Para configurar OIDC SSO en Adalo Blue, necesitarás acceso administrativo a una cuenta en un IdP compatible con OIDC y una suscripción activa a Adalo Blue. Adalo es un generador de aplicaciones sin código para aplicaciones web impulsadas por bases de datos y aplicaciones nativas para iOS y Android, una versión en las tres plataformas, publicadas en la App Store de Apple y Google Play.
- Lo que necesita: Acceso administrativo a un IdP compatible con OIDC (por ejemplo, Okta, Auth0) y un plan Adalo Blue Team ($200/mes) o Business ($250/mes).
- Descripción general de la configuración:
- Registra Adalo Blue en tu IdP y recopila el ID de cliente, Secreto de cliente y Endpoint de descubrimiento.
- Configura Adalo Blue con estos detalles y asigna reclamaciones de usuario (por ejemplo,
email,sub) a propiedades de la aplicación. - Prueba la conexión usando las herramientas integradas de Adalo Blue para asegurar la autenticación correcta.
- Activa SSO y comparte la URL de inicio de sesión con tu equipo.
Consejo profesional: Usa el flujo de código de autorización para autenticación segura y asegúrate de que los openid, emaily profile alcances estén habilitados. Mantén tu configuración actualizada rotando regularmente las claves y monitoreando la configuración del IdP.
Esta guía te lleva a través de cada paso, desde la configuración de tu IdP hasta la prueba y activación de SSO en Adalo Blue, asegurando una integración suave y segura.
Proceso de configuración de OpenID Connect SSO para Adalo Blue
Requisitos previos para configurar OIDC SSO en Adalo Blue
Cuentas y permisos requeridos
Para configurar OIDC SSO en Adalo Blue, necesitarás acceso administrativo a una cuenta en el plan Team ($200/mes) o el plan Business ($250/mes). Estos planes incluyen la funcionalidad de SSO requerida para la integración. Ten en cuenta que el plan Professional ($65/mes), aunque ofrece integración avanzada de API, no admite características completas de SSO.
Además, debes tener acceso administrativo a un Proveedor de identidad (IdP) compatible con OIDC como Okta, Auth0 o Azure AD. Este acceso te permite crear integraciones, configurar URIs de redirección y generar credenciales de cliente. Una vez que hayas confirmado tus permisos y cuentas, puedes comenzar a recopilar los detalles necesarios de tu IdP.
Información que necesitarás de tu IdP
Después de registrar Adalo Blue como una aplicación dentro de tu IdP, recopila estos datos críticos:
- Client ID: Este es el identificador público de tu aplicación.
- Client Secret: Una clave privada usada para autenticar Adalo Blue con tu IdP. Trata esto como una contraseña y mantenlo seguro.
- Endpoint de descubrimiento: Generalmente termina con
/.well-known/openid-configurationy proporciona detalles de configuración automáticamente.
Para asegurar que todo esté configurado correctamente, pega la URL del Endpoint de descubrimiento en un navegador. Debería devolver un objeto JSON con metadatos de conexión. Confirma que tu IdP esté configurado para compartir los openid, profiley email alcances - estos son requeridos para asignar correctamente las reclamaciones de usuario en Adalo Blue. Una vez que hayas recopilado estos detalles, estás listo para pasar a configurar Adalo Blue.
Acceso a la configuración de Adalo Blue
Con los detalles de tu IdP en mano, inicia sesión en Adalo Blue para comenzar la configuración de SSO. Ve a la sección de Configuración (busca el icono de varita mágica en la barra lateral) para acceder a las opciones de configuración de SSO. Aquí encontrarás la integración y la configuración de seguridad donde puedes ingresar tus credenciales de IdP y gestionar los protocolos de autenticación.
Adalo Blue proporcionará una URI de redirección en su configuración. Copia esta URI y pégala en la configuración de tu aplicación IdP para asegurar que las respuestas de autenticación se enruten al endpoint correcto. Verifica dos veces que todos tus detalles de IdP estén preparados antes de sumergirte en el panel de configuración de Adalo Blue.
