Configura OAuth 2.0 u OpenID Connect (OIDC) para el inicio de sesión único. Una alternativa moderna a SAML para proveedores de identidad nativos en la nube.
SAML vs OAuth/OIDC
| Característica | SAML | OAuth/OIDC |
|---|---|---|
| Protocolo | Basado en XML | JSON/REST |
| Formato de token | Aserción XML | JWT |
| Ideal para | IdPs empresariales | Aplicaciones en la nube |
| Complejidad de configuración | Mayor | Menor |
Si tu proveedor de identidad soporta OpenID Connect, elige OIDC sobre OAuth 2.0 — Zenovay verifica el token de identidad contra el punto final JWKS de tu IdP y proporcionas una única URL de descubrimiento (URL de metadatos) en lugar de listar cada punto final individualmente.
Proveedores soportados
| Proveedor | Protocolo |
|---|---|
| Microsoft Entra ID (Azure AD) | OIDC |
| Okta | OIDC |
| Auth0 | OIDC |
| Keycloak | OIDC |
| Personalizado | OAuth 2.0 / OIDC |
Configuración OAuth/OIDC de Zenovay
Redirect URI
Tu proveedor de identidad necesitará esta URI de redirección:
| Configuración | Valor |
|---|---|
| Redirect URI / Callback URL | https://auth.zenovay.com/api/sso/oauth/callback |
Puedes copiar este valor (y los equivalentes SAML) directamente desde Configuración → Seguridad → SSO, bajo Detalles del proveedor de servicios.
Scopes requeridos
Zenovay requiere estos scopes:
openid
email
profile
Elección entre OAuth 2.0 y OpenID Connect
| Característica | OAuth 2.0 | OpenID Connect |
|---|---|---|
| Verificación del token de identidad | No aplicable | Automática via JWKS |
| Campos requeridos | Client ID, Client Secret, Issuer, Authorization URL, Token URL, Userinfo URL | Client ID, Client Secret, Issuer, Metadata URL |
| Ideal para | IdPs sin soporte OIDC | IdPs modernos (Okta, Entra ID, Auth0, Keycloak) |
Con OIDC proporcionas la URL de metadatos (el documento .well-known/openid-configuration de tu IdP) y Zenovay lee los puntos finales de autorización, token, userinfo y JWKS de él. Con OAuth 2.0 puro ingresas cada URL de punto final tú mismo.
Configuración Microsoft Entra ID OIDC
Paso 1: Registrar la aplicación
- Inicia sesión en el centro de administración de Microsoft Entra
- Ve a Identidad → Aplicaciones → Registros de aplicaciones
- Haz clic en Nuevo registro
- Configura:
| Campo Entra ID | Valor |
|---|---|
| Nombre | Zenovay |
| Tipos de cuenta admitidos | Solo cuentas en este directorio de organización |
| Redirect URI | Web — https://auth.zenovay.com/api/sso/oauth/callback |
- Haz clic en Registrar
Paso 2: Crear secret de cliente
- Ve a Certificados y secretos
- Haz clic en Nuevo secreto de cliente
- Establece descripción y expiración
- Copia el valor secreto inmediatamente (no se mostrará de nuevo)
Paso 3: Anotar detalles de la aplicación
Registra estos valores:
- ID de aplicación (ID de cliente) — de la página Descripción general
- Client Secret — del paso 2
- Tenant ID — de la página Descripción general
Paso 4: Permisos de API
- Ve a Permisos de API
- Verifica que Microsoft Graph → User.Read (delegado) esté listado
- Si no, haz clic en Agregar un permiso → Microsoft Graph → Permisos delegados → User.Read
Paso 5: Configurar en Zenovay
- En Zenovay, ve a Configuración → Seguridad → SSO
- Haz clic en Añadir proveedor y elige OpenID Connect
- Ingresa:
- Nombre del proveedor: por ejemplo, "Microsoft Entra ID"
- Client ID: el ID de aplicación (ID de cliente) del paso 3
- Client Secret: el valor secreto del paso 2
- Issuer:
https://login.microsoftonline.com/{tu-id-tenant}/v2.0 - Metadata URL:
https://login.microsoftonline.com/{tu-id-tenant}/v2.0/.well-known/openid-configuration
- Haz clic en Crear
- Añade y verifica tu dominio de correo electrónico
- Prueba la conexión
Configuración Okta OIDC
Paso 1: Crear aplicación
- Ve a la consola de administrador de Okta → Aplicaciones
- Haz clic en Crear integración de aplicación
- Selecciona OIDC - OpenID Connect
- Selecciona Aplicación web
