Acceso

Acceso a ArchibotChat y SSO

Envíe los datos de su proveedor de identidad en el paso de Inicio de sesión único para que ISM pueda configurar el inicio de sesión de la organización.

Administradores de clientesOperadores de plataforma

Última actualización 18 de junio de 2026

El paso de Inicio de sesión único es donde un administrador de cliente entrega a ISM los detalles no secretos necesarios para conectar su proveedor de identidad (IdP) a ArchibotChat y a la Console. Usted envía metadatos, asignaciones de claims y grupos de roles; ISM completa el intercambio de secretos a través de un canal aprobado y confirma cuando el inicio de sesión está listo para probarse.

Esta guía cubre el formulario en la ruta /account/sso. No otorga ni cambia el acceso individual a los productos. Para saber cómo las puertas de producto y la facturación deciden qué puede abrir un usuario que inició sesión, consulte Configuración de ArchibotChat y Facturación y créditos de ArchibotChat.

Antes de empezar

• Debe ser administrador de cliente para enviar la configuración de SSO.
• Tenga disponible a su administrador de IdP, o sea usted mismo el administrador de IdP, para poder leer los metadatos de la aplicación.
• Sepa con qué dominios de correo electrónico inician sesión sus usuarios.
• Decida el protocolo que usará: OIDC o SAML.

Los equipos pequeños no tienen que usar SSO. El paso es opcional y puede seguir usando invitaciones por correo electrónico hasta que esté listo para conectar un IdP. Envíe los detalles de SSO solo cuando tenga la intención de conectar un proveedor.

Abrir el paso de Inicio de sesión único

1. Abra la Console y vaya a Configuración de la cuenta.
2. En la navegación de Configuración de la cuenta, seleccione Inicio de sesión único.
3. Lea el banner de envío seguro en la parte superior del paso. Es un recordatorio de que este formulario solo toma metadatos no secretos.

El encabezado del paso muestra su estado (No iniciado, En curso, Necesita revisión o Listo) y, para las cuentas de autoservicio, una marca de Opcional.

Elegir el tipo de IdP y los dominios de inicio de sesión

1. Establezca el Tipo de IdP en una de estas opciones:
   • OIDC para proveedores de OpenID Connect.
   • SAML para proveedores de SAML 2.0.
   • Sin SSO todavía (usar correos de invitación) si no está listo para conectar un proveedor.
2. En Dominios de inicio de sesión, ingrese una lista separada por comas de los dominios de correo electrónico con los que inician sesión sus usuarios, por ejemplo example.com, example.co. Si la Console ya conoce dominios para su cuenta, puede elegir uno de la búsqueda para agregarlo.

Cambiar el tipo de IdP o los dominios borra cualquier resultado anterior de verificación de metadatos, así que vuelva a verificar después de ajustarlos.

Apuntar la Console a los metadatos de su proveedor

La fila URL de descubrimiento / metadatos le ayuda a encontrar y confirmar la URL de metadatos correcta.

1. Elija su proveedor de la lista de preajustes. Los preajustes incluyen Microsoft Entra ID, Okta, Google Workspace, Auth0, OneLogin y Otro proveedor. Cada preajuste muestra la pista de host que espera, como un ID de inquilino o company.okta.com.
2. Seleccione Usar URL del proveedor para rellenar el campo de metadatos con una URL de descubrimiento sugerida creada a partir de su proveedor y dominios. Si la sugerencia aún no se puede crear, la Console le indica qué debe ingresar primero (un dominio de inicio de sesión o un valor de inquilino).
3. Seleccione Abrir consola del proveedor para abrir la consola de administración del proveedor en una nueva pestaña.
4. Algunos preajustes agregan botones de transferencia de configuración específicos del proveedor (por ejemplo, abrir el registro de la aplicación o la pantalla de claims). Úselos para ir directamente a la pantalla donde crea o inspecciona la aplicación del IdP.
5. Si ya tiene la URL exacta de metadatos, escríbala o péguela en el campo de metadatos, por ejemplo https://idp.example.com/.well-known/openid-configuration.