Cómo configurar OpenID Connect SSO
Configura tu Proveedor de identidad (IdP)
Comienza iniciando sesión en tu cuenta del Proveedor de identidad (IdP) con acceso administrativo. Ya sea que estés usando Okta, Auth0, Azure AD u otro proveedor compatible con OIDC, la configuración generalmente sigue un proceso similar. Primero, crea una nueva integración de aplicación, selecciona OIDC – OpenID Connect como el método de inicio de sesión, y elige Aplicación web para el tipo de aplicación.
Luego, selecciona el Código de autorización tipo de concesión. Este flujo es altamente recomendado para integraciones basadas en web como Adalo Blue, ya que asegura autenticación segura del lado del servidor. Desde tu panel de Adalo Blue, copia la URL de devolución de llamada y pégala en el campo "URIs de redirección de inicio de sesión" de tu IdP. Esta URL es crítica - dirige al IdP a devolver a los usuarios a tu aplicación después de la autenticación exitosa.
También necesitarás configurar los alcances requeridos. Como mínimo, incluye el openid alcance junto con profile y email para asegurar que el IdP comparta información esencial del usuario. Una vez que guardes la aplicación, tu IdP generará Client ID y Client Secret. Asegúrate de copiar estos valores inmediatamente, ya que los necesitarás para el siguiente paso.
Ingresa detalles de OIDC en Adalo Blue
Ve a la Configuración sección en Adalo Blue haciendo clic en el icono de varita mágica en la barra lateral. Ubica el panel de configuración de SSO, donde encontrarás campos para ingresar tu ID de cliente, Secreto de cliente e Issuer URL. Pega el ID de cliente y el Secreto de cliente de tu IdP en los campos respectivos. Recuerda, el Secreto de cliente es información sensible - trata esto como una contraseña y evita compartirlo o almacenarlo de manera insegura.
Para la Issuer URL, usa el endpoint de descubrimiento de tu IdP, que típicamente termina con /.well-known/openid-configuration. Esta URL permite a Adalo Blue recuperar y configurar automáticamente endpoints clave, como Autorización, Token e Información de usuario, reduciendo el riesgo de errores manuales. Verifica dos veces que la URI de redirección en Adalo Blue coincida exactamente con la que ingresaste en tu IdP - cualquier inconsistencia, incluso menor, puede llevar a problemas de autenticación. Una vez que estos detalles se ingresan, procede a asignar reclamaciones de usuario y roles para terminar la configuración.
Asignar reclamaciones y roles de usuario
El paso final es asignar atributos de usuario de tu IdP a las propiedades de usuario de Adalo Blue. Cuando un usuario inicia sesión, el IdP envía un token de ID que contiene reclamaciones - fragmentos verificados de información sobre el usuario.
En la configuración de SSO de Adalo Blue, localiza el campo de clave de reclamación de nombre de usuario . Esto determina qué reclamación del IdP servirá como identificador único del usuario. Las opciones comunes incluyen sub o email. Para confirmar qué reclamación envía tu IdP, habilita la función Vista previa de reclamaciones. Esta herramienta te permite inspeccionar las reclamaciones que se envían, asegurando que la información se alinee con los requisitos de tu sistema.
| Reclamación OIDC | Propiedad de Usuario de Adalo Blue | Descripción |
|---|---|---|
sub |
ID de Usuario / Identificador Único | El identificador único para el usuario |
email |
Correo Electrónico | La dirección de correo electrónico verificada del usuario |
given_name |
Nombre | El nombre de pila o nombre dado del usuario |
family_name |
Apellido | El apellido o nombre de familia del usuario |
groups |
Roles / Permisos | Reclamación opcional para control de acceso basado en roles |
Si tu aplicación requiere control de acceso basado en roles, configura tu IdP para incluir una reclamación groups o roles en el token de ID. Adalo Blue puede usar esta reclamación para asignar automáticamente permisos a los usuarios al iniciar sesión. Mantén la función Vista previa de reclamaciones habilitada durante la configuración inicial para verificar que todo esté asignado correctamente. Una vez que estés seguro de que la configuración es precisa, puedes desactivar la función de vista previa para uso regular.
