Antes de empezar
La conexión SSO (Single Sign-On o autenticación única) permite conectarse a uno o varios entornos web, como Lucca, con un mismo identificador, conocido por sus empleados.
De esta manera se simplifica y protege el acceso a las soluciones Lucca. En efecto, el inicio de sesión único (SSO) se basa en un contrato de confianza entre Lucca y los servidores (Identity Providers o proveedores de identidad).
En concreto, el sitio o el servicio al que el usuario intenta conectarse hace una solicitud al servidor o a su sitio del proveedor de identidad. Este pregunta si el usuario está conectado y, en caso afirmativo, transmite la información. Según el protocolo utilizado, los dos sitios intercambian claves, firmas, etc., lo que permite, con un solo clic, verificar y confirmar la identidad de sus empleados.
Ayuda con el vocabulario:
- SSO = Single Sign-On / Autenticación única
- Proveedor de identidad: un servidor que proporciona las identidades de los usuarios, el punto central de la autenticación; es una herramienta que pertenece al cliente.
- Proveedor de servicio Lucca = En nuestro caso, se trata de nuestra aplicación Lucca, que presta un servicio de software de RR. HH.
- SAML2 = es el protocolo utilizado para intercambiar el token de seguridad entre el proveedor de identidad y el proveedor de servicio Lucca.
- Metadata = Metadatos es la información que se utiliza para configurar el proveedor de servicios Lucca y el proveedor de identidad (certificado público, clave, dirección, etc.). Estos necesitan intercambiar dichos metadatos para conocerse y confiar el uno en el otro, y contiene certificados. Puede tratarse de un archivo xml, que se debe almacenar en el servidor, o de una URL.
Protocolos compatibles con Lucca
Esta es la lista de protocolos compatibles con Lucca: SAML 2.0, OAuth 2.0, CAS.
Si es necesario, puede consultar nuestra sección Configuración avanzada si quiere obtener más información sobre cada uno de los protocolos propuestos.
¿Qué protocolo se debe elegir entre OAuth o SAML 2.0?
No podemos recomendar ninguno de los dos en lo que respecta a la seguridad.
Fase 1: Implementar su SSO
Requisitos previos
Es obligatorio contar con competencia técnica para implementar esta funcionalidad. Lo invitamos a comunicarse con su responsable técnico o prestatario para seguir las fases siguientes.
Introduzca su proveedor de identidad
Como administrador de su entorno Lucca, usted puede acceder, desde la rueda dentada, a un módulo de administración de sus métodos de conexión: Configuración de autenticación
De manera predeterminada, su método de autenticación es una conexión tipo nombre de usuario / contraseña.
Con el botón «+» de Métodos de autenticación, puede seleccionar el protocolo y el proveedor de identidad que prefiera.
Aparecerá una interfaz de configuración en la que podrá introducir y gestionar paso a paso la información necesaria para que puedan interactuar Lucca y su proveedor.
Para continuar con la configuración, depende de las opciones que seleccione a partir de esta lista:
- SSO Google (OAuth 2.0)
- SSO Google (SAML 2)
- SSO Microsoft ADFS – Active Directory Federation Services (SAML 2)
- SSO Azure Active Directory (OAuth 2.0)
- SSO Azure Active Directory (SAML 2.0)
- SSO Okta (SAML 2)
- SSO Protocolo SAML 2.0
- SSO Protocolo CAS
Fase 2: Personalice sus opciones de conexión
Hay opciones avanzadas disponibles para personalizar la experiencia de conexión de sus empleados:
- El enlace mágico
Sus empleados podrán conectarse a las aplicaciones móviles y a su entorno Lucca utilizando solamente su dirección de correo electrónico, sin tener que introducir su contraseña, identificador o datos de inicio de sesión.
Este tipo de conexión puede resultar útil si sus empleados utilizan equipos informáticos personales o fuera de sus oficinas.
- Códigos de conexión para aplicaciones móviles
Sus empleados podrán utilizar una aplicación móvil según las aplicaciones a las que usted se haya suscrito. Podrán conectarse a la aplicación mediante una lógica de enlace mágico o un código.
Cada usuario de un entorno Lucca tiene acceso a una interfaz Mi cuenta, que le permite generar un código de conexión para aplicaciones móviles.
Por lo tanto, le recomendamos que active esta opción para facilitar la conexión de sus empleados.
- URL de redirección
Si quiere personalizar la página de inicio o de desconexión de sus empleados cuando acceden a su entorno Lucca, aquí puede indicar sus redirecciones.
- Conexión mediante SSO
La SSO no se aplica a todas las aplicaciones móviles (por el momento): Las aplicaciones móviles de Timmi Ausencias y Cleemy Notas de gastos permiten la conexión mediante SSO.
Seguimiento de las conexiones
Una vez implementada la SSO, puede hacer un seguimiento de las conexiones que han fallado durante el período seleccionado. Podrá identificar a los empleados no reconocidos por Lucca y reaccionar con eficacia.