Quiero integrar un sistema de autenticación

En Orquest, es posible la integración de sistemas de autenticación basados en Single Sign-On (SSO), facilitando la conexión con distintas plataformas de gestión de identidades. Esta funcionalidad permite a los clientes centralizar la administración de credenciales y garantizar un acceso seguro y eficiente a las aplicaciones, tanto en dispositivos móviles como en entornos web.

A través de esta integración, los usuarios pueden autenticarse directamente en su proveedor de identidad y acceder a Orquest sin necesidad de gestionar credenciales separadas, un enfoque que refuerza la seguridad y mejora la experiencia del usuario al simplificar el flujo de inicio de sesión.

A continuación, se describen los pasos necesarios para configurar la integración, detallando las diferencias entre las aplicaciones móviles y web, así como los aspectos clave que tener en cuenta para garantizar un funcionamiento óptimo.

Integración con Okta

Okta es una plataforma de gestión de identidades y accesos basada en la nube. Ofrece herramientas para implementar autenticación y autorización seguras mediante Single Sign-On (SSO), Multi-Factor Authentication (MFA) y gestión centralizada de usuarios. Por tanto, permite a las organizaciones unificar el acceso a sus sistemas internos y externos, mejorando la seguridad y simplificando la experiencia del usuario.

Configuración para la aplicación móvil

Para el acceso a través de la aplicación móvil, el cliente debe configurar los siguientes parámetros:

  • Issuer: definido por el cliente.

  • Client ID: generado por el cliente en Okta.

  • Redirect URL: URL de redirección proporcionada por Orquest. Esta conecta la página de SSO con la aplicación móvil.

La manera de reconocer esta configuración en la aplicación móvil es a través de un identificador que el usuario deberá introducir para seleccionar el cliente SSO: en la ventana de login de Orquest, a través de la opción Entrar con SSO, se debe introducir este identificador que cargará la configuración necesaria para realizar el login. Una vez realizado el login en Okta correctamente, se vuelve a redireccionar a Orquest con el usuario ya logueado.

Es fundamental que el campo email coincida entre los registros de usuarios en Okta y Orquest, ya que este es el atributo utilizado para la correspondencia de identidades, haciendo posible la integración.

En definitiva, durante el proceso de inicio de sesión en la app, el usuario debe:

  1. Seleccionar la opción Entrar con SSO.

  2. Introducir el identificador asociado a la configuración SSO del cliente. Este identificador permite cargar los datos necesarios para interactuar con Okta y completar el inicio de sesión.

  3. Autenticarse en Okta.

Si el inicio de sesión es exitoso, Okta redirecciona al usuario de nuevo a la aplicación móvil de Orquest con la sesión iniciada.

Configuración para la aplicación web

El proceso es similar al escenario anterior, solo que en este caso no es necesario establecer un identificador para acceder a la redirección de Okta, sino que se establece una URL para redireccionar al sistema de autenticación. Se puede establecer un login dual, para permitir a los usuarios acceder con o sin SSO, o bien establecer el SSO como único método de entrada.

Al acceder a Orquest, el usuario puede ser redirigido automáticamente a la URL de autenticación configurada en Okta y, una vez completada la autenticación, Okta redirige al usuario de vuelta a la aplicación web de Orquest con la sesión iniciada.

Como en la aplicación móvil, el campo email debe coincidir entre Okta y Orquest para garantizar una integración exitosa.

Síntesis de la integración de Okta con Orquest

  1. Tipo de integración. Se utiliza OIDC (OpenID Connect) como protocolo de autenticación. Se trata de autenticación, no autorización. Para crear usuarios, se gestionará a través de la API, manejando los roles de usuario definidos en el sistema.

  2. Reconocimiento de usuarios. Identificación de usuarios con email como identificador único.

  3. URL de redirección necesarias. Orquest proporcionará las URL de redirección para móvil y web en función del método de acceso del cliente. Para la redirección web, será necesario establecer previamente un dominio dedicado.

  4. Flujo de autenticación esperado:

    • Authorization Code Flow (OIDC).

    • El usuario es redirigido a Okta para autenticarse.

    • Okta devuelve un código de autorización que se intercambia por un ID Token y un Access Token.

    • Se valida el ID Token y se crea la sesión en Orquest.

  5. Datos técnicos que se necesitan por parte del cliente. El cliente debe registrar la aplicación de Orquest en su instancia de Okta y definir los permisos y alcances, facilitando a Orquest la siguiente información:

    • client_id.

    • client_secret.

    • issuer_uri.

    • Scopes requeridos: profile, email, openid.

Una vez que Orquest tenga esos datos, se puede configurar el sistema y la URL de redirección.