Que es SSO
Single Sign-On (SSO) permite que los usuarios de tu organizacion accedan a goMeetalk usando las credenciales de tu proveedor de identidad corporativo (IdP). Esto significa:
- Los usuarios no necesitan recordar otra contrasena
- El acceso se gestiona centralmente desde tu IdP
- Al desactivar un usuario en tu IdP, pierde acceso inmediatamente
- Cumples con politicas de seguridad corporativas (MFA, caducidad de sesion, etc.)
Para quien es este articulo
Protocolos soportados
goMeetalk soporta dos protocolos de autenticacion:
| Protocolo | Plan requerido | Casos de uso |
|---|---|---|
| OIDC (OpenID Connect) | Business / Enterprise | Google Workspace, Okta, Azure AD, Auth0 |
| SAML 2.0 | Business / Enterprise | Okta, Azure AD, ADFS, Generic SAML |
OIDC o SAML?
Si tienes opcion, recomendamos OIDC por ser mas moderno y facil de configurar. SAML es necesario para IdPs legacy que no soportan OIDC o cuando tu politica corporativa lo requiere.
Proveedores soportados
Google Workspace
Con Google Cloud Identity
OIDCMicrosoft Azure AD
Entra ID / Azure Active Directory
OIDC SAMLOkta
Workforce Identity
OIDC SAMLAuth0
By Okta
OIDCADFS
Active Directory Federation Services
SAMLGenerico
Cualquier IdP compatible
OIDC SAMLRequisitos previos
- Plan Business o Enterprise
- Rol Admin o Owner con permiso
sso:write - Acceso de administrador a tu IdP
- Al menos un dominio permitido configurado (ej:
@tuempresa.com)
Configuracion paso a paso (OIDC)
1 Crear aplicacion en tu IdP
En tu IdP (Google, Azure AD, Okta), crea una nueva aplicacion de tipo "Web Application" u "OIDC". Necesitaras configurar:
- Redirect URI:
https://app.gomeetalk.com/api/sso/oidc/callback - Logout URL:
https://app.gomeetalk.com - Scopes:
openid email profile
2 Obtener credenciales
Una vez creada la aplicacion, obten estos datos:
- Client ID (tambien llamado Application ID)
- Client Secret
- Issuer URL o Discovery URL (ej:
https://login.microsoftonline.com/{tenant}/v2.0)
3 Configurar en goMeetalk
- Ve a Workspace โ Configuracion โ SSO
- Selecciona tu proveedor o "Generico OIDC"
- Introduce Client ID, Client Secret e Issuer URL
- Verifica el dominio de email de tu organizacion
- Pulsa "Guardar configuracion"
4 Probar conexion
Antes de activar SSO para todos:
- Pulsa "Probar conexion"
- Se abrira una ventana para autenticarte con tu IdP
- Si todo va bien, veras "Conexion exitosa"
- Activa la opcion "Requerir SSO" para forzar el uso
CAPTURA PENDIENTE
| Ruta: | /profile#sso |
| Mostrar: | Formulario SSO con campos Client ID, Secret, Issuer URL |
| Tamano: | Desktop: 1440ร900 ยท Mobile: 390ร844 |
| Estado: | TODO |
Resultado esperado
Una vez configurado SSO:
- Los usuarios con email de tu dominio seran redirigidos a tu IdP al hacer login
- No veran la opcion de login con email/contrasena (si activaste "Requerir SSO")
- Los nuevos usuarios se crean automaticamente si JIT (Just-In-Time) provisioning esta activado
- El evento de login queda registrado en la auditoria
Errores comunes
| Error | Causa | Solucion |
|---|---|---|
| "Invalid redirect_uri" | La URL de callback no coincide | Asegurate de usar exactamente https://app.gomeetalk.com/api/sso/oidc/callback |
| "Domain not verified" | El dominio de email no esta verificado | Verifica el dominio en Workspace โ SSO โ Dominios |
| "Invalid client credentials" | Client ID o Secret incorrectos | Regenera las credenciales en tu IdP |
| "User email does not match domain" | El usuario usa un email personal | El usuario debe usar su email corporativo (@tuempresa.com) |
| "SAML assertion expired" | Diferencia horaria entre servidores | Sincroniza NTP en tu IdP |
Bloqueado fuera?
Si configuras mal SSO y no puedes acceder, contacta soporte en [email protected]. Podemos desactivar SSO temporalmente para que recuperes acceso.
SCIM Provisioning (Enterprise)
Necesitas automatizar la gestion de usuarios desde tu IdP (crear/eliminar usuarios automaticamente)?
Ruta: /profile#scim โ Disponible en Enterprise segun contrato/activacion. Contacta [email protected] para activarlo.
Algo no quedo claro? Enviar comentario