# OAuth y OIDC SSO para aplicaciones en la nube OpenID Connect (OIDC) es una capa de comprobación construida sobre el marco de autorización OAuth 2.0. OIDC es un protocolo de verificación común utilizado por los proveedores de identidades (IdP) para verificar a los usuarios que acceden a terceros proveedores de servicios (SP) sin exigirles que vuelvan a compartir su información de inicio de sesión en otro lugar. OAuth proporciona a las aplicaciones acceso a recursos de otras aplicaciones de terceros. También puede emplearse para autenticar usuarios. Con unos sencillos pasos de configuración, ADSelfService Plus es compatible con SSO para todas las aplicaciones en la nube compatibles con OAuth y OIDC. ## ¿Cómo funcionan los protocolos OAuth y OIDC? Dado que OIDC se construye como una capa de comprobación sobre OAuth 2.0, ambos protocolos funcionan de forma bastante similar. Sin embargo, hay ligeras desviaciones hacia el final del proceso de flujo de código. Cuando un usuario quiere acceder a una aplicación o SP, OIDC inicialmente lleva al usuario a la página de inicio de sesión del IdP para la verificación. Ahí comunica ciertos parámetros: el URI de redirección, el tipo de respuesta, el alcance, etc. Después de que el usuario autentique correctamente su identidad con el IdP, se le redirige de nuevo a la aplicación. Simultáneamente, el IdP pasa un código de autorización al SP en el canal de retorno seguro de los servidores. Este código luego es intercambiado por el token de acceso y el de identificación. Este último ayuda al SP a conocer la identidad del usuario que acaba de iniciar sesión. El token de acceso se usa si la aplicación cliente necesita acceder a más detalles sobre el usuario, tales como su foto de perfil. El siguiente diagrama de flujo permite comprender mejor el flujo de SSO iniciado por el SP para OIDC. ![OAuth 2.0 authorization](https://www.manageengine.com/products/self-service-password/images/oauth-authorization-diagram.png) El flujo de código de autorización de OAuth 2.0 funciona de forma idéntica al mencionado flujo de código de OIDC. Sin embargo, hay diferencias. En el último paso, el SP recibe el token de acceso y el de actualización del IdP a través del canal de retorno en lugar del token de ID. El token de actualización se emplea para obtener un nuevo token de acceso una vez que caduca sin hacer que el usuario se autentique de nuevo con el IdP. ## OAuth y OIDC SSO utilizando ADSelfService Plus ADSelfService Plus proporciona una gama de aplicaciones OAuth y OIDC de uso común **preintegradas** para facilitar la configuración de SSO. Los administradores también pueden añadir cualquier aplicación **personalizada** habilitada para OAuth u OIDC. La herramienta ofrece políticas detalladas para que los administradores configuren fácilmente el acceso de los usuarios a las aplicaciones. Proporciona opciones para determinar los detalles del IdP. Estos incluyen: - Las URL de los endpoints de autorización - Las URL de los endpoints de token - Las URL de los endpoints de usuario Esto aplica tanto para las aplicaciones personalizadas como para las preintegradas. Hay dos maneras a través de las cuales los usuarios pueden iniciar sesión en una aplicación o un servicio usando OAuth y OIDC SSO de ADSelfService Plus: ### Flujo SSO iniciado por IdP - Con el SSO iniciado por IdP, los usuarios primero se verifican e inician sesión en ADSelfService Plus. Este es el IdP. - Una vez conectado, el usuario hace clic en la aplicación deseada del catálogo de ADSelfService Plus. - La aplicación correspondiente se abrirá en una nueva pestaña y el usuario automáticamente iniciará sesión sin tener que autenticarse de nuevo. ### Flujo SSO iniciado por el SP - Con el SSO iniciado por el SP, el usuario intenta acceder a la aplicación requerida visitando la página de aterrizaje o inicio de sesión de la aplicación. - A continuación, el usuario es redirigido a ADSelfService Plus y se le presentan los factores de comprobación configurados por el administrador. - Una vez autorizado correctamente en ADSelfService Plus, el usuario vuelve a la aplicación y se le concede el acceso. ## Una consola fácil de usar que permite configurar el SSO sin complicaciones ### Configure aplicaciones preintegradas ![Configure pre-integrated applications](https://www.manageengine.com/products/self-service-password/images/screenshot-configure-pre-integrated-applications.png) **1. Conveniently categorized:** Choose from a range of pre-integrated applications that have been categorized for convenience. ### Configure detalles avanzados del IdP ![Configure advanced IdP details](https://www.manageengine.com/products/self-service-password/images/screenshot-configure-advanced-idp-details.png) **1. Configuración detallada:** Configure los detalles avanzados de IdP, como las URL de punto final de autorización, las URL de punto final de token y las URL de punto final de usuario haciendo clic en este botón. ### Configure custom applications ![Configure custom applications](https://www.manageengine.com/products/self-service-password/images/screenshot-configure-custom-applications.png) **1. Acceso basado en políticas:** Configure qué usuario puede acceder a qué aplicaciones mediante políticas granulares de ADSelfService Plus. ## Ventajas de OAuth y OIDC SSO en ADSelfService Plus - **Compatibilidad para cualquier aplicación habilitada para OAuth/OIDC:** Proporcione compatibilidad SSO para cualquier aplicación habilitada para OAuth/OIDC. Configure fácilmente el SSO a partir de un pool de aplicaciones preintegradas o añada aplicaciones personalizadas. - **Seguridad mejorada:** Implemente MFA para los inicios de sesión basados en SSO. Esto añade otra capa de seguridad a los nombres de usuario y contraseñas. - **Acceso con un solo clic:** Ayude a mejorar la experiencia del usuario y elimine la fatiga de claves proporcionando un acceso fluido a las aplicaciones con un solo clic. - **Reducción de la carga de trabajo de TI:** Ayude a los administradores de TI a reducir la carga de trabajo relacionada con las contraseñas y a gestionar mejor las identidades en varios servicios.