- Haz clic en Siguiente
Paso 2: Configurar la aplicación
| Campo Okta | Valor |
|---|---|
| Nombre de integración de la aplicación | Zenovay |
| Tipo de concesión | Authorization Code |
| URIs de redirección de inicio de sesión | https://auth.zenovay.com/api/sso/oauth/callback |
Paso 3: Asignar usuarios
- Ve a la pestaña Asignaciones
- Asigna usuarios o grupos
- Guardar
Paso 4: Obtener credenciales
De la pestaña General, anota:
- Client ID
- Client Secret
Paso 5: Obtener Issuer y URLs de metadatos
- Ve a Seguridad → API en la consola de administrador de Okta
- Encuentra tu servidor de autorización (normalmente "default")
- El Issuer URI se verá como:
https://tu-org.okta.com/oauth2/default - La URL de metadatos correspondiente es el Issuer URI más
/.well-known/openid-configuration, por ejemplo:https://tu-org.okta.com/oauth2/default/.well-known/openid-configuration
Paso 6: Configurar en Zenovay
- Ve a Configuración → Seguridad → SSO
- Haz clic en Añadir proveedor y elige OpenID Connect
- Ingresa:
- Nombre del proveedor: por ejemplo, "Okta"
- Client ID: del paso 4
- Client Secret: del paso 4
- Issuer: el Issuer URI del paso 5
- Metadata URL: la URL de descubrimiento del paso 5
- Haz clic en Crear
- Añade y verifica tu dominio de correo electrónico
- Prueba la conexión
Configuración Auth0
Paso 1: Crear aplicación
- Ve al panel de Auth0
- Ve a Aplicaciones → Crear aplicación
- Elige Aplicaciones web ordinarias
- Haz clic en Crear
Paso 2: Configurar ajustes
En la pestaña Configuración:
| Campo Auth0 | Valor |
|---|---|
| URLs de devolución de llamada permitidas | https://auth.zenovay.com/api/sso/oauth/callback |
Haz clic en Guardar cambios.
Paso 3: Obtener credenciales
De la pestaña Configuración, anota:
- Dominio (por ejemplo,
tu-tenant.us.auth0.com) - Client ID
- Client Secret
Paso 4: Configurar en Zenovay
- Ve a Configuración → Seguridad → SSO
- Haz clic en Añadir proveedor y elige OpenID Connect
- Ingresa:
- Nombre del proveedor: por ejemplo, "Auth0"
- Client ID: del paso 3
- Client Secret: del paso 3
- Issuer:
https://tu-tenant.us.auth0.com/(incluye la barra diagonal final) - Metadata URL:
https://tu-tenant.us.auth0.com/.well-known/openid-configuration
- Haz clic en Crear
- Añade y verifica tu dominio de correo electrónico
- Prueba la conexión
La URL del Issuer de Auth0 debe incluir la barra diagonal final. Por ejemplo: https://dev-xxxxx.us.auth0.com/
Google Workspace
Google Workspace soporta principalmente SAML 2.0 para la integración de aplicaciones personalizadas. Para SSO de Google Workspace, recomendamos usar en su lugar la guía de configuración SAML 2.0.
Si específicamente necesitas OIDC con Google, puedes crear credenciales OAuth en la consola de Google Cloud:
- Ve a Google Cloud Console → APIs & Services → Credenciales
- Haz clic en Crear credenciales → ID cliente OAuth
- Selecciona Aplicación web e ingresa
https://auth.zenovay.com/api/sso/oauth/callbackcomo URI de redirección - Anota el Client ID y el Client Secret
- En Zenovay, añade un proveedor OpenID Connect con Issuer
https://accounts.google.comy Metadata URLhttps://accounts.google.com/.well-known/openid-configuration
Proveedor OIDC personalizado
Si tu proveedor de identidad soporta el descubrimiento de OpenID Connect:
- Ve a Configuración → Seguridad → SSO
- Haz clic en Añadir proveedor y elige OpenID Connect
- Ingresa:
- Nombre del proveedor: el nombre de tu proveedor
- Client ID: de tu IdP
- Client Secret: de tu IdP
- Issuer: la URL del issuer de tu IdP (por ejemplo,
https://tu-idp.com) - Metadata URL: tu documento de descubrimiento de IdP, generalmente la URL del issuer más
/.well-known/openid-configuration
- Haz clic en Crear
Zenovay lee automáticamente los puntos finales de autorización, token, userinfo y JWKS de tu IdP desde el documento de metadatos, por lo que no tienes que ingresar cada uno individualmente.
