SSO empresarial.
Conecta tu proveedor de identidad OIDC para que tu equipo acceda a Vericto con las credenciales corporativas: aprovisionamiento automático, dominios verificados y acceso obligatorio por SSO.
Resumen
El Single Sign-On (SSO) permite que tu equipo acceda a Vericto usando el proveedor de identidad de tu organización, sin gestionar contraseñas separadas para cada persona. Vericto es compatible con cualquier proveedor OIDC estándar, así que puedes centralizar el acceso en la misma herramienta que ya usas para el resto de tus aplicaciones.
Una vez configurado, los usuarios de tus dominios verificados inician sesión con un solo clic. Puedes provisionar cuentas de forma automática, asignar un rol por defecto y, si lo necesitas, obligar a todo el equipo a entrar exclusivamente vía SSO.
SSO es una función del plan Enterprise. Solo el owner del workspace puede habilitarlo y modificarlo. Los cambios en la configuración de SSO son efectivos de inmediato para todo el equipo.
Requisitos previos
Antes de configurar SSO, asegúrate de cumplir con lo siguiente:
- Plan Enterprise: SSO empresarial está disponible únicamente en el plan Enterprise. Si tu workspace está en otro plan, actualízalo primero.
- Rol de owner: solo el owner del workspace puede habilitar, editar o desactivar SSO. La capacidad interna que lo gobierna es
sso.manage. - Un proveedor de identidad OIDC: necesitas acceso de administrador en tu proveedor (Okta, Microsoft Entra ID, Google Workspace, Auth0 o cualquier OIDC estándar) para crear una aplicación y obtener sus credenciales.
- Control del dominio de email: para verificar los dominios de tu organización necesitas poder crear un registro DNS TXT en la zona de cada dominio.
Guarda el client secret de forma segura. Vericto lo almacena cifrado y no vuelve a mostrarlo completo tras guardarlo. Si lo pierdes, genera uno nuevo en tu proveedor y actualízalo en la configuración.
Configuración paso a paso
La configuración vive en Dashboard → Ajustes → SSO. Un wizard de cuatro pasos te guía desde la elección del proveedor hasta la activación de la conexión:
Paso 1: Provider
Elige el proveedor de identidad e introduce un nombre del proveedor. Este nombre es solo una etiqueta descriptiva para tu equipo (por ejemplo, "Okta corporativo") y aparece en el botón de inicio de sesión.
Paso 2: Credentials
Introduce las credenciales que obtuviste al crear la aplicación OIDC en tu proveedor:
- Issuer URL (OIDC): la URL base del proveedor que expone su documento de descubrimiento, por ejemplo
https://tu-org.okta.com. client_id: el identificador público de la aplicación que creaste en tu proveedor.client_secret: el secreto asociado a esa aplicación. Se almacena cifrado.
Paso 3: Behavior
Define cómo se comporta la conexión: activa o desactiva el JIT provisioning, elige el rol por defecto para los usuarios provisionados y decide si quieres enforce SSO. Encontrarás el detalle de estas opciones en la sección siguiente.
Paso 4: Domains
Añade y verifica los dominios de email de tu organización. Solo los usuarios de dominios verificados pueden usar SSO. Consulta la sección de dominios para el proceso de verificación por DNS.
La conexión no queda operativa hasta que activas el toggle connection active. Puedes guardar la configuración, verificar los dominios y activar la conexión cuando estés listo para el corte.
Dominios y verificación DNS
Los dominios de email definen qué usuarios pueden entrar por SSO. Un dominio debe estar en estado verified para que Vericto acepte inicios de sesión desde direcciones de ese dominio. El proceso de verificación demuestra que controlas el dominio:
- En el paso Domains, añade un dominio de email (por ejemplo,
empresa.com). Queda en estado pending. - Vericto genera un token de verificación que puedes copiar. Crea un registro DNS TXT con ese token en la zona del dominio.
- Cuando el registro DNS se haya propagado, pulsa verificar. Vericto comprueba el TXT y, si coincide, el dominio pasa a estado verified.
- Puedes eliminar un dominio en cualquier momento. Al hacerlo, los usuarios de ese dominio dejan de poder autenticarse por SSO.
La propagación de DNS puede tardar desde unos minutos hasta varias horas según tu proveedor. Si la verificación falla, espera y vuelve a intentarlo: el token no cambia mientras el dominio siga en estado pending.
JIT provisioning, rol por defecto y enforce SSO
JIT provisioning
Con el JIT provisioning (aprovisionamiento just-in-time) activo, cualquier usuario de un dominio verificado que inicie sesión por SSO entra automáticamente al workspace, sin necesidad de una invitación manual. La cuenta se crea en el primer inicio de sesión y se le asigna el rol por defecto que configures.
Rol por defecto
El rol por defecto determina los permisos con los que entran los usuarios provisionados por JIT. Puedes elegir entre:
- member: acceso de lectura al dashboard, queries y audit trail. Es la opción recomendada para la mayoría de los equipos.
- viewer: solo lectura del dashboard y el audit trail. Adecuado para stakeholders o auditores.
- admin: gestión de bases de datos, reglas, API keys y del equipo. Úsalo con cautela como rol por defecto.
Después del primer inicio de sesión, un owner o admin puede ajustar el rol de cualquier usuario de forma individual desde el equipo.
Enforce SSO
El toggle enforce SSO obliga a todos los usuarios del workspace a iniciar sesión exclusivamente a través de SSO y deshabilita el acceso con email y contraseña. Es la configuración recomendada para organizaciones que requieren un punto único de control de acceso e identidad.
Verifica el acceso antes de activar enforce SSO. Confirma que la conexión funciona y que al menos un owner puede entrar por SSO. Si activas enforce SSO con una configuración incorrecta, podrías dejar al equipo sin acceso. Ten a mano el contacto de soporte por si necesitas restaurar el login con contraseña.
Preguntas frecuentes
¿Qué proveedores de identidad son compatibles?
Cualquier proveedor OIDC estándar. Están validados de forma explícita Okta, Microsoft Entra ID, Google Workspace y Auth0, pero funciona con cualquier proveedor que exponga un issuer OIDC conforme al estándar.
¿Puedo usar SSO sin JIT provisioning?
Sí. Si desactivas el JIT provisioning, los usuarios podrán autenticarse por SSO pero solo si ya forman parte del equipo. En ese caso sigues invitando a las personas manualmente y SSO se usa únicamente como método de inicio de sesión.
¿Quién puede configurar el SSO?
Solo el owner del workspace, en un plan Enterprise. Los admins pueden gestionar el resto del equipo, pero la configuración de SSO está reservada al owner mediante la capacidad sso.manage.
¿Qué pasa si desactivo la conexión?
Si desactivas el toggle connection active, los inicios de sesión por SSO dejan de funcionar. Si no tenías enforce SSO activo, los usuarios existentes pueden volver a entrar con email y contraseña. Con enforce SSO activo, desactiva primero enforce SSO para no bloquear al equipo.
¿Necesito verificar un dominio para cada subdominio?
Sí. Cada dominio de email se verifica de forma independiente con su propio registro DNS TXT. Si tu equipo usa varios dominios, añade y verifica cada uno por separado.