Inicio de sesión único (SSO)

El inicio de sesión único (SSO) es un mecanismo de autenticación que permite a los usuarios acceder a varios sistemas y aplicaciones de confianza con un único conjunto de credenciales, eliminando la necesidad de múltiples inicios de sesión. El SSO suele implementarse mediante protocolos entre un proveedor de identidades (IdP) y un proveedor de servicios (SP). Entre las principales ventajas del SSO se incluyen:

Reducir la fatiga de contraseñas, mejorar la experiencia del usuario y aumentar la productividad
Reforzar la seguridad y permitir una gestión centralizada de las identidades de los miembros y de los permisos de acceso para las empresas
Reducir los costes de TI y minimizar la carga de recuperación y mantenimiento de contraseñas

Proceso básico de inicio de sesión SSO en GPTBots: al acceder al enlace de inicio de sesión SSO de GPTBots, los usuarios se redirigen a un sistema SSO interno o externo para la autenticación. Tras autenticarse correctamente, los usuarios regresan a la plataforma GPTBots y inician sesión automáticamente.

Términos comunes

Término	Descripción
Proveedor de identidades (IdP)	Servicio de terceros responsable de la autenticación de la identidad. Tras iniciar sesión mediante el IdP, los usuarios pueden acceder a varios sistemas conectados sin volver a introducir contraseñas.
Proveedor de servicios (SP)	Sistema registrado como una aplicación en el IdP, que recibe los resultados de autenticación del IdP y proporciona servicios empresariales específicos a los usuarios.
Lenguaje de marcado para aserciones de seguridad (SAML)	Protocolo estándar abierto basado en XML para transmitir de forma segura datos de autenticación de la identidad y autorización entre IdP y SP. La plataforma admite SAML 2.0.
Métodos de inicio de sesión	Métodos de autenticación utilizados para acceder al sistema, incluidos el inicio de sesión estándar y el inicio de sesión mediante SSO. * Inicio de sesión estándar: El sistema nativo de autenticación de cuentas de la plataforma, como el inicio de sesión con nombre de usuario y contraseña; inicios de sesión mediante autorización de terceros como Google OAuth, Facebook, Apple, GitHub, etc. * Inicio de sesión SSO: Inicio de sesión mediante diversos proveedores de identidades (IdP).
Tipos de organización	* Organización normal: Organizaciones que no tienen habilitado el inicio de sesión SSO y requieren inicio de sesión estándar para acceder. * Organización SSO: Organizaciones que tienen habilitado el inicio de sesión SSO y requieren el servicio SSO configurado para acceder.

Notas:

El servicio SSO utiliza el correo electrónico como identificador único. Se debe asegurar que el correo electrónico configurado en el IdP corporativo coincida con el correo electrónico de la cuenta de la plataforma GPTBots.

Los tipos de organización y los métodos de inicio de sesión afectan directamente a los permisos de acceso y a las capacidades operativas. Se deben configurar según las necesidades reales.

Para configurar SSO, primero se debe completar la configuración del protocolo del IdP a nivel de cuenta, autorizar el IdP a la organización objetivo y habilitar el inicio de sesión SSO a nivel de organización.

Reglas de acceso de usuarios

Organizaciones normales: Solo admiten métodos de inicio de sesión estándar; aplicable a todos los miembros y creadores de la organización.
Organizaciones SSO: Todos los miembros deben acceder mediante inicio de sesión SSO. Los creadores de la organización pueden acceder tanto con inicio de sesión estándar como con inicio de sesión SSO.
Vinculación de inicio de sesión SSO: Cuando un usuario inicia sesión mediante un servicio SSO, el sistema registra la relación de vinculación entre la cuenta y el servicio SSO. Esta vinculación puede establecerse mediante:
- Inicio de sesión a través del enlace SSO del correo electrónico Invitation to Join Organization
- Inicio de sesión a través de un enlace dedicado para un servicio SSO específico
- Inicio de sesión a través del enlace SSO del correo electrónico de notificación Organization Successfully Enabled SSO Service
Coincidencia de correo electrónico: El servicio SSO utiliza el correo electrónico como identificador único de usuario y lo asocia automáticamente con la cuenta de la plataforma:
- Página general de inicio de sesión SSO: Si el correo electrónico no existe, el sistema deniega el inicio de sesión.
- Enlace dedicado de inicio de sesión SSO: Si el correo electrónico no existe, el sistema crea automáticamente una nueva cuenta.
Creación de organizaciones: Las cuentas que utilizan inicio de sesión estándar pueden crear organizaciones y configurar servicios SSO para las organizaciones creadas. Las cuentas que utilizan inicio de sesión SSO no pueden crear nuevas organizaciones.

Guía de configuración de SSO

GPTBots admite la integración SSO con cualquier proveedor de identidad basado en el protocolo SAML 2.0, incluidos, entre otros, Microsoft Azure, Okta, OneLogin y Google.

Configurar GPTBots en el IdP

Para configurar el inicio de sesión único (SSO), se debe añadir GPTBots como una aplicación en el proveedor de identidades (IdP). Se recomienda ponerse en contacto con el administrador del IdP de la organización para configurar en la aplicación del IdP la información del SP generada por GPTBots.

