Guía de integración de SSO enterprise
Integración de tracio.ai con SAML, OIDC y proveedores de identidad personalizados. Paso a paso para Okta, Auth0 y Azure AD con ejemplos de código.
Los clientes enterprise requieren integración de inicio de sesión único (SSO) para su panel de tracio.ai. Esta guía cubre cómo conectar tracio.ai con su proveedor de identidad usando SAML 2.0 u OpenID Connect (OIDC), con instrucciones específicas para los tres proveedores más comunes: Okta, Auth0 y Azure AD.
Protocolos admitidos
tracio.ai admite dos protocolos de SSO: SAML 2.0 y OpenID Connect. SAML es el estándar enterprise tradicional, ampliamente admitido por los proveedores de identidad heredados. OIDC es el estándar moderno construido sobre OAuth 2.0, con una implementación más sencilla y mejor soporte para móvil. Recomendamos OIDC para nuevas integraciones y SAML para las organizaciones que lo han estandarizado.
Ambos protocolos siguen el mismo flujo: el usuario intenta acceder al panel de tracio.ai, es redirigido a su proveedor de identidad para autenticarse y es redirigido de vuelta a tracio.ai con una aserción o token firmado. tracio.ai valida la aserción, crea o actualiza la sesión del usuario y concede el acceso según el rol mapeado.
Integración con Okta
Para Okta, cree una nueva integración de aplicación en su consola de administración de Okta. Seleccione OIDC como método de inicio de sesión y Web Application como tipo de aplicación. Establezca la URI de redirección de inicio de sesión en https://dashboard.tracio.ai/auth/callback/oidc. Establezca la URI de redirección de cierre de sesión en https://dashboard.tracio.ai/auth/logout.
En el panel de tracio.ai, en Settings > Authentication, introduzca su dominio de Okta, el client ID y el client secret. tracio.ai descubrirá automáticamente los endpoints de OIDC desde su URL de metadatos de Okta. Configure el mapeo de grupo a rol para asignar roles de tracio.ai (Admin, Analyst, Viewer) según la pertenencia a grupos de Okta.
Integración con Auth0
Cree una nueva Regular Web Application en su panel de Auth0. Añada https://dashboard.tracio.ai/auth/callback/oidc a las Allowed Callback URLs. Añada https://dashboard.tracio.ai a las Allowed Logout URLs. Habilite las conexiones apropiadas (base de datos, sociales, enterprise) en la pestaña Connections de la aplicación.
En tracio.ai, introduzca su dominio de Auth0, el client ID y el client secret. El endpoint de descubrimiento de OIDC de Auth0 en https://your-domain.auth0.com/.well-known/openid-configuration proporciona todos los metadatos necesarios. Use Auth0 Rules o Actions para incluir claims personalizados en el ID token para el mapeo de roles.
Integración con Azure AD
En el portal de Azure, navegue a Azure Active Directory > App registrations > New registration. Establezca la URI de redirección en https://dashboard.tracio.ai/auth/callback/oidc. En Certificates & secrets, cree un nuevo client secret. En API permissions, asegúrese de que se conceden los permisos openid, profile y email.
En tracio.ai, introduzca su tenant ID de Azure AD, el client ID y el client secret. La URL de metadatos de OIDC sigue el patrón https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration. Mapee los grupos o app roles de Azure AD a los roles de tracio.ai en la configuración de mapeo de roles.
Mapeo de roles y aprovisionamiento
tracio.ai admite tres roles: Admin (acceso total, incluida la gestión de claves de API y la facturación), Analyst (acceso de lectura/escritura a eventos, señales y reglas) y Viewer (acceso de solo lectura al panel). Los roles se mapean desde los grupos o claims de su proveedor de identidad.
También admitimos SCIM 2.0 para el aprovisionamiento y desaprovisionamiento automatizados de usuarios. Cuando se añade un empleado al grupo apropiado en su proveedor de identidad, se aprovisiona automáticamente en tracio.ai con el rol correcto. Cuando se le elimina, su acceso se revoca en cuestión de minutos. SCIM garantiza que la gestión del ciclo de vida del usuario permanezca centralizada en su proveedor de identidad.