Autenticación de usuarios mediante el inicio de sesión único
Puedes utilizar la autenticación de inicio de sesión único (SSO) para acceder a aplicaciones de terceros, como Workday o Salesforce, directamente desde watsonx Orchestrate sin tener que iniciar sesión cada vez.
El SSO es uno de los diversos mecanismos de autenticación disponibles en watsonx Orchestrate, junto con la clave API, la autenticación básica, el token Bearer, el par clave-valor y los tipos de autenticación OAuth 2.0.
Terminología clave
term |
Definición |
Ejemplos |
|---|---|---|
Aplicación |
Aplicaciones posteriores en las que se ejecutan tareas |
Workday, ServiceNow, Salesforce |
IdP (Proveedor de identidad) |
Sistemas que gestionan las identidades y la autenticación de los usuarios |
IBM Security Verify (ISV), Okta, Microsoft Entra (identificador de Azure ) |
Los desarrolladores o administradores pueden configurar el inicio de sesión único (SSO) al establecer una conexión para la aplicación. Este proceso da por supuesto que la aplicación de terceros ya está integrada y federada con un proveedor de identidades ( IdP ). Cada configuración de SSO en watsonx Orchestrate implica una combinación de configuraciones de la aplicación y del proveedor de identidades.
Proveedores de identidad y aplicaciones compatibles con el inicio de sesión único (SSO) de watsonx Orchestrate
Actualmente, el inicio de sesión único (SSO) de watsonx Orchestrate es compatible con los siguientes proveedores de identidad y aplicaciones.
Tipo de autenticación |
Proveedor de identidades (IdP) |
Aplicación |
virtual |
Soportado |
|---|---|---|---|---|
OAuth2.0 En nombre de Flow |
Microsoft Entra (identidad de Azure ) |
Día laborable |
Incrustar chat |
Sí |
OAuth2.0 En nombre de Flow |
Microsoft Entra (identidad de Azure ) |
Salesforce |
Incrustar chat |
Sí |
OAuth 2.0 Intercambio de tokens |
Okta |
Día laborable |
Incrustar chat |
Sí |
OAuth 2.0 Intercambio de tokens |
Okta |
ServiceNow |
Incrustar chat |
Sí |
OAuth2.0 En nombre de Flow |
IBM Security Verify (ISV) |
ibm aplicaciones |
Incrustar chat |
Sí |
OAuth 2.0 Intercambio de tokens |
IBM Security Verify (ISV) |
Salesforce |
Orquestar chat |
Sí |
Tipos de autenticación
watsonx Orchestrate ofrece dos implementaciones distintas de SSO. Seleccione la implementación de SSO que mejor se adapte a las necesidades de intercambio de tokens y seguridad de sus aplicaciones.
En la siguiente tabla se explican los dos tipos de autenticación y las principales diferencias entre ellos.
Tipo de autenticación |
Cómo funciona |
Flujo |
|---|---|---|
OAuth 2.0 En nombre de (OBO) |
Esta es la implementación predeterminada de SSO que facilita la autenticación entre el proveedor de identidad y la aplicación de destino. Se trata de un proceso de intercambio de tokens en dos pasos. En este proceso, la aplicación no reconoce completamente el token de usuario recibido, por lo que es necesario realizar un paso adicional. En este paso intermedio, el token de usuario de SSO se sustituye por un token de acceso que la aplicación posterior puede reconocer. |
Véase « OAuth2.0 » en nombre de Flow (OBO) — flujo de conexión |
OAuth2.0 Intercambio de tokens (función beta ) |
Esta implementación de SSO se comunica directamente con la aplicación para la autenticación. Se trata de un proceso de intercambio de tokens en un solo paso. En este proceso, el servidor de aplicaciones reconoce el token del usuario entrante. |
Consulte el flujo de conexión de Token Exchange en OAuth2.0 |
El tipo de credencial predeterminado para la autenticación SSO es la credencial de miembro.
Para obtener más información sobre las credenciales de los miembros, consulte «Tipos de credenciales ».
Ventajas de utilizar el SSO
Acceso sin interrupciones: los usuarios pueden interactuar con las aplicaciones a través de Orchestrate sin necesidad de iniciar sesión repetidamente
Mayor seguridad: las credenciales se gestionan de forma centralizada a través de IdP
Flujos de trabajo más rápidos: los agentes y las herramientas vinculados a las aplicaciones se pueden activar al instante
Autorización simplificada: no es necesario implementar el acceso basado en roles en las aplicaciones de terceros
Elegir el flujo de autenticación adecuado
Utilice la siguiente guía para decidir qué flujo de autenticación se adapta mejor a su caso de uso:
Utilice el flujo « OAuth2.0 On-Behalf-Of (OBO) » cuando:
Un servicio backend necesita llamar a otro servicio en nombre de un usuario autenticado.