Iniciar sesión en GPTBots, pasar el cursor sobre el avatar del usuario en la esquina inferior izquierda de la interfaz principal y hacer clic en Account en el menú emergente. En Personal Center, hacer clic en SSO para acceder a la página de SSO.
En la página SSO, hacer clic en el botón Configure SSO.
Copiar la información de configuración proporcionada por GPTBots (SP) y compartirla con el administrador del IdP. Se debe solicitar al administrador que la configure en el IdP corporativo. Tras confirmar que la configuración se ha completado, marcar la casilla de confirmación en la página y continuar con el siguiente paso.

Utilizar el botón de copia de la derecha para copiar rápidamente.
Información de configuración:
- Configuración generada por el SP:
  - Entity ID: Identificador único del servicio SP en el IdP
  - ACS URL: Dirección del servicio Assertion Consumer Service, que recibe la información de aserción SAML devuelta por el IdP
  - Login URL: Dirección de entrada de inicio de sesión SSO
  - Logout URL: Dirección de entrada de cierre de sesión SSO
- Configuración devuelta por el IdP:
  - X.509 Certificate (base64): Certificado del proveedor de identidades (los certificados tienen fecha de caducidad; si caduca, se debe actualizar a tiempo)
  - Login URL: Dirección de inicio de sesión del IdP
  - Logout URL: Dirección de cierre de sesión del IdP
Guías de configuración para diferentes plataformas IdP:
- Microsoft Azure
- Okta
- OneLogin
- Google

Introducir la información devuelta por el IdP

Introducir en el SP el Certificate, el Login URL y el Logout URL proporcionados por el IdP, y hacer clic en Next.

Personalizar el nombre del servicio SSO con fines de identificación.

Autorizar organizaciones

En la página Authorize Organization, seleccionar la organización a la que se asignará el servicio SSO y hacer clic en Save para aplicar la configuración.
- Se puede autorizar un servicio SSO a varias organizaciones o configurar varios servicios SSO para una organización.
- Si la organización muestra No Rights o Authorization Limit Reached, se debe contactar con el equipo de ventas: https://www.gptbots.ai/retain?from=[object+PointerEvent].
Una vez que la configuración surta efecto, los miembros de la organización deben utilizar el inicio de sesión SSO para acceder a la organización correspondiente.

Verificar el servicio SSO

Tras la configuración, se debe probar si el servicio SSO funciona correctamente mediante la URL de inicio de sesión SSO.

Asegurarse de que la cuenta de prueba se ha unido a la organización autorizada por SSO en GPTBots y de que se le han concedido permisos de acceso a la aplicación SSO en la plataforma IdP.

Lista de SSO

La lista de servicios SSO muestra todos los servicios SSO configurados, con campos clave que incluyen:

Campo	Descripción
Nombre del servicio SSO	Nombre personalizado del servicio SSO
Tipo	Tipo de protocolo SSO
Enlace de inicio de sesión	Enlace de entrada para el inicio de sesión SSO
Organizaciones autorizadas	Número de organizaciones actualmente autorizadas por el servicio SSO
Acciones	Se admiten las acciones «Editar», «Autorizar» y «Eliminar»

alt text

Al hacer clic en cualquier lugar de una fila de la lista, aparecerá automáticamente el cuadro de diálogo SSO Service Details.

alt text

Al pasar el cursor por el campo Authorized Organizations, se mostrará una lista detallada de las organizaciones autorizadas.

Editar

Hacer clic en el botón Edit o en cualquier lugar de una fila de la lista para abrir la barra lateral de detalles del servicio SSO, donde se pueden ver y editar los parámetros detallados de configuración de SSO.

Hacer clic en el botón de la derecha para copiar el contenido del campo. La página solo permite editar de nuevo la información de configuración del IdP; los demás campos son de solo lectura.

Información de configuración generada por el SP

Entity ID: Identificador único del SP (Service Provider) en el IdP.
ACS URL: Dirección del servicio Assertion Consumer Service, utilizada para recibir los datos de aserción SAML devueltos por el IdP.
Login URL: Punto de entrada del inicio de sesión SSO.
Logout URL: Punto de entrada del cierre de sesión SSO.

Información de configuración devuelta por el IdP

X.509 Certificate (base64): Certificado del proveedor de identidades. Los certificados tienen fecha de caducidad; si caducan, se deben actualizar a tiempo.
Login URL: Dirección de inicio de sesión proporcionada por el IdP.
Logout URL: Dirección de cierre de sesión proporcionada por el IdP.

