Ferndesk
Autenticación

Autenticación SSO mediante OIDC

Utilice su proveedor de identidad actual (Okta, Auth0, Google, etc.) para autenticar a los usuarios que acceden a su centro de ayuda a través de OpenID Connect (OIDC).

Requiere un plan Team o Enterprise con el modo Privado activado.

Qué necesitará

De su proveedor de identidad:

  • URL de descubrimiento (Discovery URL): El endpoint .well-known/openid-configuration

  • Client ID: El identificador de su aplicación

  • Client Secret: Clave confidencial para el intercambio de tokens

  • Scopes: Como mínimo openid, profile y email

Configuración de OIDC

  1. Vaya a Help Center > Customize > Access Control

  2. Seleccione el modo Private

  3. Abra el acordeón Login methods

  4. Haga clic en Add OIDC Provider

  5. Complete los detalles de su proveedor:

    • Discovery URL: Generalmente termina en .well-known/openid-configuration

    • Client ID: Obtenido de la configuración de la aplicación en su proveedor

    • Client Secret: Mantenga esta clave de forma segura

    • Scopes: openid profile email (separados por espacios)

  6. Haga clic en Save changes

Ferndesk recuperará la configuración de su proveedor desde la URL de descubrimiento para completar el proceso.

La URL de descubrimiento debe ser de acceso público y devolver una configuración OIDC válida. Pruébela primero en su navegador.

Redirect URI para su proveedor

Configure esta URL de retorno (callback) en su proveedor de identidad:

https://<your-help-domain>/auth/oidc/callback

Aquí es donde los usuarios regresan después de autenticarse.

Probar OIDC

  1. Abra su centro de ayuda en una ventana de incógnito

  2. Haga clic en el botón de inicio de sesión SSO

  3. Autentíquese con su proveedor de identidad

  4. Verifique que se le redirige de vuelta y que puede acceder al contenido

Previsualice su página de inicio de sesión inmediatamente guardando los cambios. La página de configuración de Access Control muestra un iframe de vista previa en vivo.

Problemas comunes de configuración

URL de descubrimiento inválida

La URL debe devolver un JSON con los campos issuer, authorization_endpoint y token_endpoint. Corrección habitual: asegúrese de que termine en .well-known/openid-configuration

Fallo de autenticación del cliente

El Client ID o el secret son incorrectos. Verifique nuevamente los valores en el panel de control de su proveedor.

Error de alcance (Scope)

Su proveedor debe admitir los alcances openid, profile y email. Consulte la documentación del proveedor para conocer los alcances requeridos.

Discrepancia en la Redirect URI

Asegúrese de que https://<your-help-domain>/auth/oidc/callback esté en la lista blanca de URLs de retorno permitidas en su proveedor.

Ejemplos específicos por proveedor

Okta

  • Discovery URL: https://your-domain.okta.com/.well-known/openid-configuration

  • Cree una integración de aplicación web en Okta

  • Utilice el flujo Authorization Code

Auth0

  • Discovery URL: https://your-domain.auth0.com/.well-known/openid-configuration

  • Cree una aplicación web regular (Regular Web Application)

  • Active password grant si utiliza inicio de sesión con usuario/contraseña

Google

  • Discovery URL: https://accounts.google.com/.well-known/openid-configuration

  • Cree credenciales OAuth 2.0 en Google Cloud Console

  • Tipo de aplicación: Aplicación web

Múltiples proveedores

Puede habilitar OIDC junto con Magic Links y JWT. Los usuarios verán todas las opciones en la página de inicio de sesión y podrán elegir su método preferido.

Desactivar OIDC

Para eliminar la autenticación OIDC:

  1. Vaya a la configuración de Access Control

  2. Haga clic en Remove OIDC Provider

  3. Guarde los cambios

Las sesiones activas seguirán siendo válidas hasta que caduquen.

¿Te fue útil?