Bienvenido/a a la guía completa sobre cómo configurar Azure AD para que funcione como proveedor de inicio de sesión única (SSO) para ForceManager. Este proceso aprovecha Azure como un servidor OAuth 2.0 con OpenID.

Azure AD implementa los protocolos OAuth 2.0 y OpenID, simplificando la autenticación segura de usuarios dentro de su dominio. Para una comprensión más profunda, consulte la documentación de Azure sobre los protocolos OAuth 2.0 y OpenID protocols.

El corazón del flujo SSO reside dentro de una aplicación empresarial registrada en Azure AD, identificada por el ID de Objeto: 4ad44451-9a99-44a1-adb7-f7a05ceef577.

Esta aplicación, ubicada bajo "Aplicaciones Empresariales", solicita acceso a los alcances de seguridad clave (OpenId, Correo electrónico, Perfil, User.Read) esenciales para su funcionamiento. La autorización puede ser otorgada por cada usuario o por administradores de dominio para todos o algunos usuarios de dominio.

Puede encontrar más información sobre la necesidad de los alcances de seguridad y la necesidad de ellos en esta página https://learn.microsoft.com/en-us/azure/active-directory/develop/scopes-oidc#openid-connect-scopes

Validar el correo electrónico del usuario es crucial para garantizar que el correo electrónico utilizado para SSO sea propiedad del usuario.

Esto se logra a través del alcance User.Read (https://graph.microsoft.com/User.Read) la información sobre la necesidad de este alcance se puede encontrar aquí: https://learn.microsoft.com/en-us/graph/permissions-reference#remarks-16 y aquí https://learn.microsoft.com/en-us/graph/permissions-reference#user-permissions

Notablemente, la aplicación ForceManager CRM solo será visible en la lista de aplicaciones empresariales después de que un usuario solicite por primera vez el acceso SSO.

Si se aplican restricciones de dominio, un administrador de dominio debe autorizar inicialmente la aplicación, accesible a través de este enlace.

Azure AD proporciona un control granular sobre el acceso a la aplicación, permitiendo la configuración para el acceso general a todas las aplicaciones empresariales o de forma específica por aplicación. Esta configuración se puede ajustar en el portal de configuración de usuarios de Azure.

Si la opción "Los usuarios pueden registrar aplicaciones" está configurada en "sí", entonces un administrador no necesita hacer nada más para que un usuario determinado realice el SSO con ForceManager.

Si esta opción está configurada en "No", entonces un administrador debe aprobar el acceso en nombre de los usuarios.

Este acceso se puede realizar de las siguientes maneras.

Un administrador puede iniciar sesión en ForceManager usando el enlace https://be-pro.forcemanager.net/scim/ y autorizar todo el dominio durante el proceso de autorización.

Después de acceder por primera vez a la aplicación ForceManager CRM, la aplicación aparecerá bajo "Aplicaciones Empresariales" en el menú de Azure AD.

https://portal.azure.com/#view/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/~/AppAppsPreview/menuId~/null

Después de buscar ForceManager CRM y seleccionar la aplicación. El administrador tendrá acceso a las siguientes opciones:

https://portal.azure.com/#view/Microsoft_AAD_IAM/ManagedAppMenuBlade/~/Overview/objectId/4ad44451-9a99-44a1-adb7-f7a05ceef577/appId/de90726f-14c6-4770-8c22-8035762de8dd/preferredSingleSignOnMode~/null/servicePrincipalType/Application

Las diferentes formas de configurar el acceso a la aplicación son:

Permitir explícitamente un conjunto de usuarios o grupos

Configurar cualquier tipo de acceso condicional compatible con Azure AD