Probar y Activar SSO OIDC en Adalo Blue
Usa la Herramienta de Prueba de SSO de Adalo Blue
Antes de implementar SSO, es crucial probar la conexión en un entorno controlado. Dirígete a la pestaña Probar conexión en el panel de configuración de SSO de Adalo Blue y haz clic en Prueba de Inicio de Sesión. Esto simulará un flujo de SSO, abriendo una nueva ventana que muestra el estado de la conexión, resalta cualquier problema y muestra la respuesta completa de tu Proveedor de Identidad (IdP).
La herramienta de prueba proporciona información detallada sobre las reclamaciones enviadas por tu IdP. Estas incluyen atributos estándar como sub, emaily name, así como cualquier rol personalizado que hayas configurado. Revisa cuidadosamente estos datos para confirmar que todas las asignaciones sean precisas. Ten la seguridad de que las pruebas no afectarán tus permisos.
Si el IdP envía un "token delgado" con información de usuario incompleta, los resultados de la prueba marcarán este problema. Para abordarlo, configura un punto final UserInfo (también llamado URL de Token Graso) para recuperar el perfil de usuario completo.
Asegúrate de resolver cualquier problema identificado durante las pruebas antes de pasar a la activación.
Soluciona Problemas Comunes
Cuando la prueba de conexión falla, la herramienta proporciona advertencias específicas para ayudarte a identificar el problema. Un problema frecuente es un URI de Redirección no coincidente - incluso un pequeño error tipográfico o carácter adicional puede interrumpir la autenticación.
| Problema Común | Causa probable | Paso de Solución de Problemas |
|---|---|---|
| URI de Redirección Inválido | Falta de coincidencia entre IdP y Adalo Blue | Asegúrate de que el URI coincida exactamente en ambos paneles |
| Datos de Usuario Faltantes | Scopes incorrectos o faltantes | Verifica openid, emaily profile se solicitan scopes |
| Perfil Incompleto | Tokens de ID delgados del IdP | Configura una URL UserInfo (Token Graso) |
| Falla en Sincronización de Roles | Sensibilidad de mayúsculas o nombres de roles inválidos | Haz coincidir las cadenas de rol del IdP exactamente con los valores esperados |
| 404 en Metadatos | Punto final de descubrimiento incorrecto | Asegúrate de que la URL termine con /.well-known/openid-configuration |
Verifica dos veces que la aplicación del IdP incluya los openid, emaily profile scopes necesarios. Prueba la URL de descubrimiento en tu navegador para confirmar que devuelve metadatos JSON. Presta mucha atención a la asignación de roles, ya que es sensible a mayúsculas - los nombres de roles deben coincidir exactamente. Cuando pruebes asignaciones de roles, comienza con una cuenta que no sea de administrador para evitar bloquearte accidentalmente a ti mismo del acceso administrativo.
Una vez que se resuelvan todos los problemas, estarás listo para activar SSO.
Activar OIDC SSO para tu equipo
Después de pasar todas las pruebas, activa SSO alternando el Permitir autenticación SSO interruptor en el panel de configuración. Verifica nuevamente las asignaciones de funciones para asegurarte de que no sobrescriban ninguna asignación manual.
A continuación, cierra sesión y prueba el flujo de SSO para confirmar que todo funciona como se esperaba. Una vez verificado, comparte la URL de inicio de sesión SSO única con tu equipo.