Organizaciones autorizadas

Hacer clic en el botón Authorize para abrir la barra lateral de organizaciones autorizadas:

El panel izquierdo muestra las organizaciones disponibles, mientras que el panel derecho muestra las organizaciones autorizadas.
Solo se pueden autorizar organizaciones con privilegios SSO. Si la organización que se desea autorizar no tiene privilegios SSO o ha alcanzado el número máximo de servicios SSO autorizados, se debe contactar con el equipo de ventas: https://www.gptbots.ai/retain?from=[object+PointerEvent].
Tras autorizar o revocar la autorización, los miembros de las organizaciones afectadas recibirán notificaciones por correo electrónico y deberán volver a autenticarse.

alt text

Eliminar el servicio SSO

Hacer clic en el botón Delete para eliminar la configuración del servicio SSO actual. Se recomienda proceder con cautela, ya que el servicio SSO dejará de estar disponible tras la eliminación y los miembros de las organizaciones relacionadas ya no podrán iniciar sesión mediante el servicio.
alt text

Iniciar sesión en la página de SSO del sitio web oficial

Abrir la página de inicio de sesión de GPTBots y hacer clic en el botón SSO Login.
Introducir la dirección de correo electrónico registrada en GPTBots. El sistema consultará la última organización SSO a la que se accedió y redirigirá el proceso de inicio de sesión según el servicio SSO configurado para esa organización.
- Si la organización ha configurado varios servicios SSO y la cuenta está vinculada a varios servicios SSO, se solicitará seleccionar qué servicio SSO utilizar para iniciar sesión.
- Si solo hay un servicio SSO, el sistema redirigirá automáticamente.
El sistema redirigirá a la página de inicio de sesión del IdP, donde se requerirá introducir las credenciales de la cuenta para la autenticación. Tras autenticarse correctamente, el sistema redirigirá de nuevo a GPTBots para completar el proceso de inicio de sesión SSO.

Escenarios comunes de error de inicio de sesión

La cuenta no existe
Verificar si la dirección de correo electrónico introducida está registrada en GPTBots o si se ha iniciado sesión anteriormente mediante un enlace SSO. Si no está registrado, se puede iniciar sesión mediante el enlace SSO y el sistema creará automáticamente una cuenta.
Incoherencia de dirección de correo electrónico
Si la dirección de correo electrónico introducida no coincide con la dirección de correo electrónico configurada para la cuenta de inicio de sesión del IdP, el sistema mostrará un error de incoherencia de correo electrónico.

Confirmar la dirección de correo electrónico configurada en la cuenta del IdP. Si se producen incidencias, ponerse en contacto con el administrador para obtener asistencia.
La organización no ha habilitado el inicio de sesión SSO
La organización a la que se ha unido o que ha creado no ha habilitado el inicio de sesión SSO. Ponerse en contacto con el administrador para habilitar el servicio SSO para la organización.

Inicio de sesión mediante enlace específico de SSO

Compartir el enlace de inicio de sesión SSO

Si se es el creador de la organización, iniciar sesión en GPTBots, ir a Personal Center > SSO, hacer clic en el servicio SSO correspondiente a la organización objetivo, copiar el enlace de inicio de sesión SSO y compartirlo con los miembros de la organización.
alt text

Proceso de inicio de sesión

Los miembros hacen clic en el enlace de inicio de sesión SSO y el sistema los redirigirá a la página de inicio de sesión del IdP.
Tras completar el inicio de sesión en el IdP, los miembros serán redirigidos a la consola de GPTBots, donde la dirección de correo electrónico de la cuenta de inicio de sesión del IdP se comparará con la dirección de correo electrónico de la cuenta de GPTBots.
En condiciones normales, si el miembro tiene permisos autorizados por el servicio SSO para la organización, accederá automáticamente a la última organización SSO a la que se accedió.
A continuación se describen escenarios anómalos:
- Si la dirección de correo electrónico configurada para la cuenta del IdP no está registrada en la plataforma GPTBots, el sistema creará automáticamente una cuenta, redirigirá a la página de configuración de información personal y mostrará el mensaje:
  Your account has not been granted permissions for any SSO organization. Please contact the administrator for authorization.
- Si la cuenta está registrada, pero no ha creado ni se ha unido a ninguna organización, el sistema mostrará el mensaje:
  Your account has not been granted permissions for any SSO organization. Please contact the administrator for authorization.
- Si la cuenta está registrada y ha creado o se ha unido a una organización, pero no tiene permisos para la organización autorizada por el servicio SSO, el sistema redirigirá a la lista de organizaciones de la cuenta. Se deberá seleccionar la organización a la que se desea acceder y cambiar al método de inicio de sesión correspondiente.

Nota:
Para acceder a una organización mediante el enlace de inicio de sesión SSO, se debe contactar con el administrador de la organización para que añada la dirección de correo electrónico a los miembros de la organización SSO.

Escenarios comunes de error de inicio de sesión

No se puede iniciar sesión correctamente en el IdP
Si a la cuenta del IdP no se le han concedido permisos de acceso para la aplicación SSO del IdP, se producirá un error en el IdP al iniciar sesión mediante el enlace de inicio de sesión SSO. Se debe contactar con el administrador del IdP para que conceda permisos de acceso.

Cerrar sesión de una cuenta

Al cerrar sesión de una cuenta en estado de inicio de sesión SSO, el proceso difiere del inicio de sesión estándar:

Tras hacer clic en cerrar sesión, el sistema invoca automáticamente la URL de cierre de sesión del IdP para lograr el cierre de sesión global en el IdP.
Tras cerrar sesión, se requiere volver a autenticarse en la plataforma del IdP para iniciar sesión de nuevo.