Configuración OAuth en Buk con Google o Microsoft.
Cuando se configura SSO vía OAuth en Buk con Google o Microsoft, la autenticación se delega al proveedor de identidad del cliente.
Es decir, el usuario intenta ingresar a Buk, Buk identifica su dominio y lo redirige al proveedor correspondiente para validar su acceso.
A diferencia de SAML, esta configuración suele ser más simple del lado visible en Buk, porque gran parte de la relación de confianza se establece previamente al crear la aplicación en Google o Microsoft.
Campos de configuración en Buk.
Habilitar omniauth: Activa el uso de autenticación externa mediante OAuth en Buk.
Para qué sirve:
Permite habilitar el inicio de sesión federado usando proveedores compatibles, como Google o Microsoft.
Qué define Buk: Este campo controla si la autenticación externa queda activa en la plataforma.
Nota: Si esta opción no está habilitada, aunque exista una configuración en Google o Microsoft, Buk no aplicará ese flujo de login.
Nombre link SSO: Corresponde al nombre o etiqueta visible del acceso SSO.
Para qué sirve: Permite identificar el acceso de inicio de sesión con proveedor externo dentro de la experiencia de login.
Ejemplo:
- Ingresar con cuenta corporativa.
- Login empresa.
- Acceso SSO.
Qué define Buk: Es un valor funcional o visual que se configura en Buk para presentar el acceso al usuario de forma clara.
Dominios a autenticar vía Google: Define qué dominios de correo deben autenticarse usando Google como proveedor de identidad.
Ejemplo: empresa.com
Para qué sirve: Buk detecta que, si el usuario intenta ingresar con un correo de ese dominio, debe redirigirlo al flujo de autenticación con Google.
Qué define Buk: Este campo se configura en Buk según el dominio corporativo que el cliente use en Google Workspace o en su esquema de identidad asociado.
Dominios a autenticar vía Microsoft: Define qué dominios de correo deben autenticarse usando Microsoft como proveedor de identidad.
Ejemplo: empresa.com
Para qué sirve: Buk detecta que, si el usuario intenta ingresar con un correo de ese dominio, debe redirigirlo al flujo de autenticación con Microsoft.
Qué define Buk:
Este campo se configura en Buk según el dominio corporativo que el cliente tenga asociado a Microsoft Entra ID o Azure AD.
Configuración OAuth en Buk con Proveedor de Autenticación distinto a Google o Microsoft.
La opción de OAuth personalizado en Buk permite integrar el inicio de sesión con un proveedor de identidad externo configurado manualmente, normalmente bajo estándares como OAuth 2.0 y, en muchos casos, OpenID Connect (OIDC).
Esto se usa cuando el cliente trabaja con un IdP distinto de Google o Microsoft, por ejemplo:
- Okta.
- Keycloak.
- OneLogin.
- Uotros proveedores compatibles.
¿Qué hace esta configuración?
Permite que Buk redirija al usuario al proveedor de identidad del cliente, reciba la validación de autenticación y luego permita el acceso según la información devuelta por ese IdP.
En simple:
Buk no valida directamente la contraseña; la validación la hace el IdP del cliente.
Campos de configuración en Buk
Estrategia OAuth personalizada: Define el tipo de estrategia de autenticación que se usará.
Ejemplo visible en Buk: OpenId
Para qué sirve:: Indica el protocolo o mecanismo base con el que Buk se conectará al proveedor de identidad.
Qué define Buk:: Este campo se selecciona en Buk según el tipo de integración que soporte el IdP del cliente.
Importante:: Si el valor es OpenID, normalmente se está hablando de OpenID Connect, que agrega autenticación sobre OAuth 2.0.
Estrategia OAuth personalizada: client_id: Es el identificador público de la aplicación registrada en el proveedor de identidad del cliente.
Para qué sirve: Permite que el IdP reconozca qué aplicación está solicitando autenticación.
Quién lo entrega: Cliente / IdP, al momento de crear la aplicación en su proveedor.
En simple: Es como el nombre de registro de Buk dentro del IdP, pero en versión técnica.
Estrategia OAuth personalizada: client_secret: Es la clave secreta asociada al
client id.
Para qué sirve: Permite autenticar de forma segura a Buk frente al proveedor de identidad cuando se intercambian tokens o se valida la sesión.
Quién lo entrega: Cliente / IdP, al crear la aplicación.
Importante: Es un dato sensible y debe manejarse de forma segura.
Estrategia OAuth personalizada: authorize_url: Es la URL de autorización del proveedor de identidad.
Para qué sirve: Es la dirección a la que Buk redirige al usuario para iniciar el proceso de login.
Quién lo entrega: Cliente / IdP.
En simple: Es la puerta de entrada del login.
Estrategia OAuth personalizada: token_url: Es la URL donde Buk intercambia el código de autorización por un token.
Para qué sirve: Una vez que el usuario se autentica, Buk utiliza esta URL para obtener el token necesario para validar la sesión.
Quién lo entrega: Cliente / IdP.
Estrategia OAuth personalizada: userinfo_url Es la URL desde la cual Buk puede consultar la información del usuario autenticado.
Para qué sirve: Permite obtener atributos como correo, nombre o identificador del usuario, según lo que exponga el proveedor.
Quién lo entrega: Cliente / IdP.
Importante: No todos los proveedores lo exponen igual, pero en OpenID Connect suele existir un endpoint de este tipo.
Estrategia OAuth personalizada: redirect uri / callback url: Es la URL de retorno hacia Buk.
Para qué sirve: Después de autenticar al usuario, el IdP redirige la respuesta a esta URL en Buk.
Quién la define: Buk, porque corresponde a la ruta de callback de la plataforma.
Importante: Esta misma URL debe quedar registrada en la aplicación creada por el cliente en su IdP.
Si no coincide exactamente, el login fallará.
Estrategia OAuth personalizada: enviar emailEs una opción funcional que indica si se debe utilizar o esperar el correo electrónico del usuario dentro de la respuesta del proveedor.
Para qué sirve: Permite que Buk identifique al usuario a partir del email recibido desde el IdP.
Qué define Buk: Es una configuración funcional del lado de Buk.
Importante: Para que esto funcione, el IdP debe efectivamente enviar el correo dentro de los atributos o claims disponibles.