Se requiere delegación multisalto y preservación del contexto del usuario.
Estás realizando una integración con proveedores de identidad como Microsoft Entra ID, donde se suele utilizar OBO.
Se requiere un control de acceso detallado en todos los servicios.
Utilice el intercambio de tokens OAuth 2.0 cuando :
Necesitas un intercambio de tokens sencillo y en un solo paso.
Te estás integrando con proveedores de identidad como IBM Verify, donde basta con un intercambio de tokens en un solo paso.
No se requiere delegación de usuarios de varios niveles.
Quieres una latencia más baja y una complejidad reducida.
Comparación de los tipos de autenticación « OAuth2 », «Authorization Code», «SSO» OAuth y « 2.0 » (OBO)
La siguiente tabla ofrece una comparación entre los tipos de autenticación « OAuth2 » y «SSO On-Behalf-Of» (OBO), y destaca cómo gestiona cada método las credenciales, el acceso y los requisitos previos.
Aspecto |
OAuth2 Código de autorización |
SSO OAuth 2.0 En nombre de (OBO) |
|---|---|---|
Tipo de credencial |
Datos de identificación del equipo y de los miembros |
Solo para miembros |
Dónde se puede utilizar |
Credenciales del equipo: cualquier escenario Credenciales de los miembros: solo chat dentro del portal |
Se puede utilizar en entornos de chat integrados |
Cómo se recopilan las credenciales |
Credenciales del equipo: recopiladas durante la configuración de la conexión. Datos de acceso de los miembros: recopilados a través del chat de vista previa (borrador) o del chat de Orchestrate (en directo) |
No hay ningún paso para la recopilación de credenciales. Utiliza el token de usuario de SSO existente del usuario, obtenido al iniciar sesión en IdP |
Comportamiento de la interfaz de usuario del chat |
Aparece un botón «Conectar» en la interfaz de usuario del chat |
No aparece el botón «Conectar» en la interfaz de usuario del chat |
Flujo de inicio de sesión o autorización |
Se redirige al usuario a la aplicación para que inicie sesión, introduzca sus credenciales y autorice la conexión |
El token de usuario de SSO del usuario, obtenido durante el inicio de sesión inicial en IdP, se transmite a las aplicaciones |
Requisitos previos |
Ninguna |
Las aplicaciones de nivel inferior y watsonx Orchestrate están federadas con el mismo IdP. Las credenciales de los miembros no se almacenan en watsonx Orchestrate. Las aplicaciones posteriores deben reconocer el token de usuario SSO inicial del servidor de autenticación ( IdP ). |
OAuth2.0 En nombre de Flow (OBO) flujo de conexión
A continuación se describe el proceso paso a paso para establecer una conexión mediante el flujo « OAuth2.0 » (OBO) (intercambio de tokens en dos pasos):
El usuario se ha autenticado con el proveedor de identidad ( IdP ). Tras la autenticación, el servidor de autenticación ( IdP ) emite un token de usuario SSO válido. Este token representa la identidad verificada del usuario.
El usuario inicia una solicitud en la interfaz de chat (chat integrado en el portal o chat incrustado) dentro de watsonx Orchestrate.
El contexto del chat se identifica mediante watsonx Orchestrate. Detecta el tipo de chat (dentro del portal o integrado) y el token de usuario de SSO que se incluye en la solicitud entrante.
Primer intercambio de tokens: token de usuario SSO -> aserción « SAML » (utilizando IdP ). watsonx Orchestrate envía el token de usuario de SSO al servidor de autenticación ( IdP ). El servidor de autenticación ( IdP ) valida el token de SSO. A continuación, el servidor de autenticación ( IdP ) emite un token de autenticación de tipo « SAML ». Este intercambio es el primer paso de un proceso de dos pasos.
Segundo intercambio de tokens: afirmación de « SAML » -> token de acceso a la aplicación (utilizando el servidor « OAuth »). watsonx Orchestrate envía el token de afirmación SAML al servidor de autorización OAuth de la aplicación de destino. El servidor OAuth valida la afirmación SAML. Este intercambio es el segundo paso de un proceso de dos pasos.
El servidor OAuth devuelve el token de acceso de la aplicación a watsonx Orchestrate. Este token otorga a watsonx Orchestrate permiso para actuar en nombre del usuario dentro de la aplicación subordinada.
Utilizando el token de acceso específico de la aplicación recién obtenido, watsonx Orchestrate realiza una llamada al servidor de la API de la aplicación de destino, como Salesforce, Workday o ServiceNow. Ahora todas las acciones de la aplicación se realizan de forma segura en nombre del usuario autenticado.
OAuth2.0 Flujo de conexión del intercambio de tokens
A continuación se describe el procedimiento paso a paso para la conexión al servicio de intercambio de tokens de OAuth2.0 (intercambio de tokens en un solo paso):
El usuario se ha autenticado con el proveedor de identidad ( IdP ). Tras la autenticación, el servidor de autenticación ( IdP ) emite un token de usuario SSO válido. Este token representa la identidad verificada del usuario.