Proveedor OAuth 2.0 personalizado
Si tu proveedor de identidad no soporta el descubrimiento automático OIDC, usa OAuth 2.0 con configuración manual de puntos finales:
- Ve a Configuración → Seguridad → SSO
- Haz clic en Añadir proveedor y elige OAuth 2.0
- Ingresa:
- Nombre del proveedor: el nombre de tu proveedor
- Client ID: de tu IdP
- Client Secret: de tu IdP
- Authorization URL: el punto final de autorización de tu IdP
- Token URL: el punto final de token de tu IdP
- Userinfo URL: el punto final de información de usuario de tu IdP
- Haz clic en Crear
Finalización de la configuración
Verificar dominio
Después de guardar tu proveedor SSO, vincula los dominios de correo electrónico con los que se conecta tu equipo para que Zenovay sepa dirigirlos a través de SSO:
- En la sección Verificación de dominio, ingresa tu dominio de correo electrónico (por ejemplo,
empresa.com) y haz clic en Verificar dominio - Zenovay devuelve un registro TXT de DNS (host y valor) — agrégalo en tu proveedor de DNS
- Haz clic en Verificar DNS una vez que el registro se haya propagado
- Una vez verificado, los usuarios con ese dominio de correo electrónico serán dirigidos a SSO
Probar la conexión
Puedes ejecutar una verificación rápida antes de habilitar el proveedor:
- Abre el menú de acciones del proveedor (el botón ⋯ en la fila del proveedor)
- Haz clic en Probar conexión
- Un toast de éxito confirma que Zenovay puede alcanzar tu IdP con las credenciales configuradas
También puedes confirmar el flujo de extremo a extremo manualmente:
- Abre una ventana de navegador incógnito/privado
- Ve a auth.zenovay.com
- Elige Iniciar sesión con SSO e ingresa un correo electrónico de tu dominio verificado
- Autentica con tu IdP
- Verifica que regresas al panel de Zenovay
Habilitar y aplicar SSO
- En la fila del proveedor, cambia el interruptor activado para habilitar el proveedor
- Para requerir SSO para todos en el espacio de trabajo, abre el menú de acciones del proveedor (⋯) y elige Aplicar SSO, luego confirma
Antes de aplicar SSO, asegúrate de que al menos una cuenta Propietario pueda seguir iniciando sesión vía correo electrónico/contraseña como respaldo en caso de una interrupción de IdP. Zenovay muestra una advertencia de confirmación antes de que se active la aplicación.
Mapeo de atributos de usuario
Claims estándar
| Claim OIDC | Campo Zenovay |
|---|---|
| Dirección de correo electrónico | |
| given_name | Nombre |
| family_name | Apellido |
| sub | Identificador único |
Aprovisionamiento Just-In-Time
Los nuevos usuarios se crean automáticamente en su primer inicio de sesión SSO exitoso:
- Creación automática de cuenta desde el dominio de correo electrónico verificado
- No se requiere invitación
Características de seguridad
Zenovay aplica automáticamente estas medidas de seguridad para OAuth/OIDC:
- PKCE (Proof Key for Code Exchange) — protege el intercambio del código de autorización
- Parámetro de estado — previene ataques CSRF
- Validación de Nonce (OIDC) — previene ataques de repetición de token
- Verificación del token de identidad (OIDC) — valida tokens usando el punto final JWKS del IdP
Solución de problemas
Errores comunes
| Error | Causa | Solución |
|---|---|---|
| Invalid redirect_uri | Discordancia de URL | Asegúrate de que la URI de redirección sea exactamente https://auth.zenovay.com/api/sso/oauth/callback |
| Invalid client_id | Credencial incorrecta | Verifica el ID de cliente en tu panel de IdP |
| Invalid grant | Código expirado | Intenta de nuevo — los códigos de autorización tienen corta duración |
| Token verification failed | Fallo de firma | Verifica que el punto final JWKS sea accesible |
| State parameter mismatch | Problema de sesión | Borra cookies e intenta en una ventana incógnito |
| OIDC discovery failed | Problema de URL de metadatos | Abre {metadata-url} en tu navegador y confirma que devuelve el documento .well-known/openid-configuration |
Problemas de certificado
Si JWKS falla:
- Verifica que la URL de JWKS sea accesible
- Asegúrate de que el certificado SSL sea válido
- Verifica bloqueos de firewall
Consideraciones de seguridad
Gestión de secretos
- Almacena el secreto del cliente de forma segura
- Rota los secretos antes de que expiren
- Nunca expongas secretos en código del lado del cliente
Limitaciones de scopes
Solicita scopes mínimos:
- Solo
openid,email,profile - No solicites acceso innecesario
Validación de URI de redirección
- Usa validación de coincidencia exacta en tu IdP
- No uses caracteres generales
- Se requiere HTTPS