Para evitar quedar bloqueado durante el despliegue, mantén activo un método de inicio de sesión administrativo secundario hasta que estés seguro de que varios miembros del equipo pueden autenticarse correctamente a través de SSO. Esta precaución garantiza una transición sin problemas para tu equipo.
sbb-itb-d4116c7
Cómo configurar inicio de sesión único usando OIDC y OAuth2.0 dentro de Entra ID con aplicaciones de terceros
Prácticas recomendadas para OIDC SSO seguro y escalable
Una vez que tu configuración de OIDC SSO esté probada, es momento de fortalecer y expandir tu integración con estas prácticas esenciales.
Asegura tu configuración
Protege tus secretos implementando rotación regular de claves. Para rotar claves, genera un nuevo secreto en tu proveedor de identidad (IdP), actualízalo en Adalo Blue y luego desactiva el secreto antiguo rápidamente.
Para aplicaciones móviles y basadas en navegador, siempre utiliza el flujo de código de autorización con PKCE. Esto ayuda a prevenir la interceptación de tokens durante el proceso de autenticación. Además, limita tus URI de redirección a URLs exactas y absolutas. Evita usar subdominios comodín, ya que pueden exponer tu sistema a ataques de redirección de tokens por parte de actores maliciosos.
Solicita solo los alcances necesarios, como openid, emaily profile. Para aplicaciones destinadas a uso interno, puedes mejorar la seguridad restringiendo inicios de sesión al dominio de correo electrónico de tu organización. Esta medida simple bloquea el acceso externo no autorizado.
Mantén la configuración de SSO actualizada
Proveedores de identidad como Okta a menudo rotan sus claves de firma cada 90 días, aunque este cronograma puede variar. Para adelantarte, consulta periódicamente el /.well-known/jwks.json punto final para actualizar claves públicas. Usa el /.well-known/openid-configuration punto final de descubrimiento para automatizar actualizaciones de configuraciones como puntos finales de autorización y tokens. Esto minimiza errores manuales y asegura que tu configuración se mantenga actualizada.
Crea una rutina para rotar secretos de cliente y revisar tu configuración. Un cronograma trimestral funciona bien para la mayoría de las organizaciones, pero puede que necesites aumentar la frecuencia si hay signos de exposición de credenciales. Durante el uso máximo, monitorea los encabezados de límite de velocidad de tu IdP (por ejemplo, X-Rate-Limit-Remaining) para evitar interrupciones del servicio.
Con tu configuración segura y regularmente actualizada, puedes dirigir tu atención a escalar SSO para un uso empresarial más amplio.
Escalar SSO para uso empresarial
Aprovecha la función groups reclamación para mapear funciones de usuario en Adalo Blue, lo que simplifica el control de acceso a medida que tu base de usuarios se expande. Si un usuario pertenece a varios grupos, considera implementar un sistema de prioridades donde las funciones de nivel superior, como administrador de organización, anulen automáticamente las funciones de nivel inferior.
Para aplicaciones B2B que sirven a múltiples organizaciones, asigna credenciales de cliente OIDC únicas a cada cliente. Evita un sistema de credenciales global único, ya que puede complicar la administración y reducir la seguridad. Si estás manejando una base de usuarios diversa, implementa descubrimiento de reino de origen (HRD). Esta función enruta a los usuarios a su IdP empresarial específico basándose en su dominio de correo electrónico, haciendo que el proceso de inicio de sesión sea fluido.
| Característica de Seguridad | Cuándo utilizar | Beneficio Clave |
|---|---|---|
| PKCE | Aplicaciones móviles y de una sola página | Previene ataques de interceptación de código de autorización |
| Reclamaciones de grupo | Escalado empresarial | Automatiza el control de acceso basado en roles |
| Filtrado de dominio | Aplicaciones internas/B2B | Limita el acceso solo a usuarios autorizados |
Conclusión
Siguiendo los pasos descritos anteriormente, OpenID Connect (OIDC) Single Sign-On (SSO) garantiza acceso seguro y eficiente para tu aplicación.
Integrar OIDC SSO con Adalo Blue simplifica la autenticación a través de proveedores como Azure AD, Okta o Google. El proceso de configuración incluye registrar tu aplicación con un proveedor de identidad (IdP), configurar URI de redirección y alinear reclamaciones de usuario con las propiedades de tu base de datos. Una vez que todo esté en su lugar, los usuarios disfrutan de acceso con un clic y la gestión centralizada de identidades simplifica el aprovisionamiento de usuarios.
