Inicio de sesión único (SSO) en Quire Permalink

Traducido por IA
· Ver en inglés

El Inicio de sesión único (SSO) solo está disponible en el plan Enterprise. Puedes consultar más información en nuestra página de precios.

El Inicio de sesión único (SSO) en Quire permite a los miembros autenticarse a través de un proveedor de identidad (IdP) centralizado mediante SAML 2.0. Los proveedores compatibles incluyen Okta, OneLogin, Azure AD B2C y cualquier otro IdP compatible con SAML 2.0.

Visión General del SSO

El SSO permite a los usuarios iniciar sesión en Quire con un único conjunto de credenciales a través de su proveedor de identidad, sin necesidad de gestionar una contraseña de Quire independiente.

Con el SSO activado para tu organización en Quire:

  • Los miembros inician sesión con el proveedor de identidad de su empresa
  • No se requiere contraseña de Quire independiente
  • La autenticación está centralizada y es más segura
  • La gestión de accesos se simplifica para los administradores de TI


Quire admite autenticación SAML 2.0 y funciona con:

  • Okta
  • OneLogin
  • Azure AD B2C
  • Cualquier IdP compatible con SAML 2.0


Una vez activado el SSO, los miembros de la organización iniciarán sesión a través del IdP en lugar de usar una contraseña de Quire.

Configurar el proveedor de identidad (IdP)

Antes de activar el SSO en Quire, debes configurar primero tu proveedor de identidad.

Paso 1: Crear una aplicación SAML 2.0

  1. Inicia sesión en la consola de administración de tu proveedor de identidad.
  2. Crea una nueva aplicación SAML 2.0.
  3. Introduce los siguientes detalles de configuración SAML:
Atributo SAML Asignar a tu proveedor de identidad
https://quire.io/sso/login URL del servicio de consumidor de aserciones (ACS) SAML de la aplicación
https://quire.io/sso/metadata ID de la entidad de SP de la aplicación
Dirección de correo electrónico del miembro Formato del Name ID

Paso 2: Recopilar los datos SAML necesarios

Después de crear la aplicación, copia la siguiente información:

  • URL del proveedor de identidad
  • ID de la entidad
  • Certificado X.509 en Base64

Paso 3: Asignar usuarios en tu proveedor de identidad

  1. Añade usuarios o grupos a la aplicación SAML de Quire recién creada.
  2. Asegúrate de que los permisos de acceso estén correctamente asignados.


Los usuarios deben estar asignados en el IdP antes de poder autenticarse mediante SSO.

Configurar el SSO en Quire

Paso 1: Abrir la configuración de la organización

  1. Haz clic en el icono de menú desplegable junto al nombre de tu organización.
  2. Selecciona Opciones.

configuración de la organización

Paso 2: Activar la autenticación SAML

  1. Ve a la pestaña Seguridad.
  2. Activa la Autenticación SAML.

Activar la autenticación SAML en la configuración de seguridad de la organización en Quire

Paso 3: Introducir los detalles de configuración SAML

  1. Pega la URL del proveedor de identidad.
  2. Introduce el ID de la entidad.
  3. Pega el certificado X.509 en Base64.
  4. Haz clic en Prueba SSO para verificar la configuración.
  5. Si la verificación es correcta, haz clic en Guardar.

Configuración SAML

SSO obligatorio u opcional

Puedes configurar el SSO de dos formas:

  • Obligatorio: todos los miembros deben iniciar sesión mediante SSO.
  • Opcional: los miembros pueden iniciar sesión con contraseña o mediante SSO.

Nota: El administrador de la organización siempre debe iniciar sesión con su contraseña de Quire.

Una vez configurado correctamente, los miembros ya no necesitarán una contraseña de Quire independiente.

Integración con Azure AD B2C

Paso 1: Configurar Azure AD B2C

  1. Inicia sesión en el Portal de Azure.
  2. Crea directivas personalizadas.
  3. Registra una aplicación SAML.
  4. Configura los flujos de usuario para la autenticación.


Seguir la documentación oficial de Microsoft para obtener instrucciones detalladas de configuración.

Paso 2: Configurar el formato de NameID

Quire requiere que el formato de NameID sea:

  • userPrincipalName o
  • email


No uses objectId.

