo electrónico/contraseña y cambiarlos después.

Artículos relacionados
Configuración de la organización
¿Ha quedado contestada tu pregunta?