Antes de empezar
Esta ficha trata sobre las preguntas más frecuentes relacionadas con el SSO.
En la mayoría de los casos, para poder responder a estas preguntas, tendrá que disponer de derechos de administrador en Lucca y en los SSO (permiso: Administrar la autenticación y los SSO).
Si aún no tiene un SSO para iniciar sesión en Lucca y quiere tener uno, esta es la ficha específica sobre el tema: ¿Cómo activar una conexión SSO con Lucca?
Preguntas frecuentes
Entre las respuestas proporcionadas, nos referimos al identificador o identificador de conexión, que puede ser la dirección de correo electrónico profesional o el nombre de usuario, dependiendo de la configuración de su SSO.
Un empleado o un grupo de empleados (no todos) no puede acceder a Lucca mediante un SSO, ¿qué hay que hacer?
Lo primero que hay que hacer es consultar con los empleados para saber qué método de conexión utilizan. Es posible que intenten iniciar sesión utilizando un método distinto al SSO, en ese caso este formulario no resolverá el problema de bloqueo.
La mayoría de las veces, sus empleados se encontrarán con este tipo de página:
Por su parte, en el módulo de administración de su SSO, está disponible un espacio de seguimiento de las conexiones, excepto en el caso del SSO de Google.
En cualquier momento podrá ver, en un período definido o buscando por empleado, los errores generados o los fallos de conexión. Aquí, se muestra un ejemplo de un error: «Error en la verificación de la firma del token» en el campo «1».
Tome nota del mensaje de error del o de los empleados en cuestión siguiendo este mensaje. A continuación, le indicamos algunas posibles soluciones:
- No se ha encontrado ningún usuario con el identificador... : el usuario aún no está en Lucca o bien su contrato no se ha iniciado o ha finalizado;
- No se ha encontrado ningún usuario con el identificador... : el identificador que utiliza su empleado no es el mismo que el que figura en Lucca, por ejemplo, la dirección de correo electrónico del empleado registrada por su proveedor de identidad es diferente de la dirección de correo electrónico profesional que figura en el expediente de RR.HH. del empleado en Lucca (o el nombre de usuario según su tipo de identificador de conexión);
- Se han encontrado varios usuarios con el identificador... : el identificador de conexión que se utiliza para iniciar sesión se menciona para varios empleados en Lucca. Por lo general, el correo electrónico profesional utilizado por su SSO se emplea como correo electrónico profesional para al menos dos empleados de un total de tres.
Ninguno de mis empleados puede acceder a las soluciones. ¿Qué debo hacer?
Si el problema de acceso no es local, sino que, por el contrario afecta a todo su establecimiento, debe precisarlo en su futura solicitud de soporte.
Al iniciar sesión, aparece la pantalla siguiente:
Posible solución si su SSO es un SAML 2.0:
Es probable que su certificado haya caducado. Consulte con el equipo de su proveedor de identidad que se encarga de su SSO para recuperar el archivo de metadatos o, preferiblemente, la URL pública de acceso a los metadatos.
Para actualizarlo, existe una sección dedicada: ¿Cuándo y cómo tengo que actualizar mi certificado de autenticación (solo para los SSO con SAML 2.0)?
Posible solución si su SSO es un OAuth 2.0:
Es probable que, si se trata de una nueva configuración, haya introducido el ID secreto y no el valor al configurarlo.
En general, el valor no tiene la forma 00000000-0000-0000-0000-000000000000, sino más bien la forma de una contraseña larga.
Si no logra solucionar el problema tras intentar estos procedimientos, es probable que esto dependa de su proveedor de identidad (Identity Provider).
¿Cuándo y cómo tengo que actualizar mi certificado de autenticación (solo para los SSO con SAML 2.0)?
Primero consiga su archivo de metadatos o la URL pública para acceder a los metadatos.
La URL permite que el certificado se renueve automáticamente todos los días (por la noche). Si ha descargado un archivo, tendrá que volver a cargar manualmente el nuevo.
Todas estas acciones se realizan en la pestaña específica:
Recomendamos utilizar la URL y realizar los cambios poco a poco, con una fase en la que pueda compartir, a la vez, la nueva y la antigua información mediante dicha URL.
Además, si dispone de la solución Poplee Core HR, cree una alerta con una fecha de vencimiento para anticiparse a la fecha de actualización de su certificado.
¿Puedo implementar distintas SSO para acceder a mi entorno Lucca?
¡Por supuesto!
Puede implementar varias SSO para acceder a su instancia. Al configurar sus protocolos, la página de inicio de sesión mostrará a sus empleados tantos botones como protocolos estén configurados.
Los usuarios deben elegir el que quieren utilizar en la página de conexión.
A modo de recordatorio, esta es la ficha de ayuda para implementar un SSO. Es el mismo procedimiento para el primero y los siguientes: ¿Cómo activar una conexión SSO con Lucca?
¿Puedo implementar la SSO para las aplicaciones móviles?
El SSO está disponible en todas las aplicaciones móviles Lucca.
Quiero cambiar de protocolo o de proveedor de identidad. ¿Es complicado?
¡En absoluto! Usted es totalmente libre y autónomo en lo que respecta a la administración y el método de autenticación.
Desde el módulo, tiene la posibilidad de activar o desactivar el protocolo de su elección e implementar el nuevo protocolo.
Sin embargo, antes de hacerlo, consulte estos consejos:
- Antes de desactivar su configuración, cree la nueva configuración y luego pruébela.
- Comuníquese internamente
- Cuando llegue el momento de realizar el cambio, no dude en marcar en el antiguo inicio de sesión, la nueva área para iniciar sesión con las URL que se encuentran disponibles en las opciones avanzadas.
Una vez realizado el cambio correctamente, podrá desactivar el antiguo protocolo.
¿Hay que tener en cuenta una falta de disponibilidad del servicio para actualizar el Service Provider?
No. La activación y la desactivación de los protocolos se hacen en tiempo real.
Sin embargo, lo invitamos a ponerse de acuerdo con su servicio de RR. HH. si tiene que compartir las URL de redirección con sus empleados.
¿Puedo implementar una autenticación multifactor (MFA)?
La autenticación multifactor (MFA) se puede utilizar al iniciar sesión por SSO, sin embargo, su proveedor de identidad se encarga de esta configuración.
Para cualquier otra consulta
Aquí agrupamos las respuestas a las preguntas más habituales. Sin embargo, si usted no encontrara respuesta a su pregunta, estamos a su disposición desde nuestro servicio de soporte al cliente. Para ello, precise los datos siguientes en su solicitud:
- El empleado o los empleados afectados
- Descripción del problema
- Descripción de la configuración de su SSO que realiza su proveedor de identidad.
- La descripción de la configuración que realiza Lucca