Algunos de los contenidos técnicos de este sitio web solo están disponibles en inglés.

Configurar Microsoft Entra ID para SSO e importación de usuarios

Esta guía explica qué servicios crear y qué ajustes configurar en el portal de Azure para habilitar el inicio de sesión único (SSO) e importar usuarios de Microsoft Entra ID (antes Azure Active Directory) como usuarios de Salto IDM.

Instrucciones

Sigue estas instrucciones para crear un registro de aplicación y configurarlo correctamente en Salto IDM.

Paso 1: Registrar la aplicación con tu tenant de Microsoft Entra ID

  1. Accede a la página Portal de Azure - Registros de aplicaciones.

  2. Elige una aplicación existente en la pestaña Todas las aplicaciones o selecciona Nuevo registro.

  3. Cuando aparezca la página Registrar una aplicación, introduce la información de registro de tu aplicación:

    • En la sección Nombre, introduce un nombre (por ejemplo, SaltoIDM-EntraID-Integration).
    • En la sección Tipos de cuentas admitidas, selecciona una de las siguientes opciones:
      • Para permitir usuarios externos y cuentas de diferentes dominios y tenants, selecciona Cuentas en cualquier directorio organizativo (Cualquier tenant de Microsoft Entra ID - Multitenant).
      • Para permitir solo usuarios internos y cuentas de tu propio dominio y tenant, selecciona Cuentas solo en este directorio organizativo (solo el nombre de tu tenant - Tenant único).
    • En la sección URI de redirección (opcional), selecciona Web en el menú desplegable e introduce la siguiente URL: https://{{HOSTNAME}}:{{PORT}}/signin-microsoft

    Página de registro de una aplicación en el portal de Azure

  4. Selecciona Registrar para crear la aplicación.

Para el URI de redirección, asegúrate de usar HTTPS (no HTTP) y reemplaza {{HOSTNAME}} y {{PORT}} con el host y puerto reales donde se ejecutará la aplicación.

Cuando el entorno de producción se ejecuta en el puerto HTTPS predeterminado (443), no necesitas añadir el puerto (por ejemplo, https://demo.saltoidm.com/signin-microsoft).

Para mantener tus registros limpios y aislados, lo que permite una depuración y resolución de problemas más sencilla, crea registros de aplicaciones independientes para diferentes entornos (por ejemplo, Localhost, Producción, Staging).

Paso 2: Configurar la autenticación de la aplicación

  1. Después de navegar a la página de registro de la aplicación, selecciona la pestaña Autenticación.

  2. Actualiza tu URL de cierre de sesión del canal frontal para que apunte a https://{{HOSTNAME}}:{{PORT}}/Account/Signout.

  3. Selecciona las siguientes casillas de verificación para que el punto de conexión de autorización pueda emitir los tokens correctos:

    • Tokens de acceso (usados para flujos implícitos)
    • Tokens de ID (usados para flujos implícitos e híbridos)

    Pestaña de autenticación con tokens de acceso e ID seleccionados

Paso 3: Configurar el secreto de la aplicación

  1. Selecciona la pestaña Certificados y secretos y selecciona Nuevo client secret.

  2. Agrega una Descripción representativa a tu secreto y elige una Expiración de acuerdo con tus propias reglas de seguridad y mantenimiento.

    Añadir un client secret con descripción y expiración

  3. Una vez que crees el secreto, copia el Valor secreto (no el ID de secreto) y guárdalo en un lugar seguro, como un administrador de contraseñas. Una vez que salgas de esta página, no podrás volver a ver el valor y, si no lo guardas, deberás volver a crear el secreto.

Después de que el secreto expire, el SSO no funcionará. Debes crear un nuevo secreto y actualizar su valor en Salto IDM.

Asegúrate de tener implementado un mecanismo que te avise cuando el secreto esté por caducar para evitar problemas de inicio de sesión en entornos de producción.

Paso 4: Configurar las notificaciones de la aplicación

  1. Selecciona la pestaña Configuración de token y selecciona Agregar notificación opcional.

  2. Para Tipo de token, elige ID y marca las siguientes notificaciones:

    • Correo electrónico
    • Nombre
    • Apellidos
    • ID de objeto

    Cuadro de diálogo de agregar notificación opcional con las notificaciones de token de ID seleccionadas

  3. Selecciona Agregar. Aparecerá una ventana emergente solicitando acceso para activar los permisos de API necesarios para leer esas notificaciones. Marca la casilla de verificación y luego selecciona Agregar.