La Console crea sugerencias y enlaces únicamente a partir de sus selecciones. No lee ni almacena secretos.

Verificar los metadatos

1. Seleccione Verificar metadatos. La Console accede a la URL de metadatos del proveedor y comprueba los campos esperados. El botón muestra Verificando… mientras se ejecuta.
2. Lea el panel de resultados debajo del campo:
   • Metadatos verificados significa que la Console alcanzó al proveedor y encontró los campos esperados. Muestra el emisor o el ID de entidad descubierto para que pueda confirmar que coincide con su proveedor.
   • Los metadatos necesitan atención significa que la Console no pudo verificar los metadatos. Vuelva a comprobar la URL, el dominio y el protocolo, y luego inténtelo de nuevo.

La verificación es de solo lectura. Confirma que la URL es accesible y está bien formada; no finaliza la conexión.

Asignar claims y grupos de roles

ISM usa estos valores para asignar a los usuarios que inician sesión la identidad y los roles correctos. Cada campo acepta valores comunes de una lista de selección rápida o su propia entrada.

La referencia de aplicación del proveedor es únicamente un identificador no secreto. Permite que ISM vincule las notas de transferencia de la Console con la aplicación exacta del IdP. No ingrese aquí un secreto de cliente.

Leer el panel de preparación de SSO

Debajo de los campos, el panel Preparación de SSO resume qué tan completa está su solicitud, con una insignia de listos/total. Cada mosaico pasa a listo a medida que completa el detalle correspondiente:

• Dominios de inicio de sesión — hay al menos un dominio de inicio de sesión configurado.
• Verificación de metadatos — hay una URL de metadatos presente y verificada.
• Aplicación del proveedor — se proporciona una referencia de aplicación del proveedor.
• Asignación de claims — los claims de nombre de usuario y de correo electrónico están asignados.
• Grupos de roles — se nombran los grupos de administradores y miembros.
• Callbacks — la configuración de callback del lado del proveedor está contemplada.
• Usuarios de prueba — se proporciona al menos una cuenta de prueba.

No tiene que completar todos los elementos antes de enviar, pero un resumen de preparación más completo le permite a ISM terminar más rápido.

Enviar su configuración de SSO

1. Si necesita un respaldo temporal de contraseña para un usuario aprobado que aún no puede completar la MFA por dispositivo, establezca la opción Respaldo de contraseña para solicitarlo. Esto solo está disponible cuando el respaldo de contraseña está habilitado para su cuenta, e ISM debe aprobar y habilitar la política antes de que cambie el comportamiento de inicio de sesión.
2. Agregue cualquier cosa que ISM deba saber en Notas de SSO, como una ventana de mantenimiento o una particularidad del proveedor.
3. Seleccione Enviar configuración de SSO.

La Console confirma el envío y le informa que ISM se pondrá en contacto una vez que la configuración esté lista para probarse. ISM completa la conexión e intercambia cualquier secreto a través de un canal aprobado, nunca a través de este formulario.

Qué no poner en este formulario

El paso de Inicio de sesión único solo toma metadatos no secretos de OIDC o SAML. No pegue:

• Secretos de cliente ni claves de firma.
• Claves privadas o certificados que contengan material privado.
• Cookies, tokens de sesión o tokens de invitación.
• Contraseñas.

Si ISM necesita un secreto para finalizar la conexión, lo solicita a través de un canal aprobado.

Después de enviar

• ISM revisa su envío y se pone en contacto para confirmar o hacer preguntas de seguimiento.
• Una vez que la conexión esté activa, sus usuarios inician sesión a través de su organización en la URL de ArchibotChat.
• Iniciar sesión con éxito no es lo mismo que tener un producto habilitado. Las puertas de producto y la facturación siguen decidiendo qué puede abrir cada usuario. Consulte Configuración de ArchibotChat.

Guías relacionadas

• Configuración de administrador de cliente
• Configuración de ArchibotChat
• Primeros pasos con ArchibotChat
• Solución de problemas de ArchibotChat
• Roles de acceso