El usuario inicia una solicitud en la interfaz de chat (chat integrado en el portal o chat incrustado) dentro de watsonx Orchestrate.
El contexto del chat se identifica mediante watsonx Orchestrate. Detecta el tipo de chat (dentro del portal o integrado) y el token de usuario de SSO que se incluye en la solicitud entrante.
Intercambio directo de tokens con un servidor de OAuth. En lugar de requerir un segundo inicio de sesión o un proceso de redireccionamiento, watsonx Orchestrate realiza un intercambio de tokens en un solo paso. Envía el token de usuario de SSO al servidor de autorización OAuth de la aplicación. El servidor de OAuth s actúa como puente entre el proveedor de identidades y el acceso a la aplicación.
OAuth El servidor valida el token de SSO. Tras la validación, el servidor emite un token de acceso específico de la aplicación (por ejemplo, un token de acceso de Salesforce ).
El token de acceso de la aplicación se envía a watsonx Orchestrate. El servidor OAuth devuelve el nuevo token de acceso de la aplicación. Este token otorga a watsonx Orchestrate permiso para actuar en nombre del usuario dentro de la aplicación subordinada.
Utilizando el token de acceso recién obtenido, watsonx Orchestrate realiza una llamada al servidor de la API de la aplicación de destino, como Salesforce, Workday o ServiceNow. Ahora todas las acciones de la aplicación se realizan de forma segura en nombre del usuario autenticado.
Familiarizarse con la interfaz de usuario de la conexión SSO
El tipo de SSO «On-Behalf-Of» (OBO) de OAuth 2.0 requiere la configuración de dos componentes en la interfaz de usuario:
Configuración de la aplicación : ajustes para la aplicación de destino
Configuración del proveedor de identidad : ajustes para IdP
Para que el inicio de sesión único (SSO) funcione correctamente, ambos componentes deben estar configurados adecuadamente.
El tipo de SSO « OAuth2.0 » solo requiere la configuración de la aplicación en la interfaz de usuario:
Antes de empezar
Antes de configurar el inicio de sesión único (SSO) en watsonx Orchestrate, asegúrese de que se cumplen los siguientes requisitos previos:
Tu aplicación de terceros está integrada con tu proveedor de identidades ( IdP ). Por ejemplo, si estás configurando el inicio de sesión único (SSO) para la aplicación Workday, primero integra Workday con tu proveedor de identidades ( IdP; por ejemplo, Microsoft Entra ID). Para obtener más información, consulte la integración del inicio de sesión único (SSO) de Microsoft Entra con Workday.
Se recomienda comprobar la conexión fuera de watsonx Orchestrate. Comprueba que el proveedor de identidades ( IdP ) y la integración con tu aplicación funcionen según lo previsto. Puedes utilizar tu cliente API u otra herramienta de pruebas para ejecutar los comandos necesarios de cURL y obtener los tokens.
En el caso de OAuth 2.0 On-Behalf-Of (OBO), comprueba que puedes obtener estos tokens de conexión: un token SSO de usuario, un token SAML para el usuario con la afirmación de la aplicación y un token de acceso a la aplicación.
En el caso de un intercambio de tokens de OAuth2.0, comprueba que puedes obtener estos tokens de conexión: un token de SSO de usuario y un token de acceso de aplicación.
Activa el chat seguro como requisito previo para la integración con el chat integrado. Para obtener más información, consulta la sección «Protección del chat integrado ». Introduce
Agent IDyTennant IDen el entorno Live para vincular el agente y las herramientas a la conexión. Puedes acceder aAgent IDyTennant IDdesde la pestaña «Canales» -> «En directo», tal y como se muestra en la siguiente imagen.
Activación y configuración del inicio de sesión único (SSO)
Para habilitar y configurar el inicio de sesión único:
En el menú principal, vaya a Gestionar > Conexiones.
En la página Configuración de la conexión, haga clic en Añadir nueva conexión.
Introduzca un ID de conexión y un Nombre para mostrar y haga clic en Siguiente.
Act iva el inicio de sesión único (SSO).
Seleccione un tipo de autenticación:
El tipo de credencial se configura automáticamente para el inicio de sesión único (SSO) y solo admite credenciales de miembros. Pulse Siguiente para continuar.
Configura la conexión en directo. Puedes pegar un borrador de configuración o definir una nueva configuración.
Haz clic en «Finalizar» para guardar la conexión.
Editar una conexión existente
Para actualizar una conexión existente con la configuración SSO:
Vaya a Gestión > Conexiones.
Busca la conexión que quieras actualizar.
Haz clic en el icono «Editar» situado junto a la conexión y actualiza los campos de configuración.
Guarde los cambios para aplicar la nueva configuración.