Todas las colecciones
ForceManager Admin
Usuarios
ForceManager Azure AD Single Sign-On (SSO) Setup Guide
ForceManager Azure AD Single Sign-On (SSO) Setup Guide

Guide on setting up Azure AD as SSO for ForceManager, using OAuth 2.0 and OpenID.

Training avatar
Escrito por Training
Actualizado hace más de una semana

Bienvenido/a a la guía completa sobre cómo configurar Azure AD para que funcione como proveedor de inicio de sesión única (SSO) para ForceManager. Este proceso aprovecha Azure como un servidor OAuth 2.0 con OpenID.

Paso 1: Entendiendo Azure AD OAuth 2.0 y OpenID

Azure AD implementa los protocolos OAuth 2.0 y OpenID, simplificando la autenticación segura de usuarios dentro de su dominio. Para una comprensión más profunda, consulte la documentación de Azure sobre los protocolos OAuth 2.0 y OpenID protocols.

Paso 2: Configuración de la Aplicación Empresarial de ForceManager CRM

El corazón del flujo SSO reside dentro de una aplicación empresarial registrada en Azure AD, identificada por el ID de Objeto: 4ad44451-9a99-44a1-adb7-f7a05ceef577.

Esta aplicación, ubicada bajo "Aplicaciones Empresariales", solicita acceso a los alcances de seguridad clave (OpenId, Correo electrónico, Perfil, User.Read) esenciales para su funcionamiento. La autorización puede ser otorgada por cada usuario o por administradores de dominio para todos o algunos usuarios de dominio.

Puede encontrar más información sobre la necesidad de los alcances de seguridad y la necesidad de ellos en esta página https://learn.microsoft.com/en-us/azure/active-directory/develop/scopes-oidc#openid-connect-scopes

Paso 3: Validación del Correo Electrónico del Usuario

Validar el correo electrónico del usuario es crucial para garantizar que el correo electrónico utilizado para SSO sea propiedad del usuario.

Esto se logra a través del alcance User.Read (https://graph.microsoft.com/User.Read) la información sobre la necesidad de este alcance se puede encontrar aquí: https://learn.microsoft.com/en-us/graph/permissions-reference#remarks-16 y aquí https://learn.microsoft.com/en-us/graph/permissions-reference#user-permissions

Paso 4: Acceso Inicial a la Aplicación

Notablemente, la aplicación ForceManager CRM solo será visible en la lista de aplicaciones empresariales después de que un usuario solicite por primera vez el acceso SSO.

Si se aplican restricciones de dominio, un administrador de dominio debe autorizar inicialmente la aplicación, accesible a través de este enlace.

Paso 5: Configuración de Administrador de Azure AD

Azure AD proporciona un control granular sobre el acceso a la aplicación, permitiendo la configuración para el acceso general a todas las aplicaciones empresariales o de forma específica por aplicación. Esta configuración se puede ajustar en el portal de configuración de usuarios de Azure.

Concesión de Acceso a la Aplicación:

Acceso General:

Si la opción "Los usuarios pueden registrar aplicaciones" está configurada en "sí", entonces un administrador no necesita hacer nada más para que un usuario determinado realice el SSO con ForceManager.

Aprobación del Administrador:

Si esta opción está configurada en "No", entonces un administrador debe aprobar el acceso en nombre de los usuarios.

Este acceso se puede realizar de las siguientes maneras.

Conceder acceso a todo el dominio

Un administrador puede iniciar sesión en ForceManager usando el enlace https://be-pro.forcemanager.net/scim/ y autorizar todo el dominio durante el proceso de autorización.

Conceder acceso de forma individual por usuario o basado en reglas

Después de acceder por primera vez a la aplicación ForceManager CRM, la aplicación aparecerá bajo "Aplicaciones Empresariales" en el menú de Azure AD.

Finalizando la Configuración:

Después de buscar ForceManager CRM y seleccionar la aplicación. El administrador tendrá acceso a las siguientes opciones:

Tipos de Configuración

Las diferentes formas de configurar el acceso a la aplicación son:

Configuración de autoservicio

Usuarios y grupos

Permitir explícitamente un conjunto de usuarios o grupos

Acceso Condicional

Configurar cualquier tipo de acceso condicional compatible con Azure AD

¿Ha quedado contestada tu pregunta?