    Ventana emergente para activar el permiso de correo electrónico y perfil de Microsoft Graph

Paso 5: Configurar permisos de API

  1. Selecciona la pestaña Permisos de API y asegúrate de que los siguientes permisos se hayan agregado automáticamente en los pasos anteriores.

    Permisos de API añadidos automáticamente para Microsoft Graph

  2. Selecciona Agregar un permiso, elige Microsoft Graph, luego Permisos de aplicación, busca y marca User.Read.All bajo los derechos de Usuario. Selecciona Agregar permisos.

    Selección del permiso de aplicación para leer todos los usuarios

  3. Por último, proporciona consentimiento de administrador a esos permisos seleccionando el botón situado sobre la tabla de permisos. Una vez que otorgues el permiso, se añadirá una marca de verificación a los permisos.

    Estado de consentimiento de administrador concedido para los permisos

Paso 6: Añadir la configuración de registro de la aplicación a Salto IDM

  1. En Salto IDM, asegúrate de que tu licencia tenga activada la integración de Microsoft Entra ID. Contacta a nuestro equipo de soporte si tu instalación no cuenta con la integración.

  2. Inicia sesión como un usuario de aplicación con derechos para actualizar Microsoft Entra ID.

  3. Navega a Administración > Configuración. Elige Microsoft Entra ID en el menú de la izquierda.

  4. Asegúrate de que la opción Usar inicio de sesión único de Microsoft Entra ID esté activada.

  5. Completa todos los valores según los IDs de registro de tu aplicación en Azure y el secreto almacenado previamente:

    Configuración de credenciales de inicio de sesión único en Salto IDM

    Puedes encontrar el ID de directorio (tenant) y el ID de aplicación (cliente) en la página Información general del registro de tu aplicación en Azure.

    Información general del registro de la aplicación mostrando los IDs de aplicación y directorio

Una vez que guardes los valores, el campo Client secret (valor) aparecerá vacío. Esto no es un error. Está diseñado para evitar la exposición de tus secretos en el frontend.

Al guardar nuevos valores, si cambias el secreto, se actualizará automáticamente. Si lo dejas vacío, no se reemplazará.

Paso 7: Iniciar sesión usando Microsoft Entra ID SSO

  1. Una vez que esta opción esté activada y configurada correctamente, puedes iniciar sesión usando tu cuenta de Microsoft.

  2. Navega a la página de inicio de sesión y elige Iniciar sesión con Microsoft.

    Página de inicio de sesión de Salto IDM con la opción de Iniciar sesión con Microsoft

  3. Sigue los pasos habituales necesarios para iniciar sesión en tu cuenta. Una vez que seas redirigido a Salto IDM, confirma que estás vinculando tu cuenta de Microsoft con un usuario de la aplicación Salto IDM:

    Información de asociación que confirma el vínculo de la cuenta de Microsoft

  4. Después de esto, puedes iniciar sesión en Salto IDM como un usuario limitado. Pide a tu administrador que asigne los roles y derechos correctos a tu usuario de aplicación para que puedas usar las funciones necesarias.

Paso 8: Importar usuarios de Microsoft Entra ID como usuarios de Salto IDM

  1. Ve a Administración > Automatizaciones y crea una nueva automatización. Selecciona la opción Importación de Microsoft Entra ID y utiliza la pestaña Credenciales a la derecha para añadir las credenciales guardadas.

    Creación de una automatización de importación de Microsoft Entra ID en Salto IDM

  2. Guarda la automatización y utiliza la pestaña Configuración para ajustar completamente la importación según tus necesidades.

    Pestaña de configuración para la automatización de importación de Microsoft Entra ID

  3. Una vez finalizada la automatización, por ejemplo ejecutándola manualmente, puedes ver los usuarios creados como Usuarios en Salto IDM.

    Confirmación de que la automatización se completó en Salto IDM

Salto Systems, S. L. utiliza dispositivos de almacenamiento y recuperación de datos de terceros para permitir una navegación más segura y comprender mejor cómo interactúan los usuarios con el sitio web con el fin de mejorar nuestros servicios. Puedes aceptar todas las cookies haciendo clic en el botón "Aceptar cookies" o rechazar su uso pulsando en el botón "Rechazar cookies". Para más información, visita nuestra Política de cookies