Microsoft Entra ID

Esta guía configura el inicio de sesión único (SSO) entre Microsoft Entra ID y Mawidabp usando SAML 2.0. Cuando queda operativa, los usuarios se autentican con sus credenciales corporativas de Microsoft y sus perfiles de Mawidabp se derivan de los grupos asignados en Entra ID.

nota

Microsoft renombró Azure AD a Microsoft Entra ID en 2023. Las instrucciones antiguas para Azure AD siguen funcionando, pero esta página describe la configuración actual con la UI de Entra ID.

Pre-requisitos

• Cuenta de administrador en el tenant de Microsoft Entra ID.
• Cuenta de administrador en Mawidabp con permisos para editar organizaciones, perfiles y usuarios.
• El dominio de tu organización en Mawidabp del tipo <organizacion>.mawidabp.com (por ejemplo, demo.mawidabp.com).

Parte 1 — Configuración en Microsoft Entra ID

1. Crear la aplicación empresarial

1. Iniciar sesión en el portal de Entra ID.
2. Ir al menú de servicios y elegir Microsoft Entra.
3. Aplicaciones empresariales → Nueva aplicación → Crea su propia aplicación.
4. Completar:
   • Nombre: por ejemplo, MawidaBP.
   • Elegir Integrar cualquier otra aplicación que no se encuentre en la galería.
5. Crear.

2. Configurar SAML

1. Dentro de la aplicación, ir a Configurar inicio de sesión único.

2. Seleccionar SAML.

3. En el cuadro 1 (Configuración básica de SAML), hacer clic en Editar y completar (reemplazando <organizacion> por el subdominio de tu organización):

   • Identificador (id. de entidad): https://<organizacion>.mawidabp.com/saml/metadata
   • Dirección URL de respuesta: https://<organizacion>.mawidabp.com/saml/callback

   Por ejemplo, para una organización llamada demo:

   • Identificador: https://demo.mawidabp.com/saml/metadata
   • URL de respuesta: https://demo.mawidabp.com/saml/callback

4. Guardar.

3. Configurar atributos y reclamaciones

1. En el cuadro 2 (Atributos y reclamaciones), Editar.
2. En Notificaciones adicionales, agregar:

   http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

3. En el panel Notificaciones de grupo que se despliega, elegir Grupos asignados a la aplicación y Guardar.

4. Descargar datos para Mawidabp

De la misma pantalla de configuración SAML, obtener:

• Certificado (Base 64).
• URL de inicio de sesión.
• URL metadato de federación de aplicación.
• URL de respuesta (URL del servicio de consumidor de aserciones).
• Identificador (id. de entidad).
• Identificador de Azure AD (sigue llamándose así).
• URL de cierre de sesión.
• Nombres exactos de los atributos: nombre, apellido, correo electrónico, usuario, grupos, superior, cargo.

5. Asignar usuarios y grupos

1. En Usuarios y grupos, agregar los usuarios que podrán usar Mawidabp.
2. Para cada grupo, anotar el id. de objeto (lo vas a necesitar al configurar los perfiles en Mawidabp).

Parte 2 — Importación de usuarios (opcional)

Para que Mawidabp pueda sincronizar usuarios desde Entra ID automáticamente, también hace falta un Registro de aplicación:

1. Crear el registro

1. Microsoft Entra → Registros de aplicaciones → Nuevo registro.
2. Completar:
   • Nombre: por ejemplo, Mawidabp Sync.
   • Tipos de cuenta compatibles: Solo cuentas de este directorio organizativo (inquilino único).
3. Registrar.

2. Dar permisos de API

1. Dentro del registro, ir a Permisos de API → Agregar un permiso.
2. Microsoft Graph → Permisos de aplicación.
3. Buscar y tildar User.Read.All.
4. Agregar permisos.
5. Conceder consentimiento del administrador para el permiso recién agregado.

3. Crear el secreto de cliente

1. Certificados y secretos → Nuevo secreto de cliente.
2. Completar Descripción y Expiración.
3. Agregar.
4. Copiar el valor del secreto inmediatamente. Después de salir de la pantalla no se puede volver a ver.

Parte 3 — Configuración en Mawidabp

1. Crear los perfiles

1. Administración → Seguridad → Perfiles y privilegios → Nuevo (o editar uno existente).
2. Completar:
   • Perfil: nombre descriptivo, por ejemplo MawidabpAIAuditor.
   • Tipo de perfil: auditor, supervisor, gerente, etc.
   • Identificador: el id. de objeto del grupo de Entra ID que quieres asociar a este perfil.
3. Tildar los privilegios (lectura, modificación, baja, aprobación) por módulo.
4. Crear perfil.

Repetir por cada grupo de Entra ID que corresponda a un perfil de Mawidabp.

2. Editar la organización

1. Administración → Organización → Gestión → Editar.
2. En la sección Configuración SAML, completar:
   • Proveedor: Azure
   • Certificate: pegar el certificado Base 64 descargado.
   • URL de inicio de sesión, URL metadato de federación, URL de respuesta, Identificador, Identificador de Azure AD, URL de cierre de sesión: los valores de la Parte 1 paso 4.
   • Atributos: nombre, apellido, correo, usuario, grupos, superior, cargo, exactamente como figuran en Entra ID.
   • assertion consumer service binding:

     urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST

   • name identifier format:

     urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

3. Actualizar organización.

3. Importación de usuarios (opcional)

Si configuraste la Parte 2:

1. En la misma pantalla de organización, en Importación de usuarios, completar:
   • Client ID del Registro de aplicación.
   • Client Secret (el valor copiado en Parte 2 paso 3).
   • Tenant ID.
2. Actualizar organización.
3. Administración → Seguridad → Usuarios → Importar desde SAML para disparar la sincronización.

Probar el inicio de sesión

1. Cerrar sesión en Mawidabp.
2. Ingresar con un usuario asignado al grupo correspondiente en Entra ID.
3. El login debería redirigir a Microsoft, validar credenciales y volver a Mawidabp con el usuario dentro.

Solución de problemas

El login redirige pero falla con "Usuario no autorizado": verificar que el usuario esté asignado a un grupo en Entra ID y que ese grupo tenga un perfil correspondiente en Mawidabp con el id. de objeto correcto.

El importador trae la lista vacía: revisar que User.Read.All tenga consentimiento del administrador y que el client secret no haya expirado.

El certificado no coincide: asegurarse de haber descargado la versión Base 64 y no Binary.

Soporte

Si algo falla en la configuración, escribe a soporte@mawidabp.com.