SSO de Azure

azure active directory sso configura single sign on (sso) con microsoft azure active directory para que los usuarios de tu organización inicien sesión en asisteclick utilizando sus credenciales corporativas de microsoft última actualización diciembre 2025 resumen aspecto detalle tiempo estimado 15 20 minutos plan requerido company (chatbots) permisos necesarios administrador de asisteclick + administrador de azure ad requisitos previos cuenta de azure con permisos para registrar aplicaciones qué es azure ad sso azure active directory single sign on permite a los usuarios de tu organización acceder a asisteclick utilizando las mismas credenciales que usan para microsoft 365, teams y otras aplicaciones corporativas beneficios los usuarios no necesitan recordar contraseñas adicionales control centralizado de accesos desde azure ad cumplimiento con políticas de seguridad corporativas desactivación automática al dar de baja usuarios en azure ad arquitectura del flujo sso ┌─────────────────┐ ┌──────────────────┐ ┌─────────────────┐ │ usuario │ │ azure ad │ │ asisteclick │ │ │ │ │ │ │ │ 1 ingresa org │────>│ 2 autentica │────>│ 3 valida upn │ │ en tenant │ │ con ms │ │ y crea │ │ │<────│ credentials │<────│ sesión │ └─────────────────┘ └──────────────────┘ └─────────────────┘ parte 1 configuración en azure portal paso 1 1 crear registro de aplicación accede a https //portal azure com navega a azure active directory > app registrations click en new registration completa el formulario campo valor name asisteclick sso supported account types accounts in this organizational directory only redirect uri web https //\[tu dominio]/ms oauth2 php nota el dominio debe coincidir exactamente con la url de tu instalación de asisteclick por ejemplo https //app asisteclick com/ms oauth2 php click en register paso 1 2 obtener credenciales una vez creada la aplicación, necesitas obtener tres valores application (client) id en la página overview de tu aplicación registrada, copia el valor de application (client) id directory (tenant) id en la misma página overview , copia el valor de directory (tenant) id client secret en el menú lateral, ve a certificates & secrets click en new client secret ingresa una descripción (ej "asisteclick sso") selecciona un período de expiración click en add importante copia inmediatamente el value del secreto no podrás verlo nuevamente paso 1 3 configurar permisos de api en el menú lateral, ve a api permissions click en add a permission selecciona microsoft graph selecciona delegated permissions busca y selecciona user read (ya debería estar agregado por defecto) click en add permissions click en grant admin consent for \[tu organización] paso 1 4 configurar token en el menú lateral, ve a authentication en la sección implicit grant and hybrid flows , marca access tokens (used for implicit flows) click en save parte 2 configuración en asisteclick paso 2 1 configurar credenciales de azure navegación avatar (esquina superior derecha) > empresa o alternativamente menú configuración (ícono engranaje) > empresa en la página de configuración de empresa, busca la sección azure active directory completa los campos con los valores obtenidos de azure portal campo en asisteclick valor de azure nombre de la organización el nombre que usarán los usuarios para identificar tu organización (ej "miempresa") id de la organización (tenant id) directory (tenant) id de azure id de la aplicación application (client) id de azure id de secreto client secret value de azure click en grabar importante el "nombre de la organización" es el identificador que los usuarios ingresarán al acceder usa un nombre corto y fácil de recordar paso 2 2 vincular usuarios con azure ad para que un usuario pueda iniciar sesión con sso, debes vincular su cuenta de asisteclick con su identidad de azure ad navegación menú configuración (ícono engranaje) > usuarios > click en el usuario a editar busca la sección azure active directory sso en el campo nombre principal del usuario , ingresa el user principal name (upn) del usuario tal como aparece en azure ad el upn generalmente tiene el formato usuario\@tudominio com click en grabar nota el campo id de usuario en active directory se completará automáticamente después del primer inicio de sesión exitoso del usuario parte 3 uso del sso inicio de sesión con sso el usuario accede a la página de login de asisteclick click en ingresar con azure sso ingresa el nombre de la organización configurado en el paso 2 1 click en confirmar se redirige a microsoft para autenticación ingresa credenciales de microsoft (si no hay sesión activa) al autenticar exitosamente, se redirige al dashboard de asisteclick url directa de sso los usuarios pueden acceder directamente ingresando https //\[tu dominio]/tenant php si ya tienen una cookie de organización guardada, el login será automático después de autenticar en microsoft restricciones por plan funcionalidad plan business plan company plan ia plus configurar azure ad en cuenta no sí sí vincular usuarios con sso no sí sí login con azure sso no sí sí si tu plan no es company, verás un mensaje indicando que debes actualizar tu plan para usar esta funcionalidad comportamiento de usuarios sso login forzado por sso cuando un usuario tiene configurado el campo ms sso userprincipalname no puede iniciar sesión con usuario/contraseña tradicional debe usar exclusivamente el flujo de azure sso al intentar login normal, verá el mensaje "este usuario debe conectarse mediante azure sso a través de su organización " sincronización de sesión al cerrar sesión en asisteclick se cierra la sesión local se redirige a microsoft para cerrar sesión de azure ad esto previene que la sesión de azure ad permanezca activa problemas comunes "la organización ingresada no existe o no está configurada" causa solución nombre de organización incorrecto verifica que el usuario escriba exactamente el nombre configurado en "nombre de la organización" azure ad no configurado verifica que los 4 campos de azure estén completos en configuración > empresa campos en blanco si los campos tienen espacios en blanco, elimínalos y guarda nuevamente "el usuario no tiene cuenta en asisteclick o su cuenta no está vinculada con ms oauth" causa solución usuario no existe crea el usuario en asisteclick primero upn no coincide verifica que el upn en asisteclick coincida exactamente con el de azure ad upn con mayúsculas/minúsculas el upn es case insensitive, pero verifica que no haya espacios adicionales "este usuario debe conectarse mediante azure sso a través de su organización" este mensaje aparece cuando un usuario con sso configurado intenta usar login tradicional solución el usuario debe usar el botón "ingresar con azure sso" e ingresar el nombre de su organización el secreto expiró azure permite configurar expiración de secretos si el sso deja de funcionar ve a azure portal > app registrations > tu app > certificates & secrets crea un nuevo client secret actualiza el valor en asisteclick > empresa > id de secreto guarda los cambios desactivar sso para toda la organización navegación avatar > empresa borra los 4 campos de azure active directory nombre de la organización id de la organización id de la aplicación id de secreto click en grabar para un usuario específico navegación configuración > usuarios > editar usuario borra el campo nombre principal del usuario en la sección azure active directory sso click en grabar el usuario podrá usar login tradicional con su contraseña seguridad mejores prácticas rotación de secretos configura recordatorios para renovar el client secret antes de que expire auditoría revisa periódicamente los usuarios vinculados con sso offboarding al dar de baja un usuario en azure ad, también elimina su acceso en asisteclick grupos de azure considera usar grupos de seguridad en azure ad para gestionar accesos datos almacenados asisteclick almacena upn del usuario (para identificación) id de azure ad del usuario (tras primer login) token de acceso temporal (solo durante la sesión) no se almacenan contraseñas de microsoft