Microsoft Entra (SAML + SCIM)
| ¿A quién va dirigido? | Permisos y licencias necesarios |
|---|---|
| • A los administradores que gestionan la autenticación de la empresa. | • Licencia necesaria: según su plan, verifique la disponibilidad en Ajustes > Integraciones. • Derechos de administrador en sus cuentas de Leexi y Entra. |
Guía de uso
Crear una nueva aplicación de Entra
Vaya a entra.microsoft.com. En la barra lateral, haga clic en Aplicaciones > Aplicaciones empresariales, y luego en Nueva aplicación.

Haga clic en Crear su propia aplicación, introduzca un nombre en ¿Cuál es el nombre de su aplicación? (por ejemplo Leexi SSO), deje marcada la opción Integrar cualquier otra aplicación que no encuentre en la galería (fuera de la galería) y haga clic en Crear.

Configurar el identificador SAML de su aplicación de Entra
Vaya a su aplicación, haga clic en Inicio de sesión único en la barra lateral, y luego en SAML. Haga clic en el icono Editar a la derecha de Configuración SAML básica.

Haga clic en Agregar identificador: aparecerá un campo bajo la sección Identificador (ID de entidad). Introduzca allí el Entity ID de Leexi, que encontrará en https://app.leexi.ai/es/settings/security. No es necesario volver a hacer clic en "Agregar identificador": una vez pegado el valor, continúe.
En la sección URL de respuesta (URL del servicio de consumidor de aserciones), haga clic en Agregar URL de respuesta e introduzca la URL de respuesta de Leexi: https://api.leexi.ai/users/sso/consume.

Deje todos los demás parámetros con su valor predeterminado y haga clic en Guardar en la parte superior de la página.
Descargar el archivo XML de metadatos de federación de su aplicación
En la barra lateral de su aplicación, haga clic en Inicio de sesión único y desplácese hasta la sección Certificados SAML.

Haga clic en el enlace Descargar junto a XML de metadatos de federación: su navegador descargará un archivo. Importe este archivo en https://app.leexi.ai/es/settings/security en Certificado de metadatos (XML). Se trata de un archivo .xml con el nombre de su aplicación de Entra.
Asignar usuarios a la nueva aplicación
Si ya conoce el proceso de asignación de usuarios a aplicaciones de Entra, utilice su proceso habitual. De lo contrario, lo más sencillo es hacer clic en Usuarios y grupos en la barra lateral de la aplicación, y luego en Agregar usuario/grupo.

En Usuarios, haga clic en Ninguno seleccionado, marque la casilla de cada usuario que desee asignar a la aplicación (recuerde incluirse a sí mismo si planea probarlo usted mismo), haga clic en Seleccionar en la parte inferior, y luego en Asignar.
El SSO ya está configurado para estos usuarios: pueden iniciar sesión con sus credenciales de Microsoft.
Para profundizar
Imponer el inicio de sesión SSO (opcional)
Tras los pasos anteriores, los usuarios de su espacio de trabajo aún pueden iniciar sesión con correo electrónico/contraseña o ya a través de SSO. Una vez que todos los usuarios se hayan incorporado y hayan iniciado sesión correctamente mediante SSO, podrá imponer el SSO a todo su espacio de trabajo. Solo Leexi tiene la autoridad para desactivar este ajuste, con el fin de evitar cualquier comportamiento no deseado.
Aprovisionamiento automático de usuarios con SCIM (opcional)
Siga estas instrucciones para configurar el aprovisionamiento automático de usuarios mediante SCIM.
Autenticación
Vaya a https://app.leexi.ai/es/settings/security, luego genere y copie un token secreto SCIM.

En Entra, en la misma aplicación utilizada para el SSO, vaya a Aprovisionamiento.

Luego, en Conectividad, seleccione Modo de aprovisionamiento: Automático y complete:
- Método de autenticación: Bearer token
- URL del tenant:
https://api.leexi.ai/scim - Token secreto: pegue el token que acaba de generar en Leexi
Haga clic en Probar conexión y luego en Guardar.

Configurar los roles disponibles
Para poder asignar roles de Leexi desde la aplicación de Azure, debe seguir los siguientes pasos de configuración. Sin esta configuración, todos los usuarios creados mediante SAML tendrán el rol de "miembro".
En Azure, vaya a Registros de aplicaciones (no Aplicaciones empresariales), haga clic en su aplicación de Leexi, y luego vaya a Roles de aplicación.
Elimine los roles predeterminados User y msiam_access: haga clic en el rol, desmarque "¿Desea habilitar este rol de aplicación…", haga clic en Aplicar, luego haga clic de nuevo en el rol y en el botón Eliminar.

Haga clic en Crear rol de aplicación y cree el rol de miembro.

Haga lo mismo para cada uno de los roles de Leexi: miembro, miembro básico, superadministrador, administrador del sistema, administrador de usuarios, gestor de empresa, gestor de equipo, gestor de facturación.
Vuelva a su aplicación en Aplicaciones empresariales, en Aprovisionamiento > Asignación de atributos > Aprovisionar usuarios de Microsoft Entra ID.

Luego Mostrar opciones avanzadas > Editar lista de atributos para customappsso.

Agregue un atributo roles, de tipo "String", con la casilla Multivalor marcada, y luego Guardar.

Haga clic en Agregar nueva asignación.

Defina:
- Tipo de asignación: Expresión
- Expresión:
AssertiveAppRoleAssignmentsComplex([appRoleAssignments]) - Atributo de destino:
roles
Luego haga clic en Ok, y después en Guardar.

Aprovisionar usuarios y grupos
Ahora está listo para agregar usuarios y grupos, con sus roles asociados.

Se crearán automáticamente en Leexi. Los grupos de Microsoft corresponden a los equipos de Leexi. Asegúrese de asignar cada usuario a un único grupo, ya que un usuario solo puede pertenecer a un equipo en Leexi. Si necesita asignar varios roles a los mismos usuarios/grupos, agregue la asignación varias veces con un rol diferente cada vez.
Le recomendamos asignar solo grupos a la aplicación, y no usuarios directamente: los usuarios asignados directamente no podrán vincularse automáticamente al equipo de Leexi correcto.
Una vez configurados los usuarios y grupos, vaya a Información general y haga clic en Iniciar aprovisionamiento.

Puntos de atención
- Sin la configuración de roles de aplicación, todos los usuarios creados mediante SAML reciben el rol de "miembro".
- Un usuario solo puede pertenecer a un único equipo de Leexi: asigne cada usuario a un único grupo.
- Una vez impuesto el SSO en el espacio de trabajo, solo Leexi puede desactivar este ajuste.