OIDC utiliza protocolos de seguridad modernos como autenticación multifactor y PKCE, ayudando a mitigar riesgos de seguridad mientras reduce la carga de TI.
Para equipos empresariales, una única configuración admite acceso sin problemas en plataformas web, iOS y Android, ofreciendo una experiencia consistente para los usuarios. El mapeo automático de funciones y las configuraciones escalables hacen que sea fácil gestionar el crecimiento sin complejidad adicional.
"El inicio de sesión único representa una tecnología que ofrece numerosos beneficios, incluido ahorro de costos para TI, mayor satisfacción laboral de los empleados y una experiencia mejorada para el cliente." - Explorance Blue
Con la configuración correcta de OIDC SSO, tu aplicación logra acceso seguro y simplificado para usuarios, control centralizado para equipos de TI y seguridad a nivel empresarial, sentando las bases para un crecimiento sostenido.
Publicaciones de Blog Relacionadas
- Cómo lanzar tu primera aplicación móvil sin codificación
- Integración de bases de datos SQL con herramientas sin código
- Permisos Basados en Roles para Herramientas Internas
- Cómo crear una aplicación de incorporación de empleados sin codificación
Preguntas Frecuentes
¿Qué hace que el flujo de código de autorización con PKCE sea más seguro para OIDC SSO?
El nivel de Flujo de código de autorización con PKCE añade una capa adicional de seguridad a OpenID Connect Single Sign-On (OIDC SSO). Al hacerlo, protege contra ataques de interceptación de códigos de autorización, asegurando que solo la aplicación cliente prevista pueda usar el código de autorización.
Este método es especialmente útil para clientes públicos como aplicaciones de una sola página. Permite intercambios de tokens seguros sin revelar datos sensibles, reduciendo las posibilidades de fuga de tokens o acceso no autorizado. Esto lo convierte en un enfoque confiable para proteger la autenticación del usuario.
¿Cómo resuelvo problemas comunes al configurar OIDC SSO en Adalo Blue?
Para abordar desafíos comunes durante la configuración de OpenID Connect (OIDC) SSO en Adalo Blue, comienza revisando tu configuración. Asegúrate de que la URL de redirección sea una coincidencia exacta entre tu proveedor de identidad (IdP) y Adalo. Verifica que tu ID de cliente, secreto de cliente, y todas las URLs de punto final —como autorización, token e información del usuario— se ingresan correctamente.
Si encuentra errores, examine cuidadosamente los mensajes de error para obtener detalles útiles. Problemas como inicios de sesión no reconocidos podrían requerir que agregue su URL de IdP a la lista blanca o confirme que los dominios de confianza estén configurados correctamente en su configuración. Las pruebas en un navegador incógnito también pueden ser útiles para descartar cualquier interferencia de datos en caché o cookies.
Para obtener orientación más detallada, explore los recursos de soporte de Adalo o consulte la documentación de su IdP para verificar su configuración y resolver problemas específicos.
¿Cómo puedo mantener mi configuración de Inicio de sesión único (SSO) de OpenID Connect segura y actualizada?
Para mantener la seguridad y confiabilidad de su configuración de SSO de OpenID Connect, es fundamental actualizar periódicamente las credenciales del cliente, como los ID de cliente y secretos. Esto ayuda a reducir el riesgo de acceso no autorizado. Además, asegúrese de tener en lugar procesos sólidos de validación de tokens y verificación de reclamaciones para confirmar tanto la autenticidad del usuario como sus permisos.
Manténgase actualizado sobre las directrices de seguridad y actualizaciones proporcionadas por su proveedor de identidad. Revise regularmente su documentación y aplique los cambios recomendados para abordar vulnerabilidades y fortalecer la seguridad de su sistema.