Si usas userPrincipalName, modifica:

  • TrustFrameworkBase.xml
  • SignUpOrSigninSAML.xml


Ejemplo de TrustFrameworkBase.xml:

<!-- The following technical profile is used to read data after user authenticates. -->
<TechnicalProfile Id="AAD-UserReadUsingObjectId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
  </Metadata>
  <IncludeInSso>false</IncludeInSso>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="objectId" Required="true" />
  </InputClaims>
  <OutputClaims>

    <!-- Optional claims -->
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" /> <!-- add -->
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>


Ejemplo de SignUpOrSigninSAML.xml:

<RelyingParty>
  <DefaultUserJourney ReferenceId="SignUpOrSignIn" />
  <TechnicalProfile Id="PolicyProfile">
    <DisplayName>PolicyProfile</DisplayName>
    <Protocol Name="SAML2"/>
    <OutputClaims>
      <OutputClaim ClaimTypeReferenceId="displayName" />
      <OutputClaim ClaimTypeReferenceId="givenName" />
      <OutputClaim ClaimTypeReferenceId="surname" />
      <OutputClaim ClaimTypeReferenceId="email" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="" />
      <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="objectId"/>
      <OutputClaim ClaimTypeReferenceId="userPrincipalName" PartnerClaimType="userPrincipalName"/> <!-- add -->
    </OutputClaims>
    <SubjectNamingInfo ClaimType="userPrincipalName" ExcludeAsClaim="true"/> <!-- modify -->
  </TechnicalProfile>
</RelyingParty>


Si planeas cambiar el formato a email, puedes consultar este recurso para obtener más orientación.

Paso 3: Obtener la información necesaria de Azure

Tras la configuración, recopila:

  • URL de metadatos
  • URL del proveedor de identidad
  • ID de la entidad
  • Certificado X.509 en Base64


A continuación se muestran ejemplos de cómo puede verse esta información:

  • Metadatos: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/metadata
  • URL del proveedor de identidad: https://your-tenant.b2clogin.com/your-tenant.onmicrosoft.com/B2C_1A_signup_signin_saml/samlp/sso/login
  • ID de la entidad: definido en TrustFrameworkExtensions.xml (<Item Key="IssuerUri">). Por ejemplo, https://your-tenant.onmicrosoft.com/quire
  • Certificado X.509 en Base64: extráelo de los metadatos <X509Certificate> MIIDizCCAnOgAwIBAgIUU9ndt…


Luego, seguir los pasos descritos en Configurar el SSO en Quire.

Solución de problemas de SSO

Si un miembro cambia su dirección de correo electrónico en Quire, no podrá iniciar sesión mediante SSO hasta que el nuevo correo se actualice en el proveedor de identidad.

Para solucionarlo:

  1. Actualiza la dirección de correo electrónico del miembro en el proveedor de identidad.
  2. Asegúrate de que el NameID coincida con el correo actualizado.
  3. Pide al miembro que intente iniciar sesión de nuevo.

Lee más en nuestro blog sobre el inicio de sesión único con Quire.

Preguntas frecuentes

¿Qué proveedores de identidad son compatibles con el SSO de Quire?

Cualquier IdP compatible con SAML 2.0, incluidos Okta, OneLogin y Azure AD B2C. El SSO solo está disponible en el plan Enterprise.

¿Cómo activo el SSO en Quire?

Configura una aplicación SAML 2.0 en tu IdP usando la URL de ACS de Quire (https://quire.io/sso/login) y el ID de la entidad (https://quire.io/sso/metadata), recopila la URL del IdP, el ID de la entidad y el certificado; luego ve a Opciones de la organización > pestaña Seguridad, activa la autenticación SAML, pega esos datos, haz clic en Prueba SSO y guarda.

¿Puedo hacer que el SSO sea obligatorio u opcional para mi organización en Quire?

Sí. La opción Obligatorio exige que todos los miembros inicien sesión a través del IdP. La opción Opcional permite a los miembros elegir entre su contraseña de Quire o el SSO.

¿El administrador de la organización también debe usar SSO en Quire?

No. Los administradores siempre inician sesión con su contraseña de Quire, incluso cuando el SSO está configurado como Obligatorio para los demás miembros.

¿Qué debo hacer si un miembro no puede iniciar sesión mediante SSO después de cambiar su correo electrónico?

Actualiza el correo electrónico del miembro en el proveedor de identidad para que el NameID coincida con la nueva dirección. El miembro podrá entonces iniciar sesión mediante SSO.

¿Qué formato de NameID requiere Quire para el SSO con Azure AD B2C?

Usa userPrincipalName o email. No uses objectId, ya que provoca errores de autenticación.

¿Pueden los clientes iniciar sesión en Quire con cuentas de redes sociales como Facebook o LinkedIn?

Sí, mediante la integración con Azure AD B2C. Los proveedores compatibles incluyen Facebook, X (antes Twitter), LinkedIn, cuentas de Microsoft y cuentas de identidad locales.

Última Actualización:

Por favor contacta con nosotros si necesitas ayuda.