> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Inicio de sesión único (SSO)

> Configura SSO (SAML 2.0 u OIDC) para tu organización de OneSignal para que los miembros del equipo se autentiquen a través de tu proveedor de identidad.

<Note>
  SSO está disponible solo para clientes empresariales. Contacta a tu gerente de cuenta o a `support@onesignal.com` para comenzar. Tener un propietario de producto para SSO de tu equipo en las llamadas de configuración ayuda a agilizar el proceso.
</Note>

## ¿Qué es el SSO?

El inicio de sesión único permite que los miembros del equipo inicien sesión en OneSignal usando el proveedor de identidad (IdP) de tu organización en lugar de un nombre de usuario y contraseña separados. Después de autenticarse una vez a través de tu IdP, el usuario recibe un token que otorga acceso a OneSignal y a tus otras aplicaciones SaaS sin solicitudes de inicio de sesión adicionales.

OneSignal admite los protocolos **SAML 2.0** y **OpenID Connect (OIDC)**. Elige el que admita tu IdP — ambos proporcionan la misma experiencia SSO en OneSignal.

## Proveedores de identidad compatibles

|                                                                                                                     |                                                                                                                                                            |                                                                                                                                                |
| ------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------- |
| [ADP](https://marketplace.adp.com/downloads/setting-up-sso.pdf)                                                     | [Duo](https://duo.com/docs/sso)                                                                                                                            | [OneLogin](https://www.onelogin.com/blog/saml-configuration)                                                                                   |
| [Auth0](https://auth0.com/docs/get-started/applications/enable-sso-for-applications)                                | [Google Workspace](https://support.google.com/a/answer/12032922?hl=en)                                                                                     | [Oracle](https://docs.oracle.com/en/cloud/paas/content-cloud/administer/enable-single-sign-sso.html#GUID-8C87B98B-362E-4AD4-8AB9-BD7057935AFE) |
| [Microsoft Entra ID (Azure AD)](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso) | [JumpCloud](https://support.jumpcloud.com/support/s/article/getting-started-applications-saml-sso2)                                                        | PingFederate                                                                                                                                   |
| CAS                                                                                                                 | Keycloak                                                                                                                                                   | PingOne                                                                                                                                        |
| ClassLink                                                                                                           | [LastPass](https://support.lastpass.com/s/document-item?language=en_US\&bundleId=lastpass\&topicId=LastPass/c_lastpass_admins_toolkit_sso.html&_LANG=enus) | [Rippling](https://developer.rippling.com/docs/rippling-api/dii48ovix1887-saml-sso-guide)                                                      |
| [Cloudflare](https://developers.cloudflare.com/cloudflare-one/identity/idp-integration/)                            | [Microsoft ADFS](https://learn.microsoft.com/en-us/microsoft-365/troubleshoot/active-directory/set-up-adfs-for-single-sign-on)                             | [Salesforce](https://help.salesforce.com/s/articleView?id=sf.sso_about.htm\&type=5)                                                            |
| Custom OpenID Connect                                                                                               | miniOrange                                                                                                                                                 | Shibboleth                                                                                                                                     |
| Custom SAML                                                                                                         | NetIQ                                                                                                                                                      | Shibboleth Unsolicited                                                                                                                         |
| [CyberArk](https://docs.cyberark.com/Idaptive/Latest/en/Content/Applications/AppsOvw/ConfigSSO.htm)                 | [Okta](https://developer.okta.com/docs/guides/build-sso-integration/openidconnect/main/)                                                                   | SimpleSAMLphp                                                                                                                                  |
|                                                                                                                     |                                                                                                                                                            | [VMware](https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-75D4E587-3F9B-4B50-96DA-D6DB6D1781D7.html)                      |

Si tu IdP no está en la lista, contacta a `support@onesignal.com` para solicitarlo.

***

## Configuración

Contacta a `support@onesignal.com` para comenzar la configuración. El equipo de soporte te proporcionará un enlace de configuración y te guiará a través de cada paso.

<Steps>
  <Step title="Contactar al soporte e indicar tu IdP">
    Envía un correo al soporte con el proveedor de identidad que utilizas. El equipo te enviará un enlace de configuración y configurará la conexión en el lado de OneSignal.
  </Step>

  <Step title="Seguir la guía específica de tu IdP">
    Cada proveedor de identidad tiene un proceso de configuración diferente. Usa la tabla de [proveedores de identidad compatibles](#proveedores-de-identidad-compatibles) de arriba para encontrar la guía correspondiente.
  </Step>

  <Step title="Probar tu conexión">
    Después de conectar tu IdP, inicia sesión con tus credenciales SSO para verificar que la conexión funcione.
  </Step>

  <Step title="Incorporar usuarios existentes">
    Los usuarios existentes de OneSignal pueden hacer clic en **Continue with Single Sign-On** en la página de inicio de sesión. El inicio de sesión con nombre de usuario y contraseña sigue disponible durante las pruebas para que la mensajería no se interrumpa mientras te incorporas.

    Proporciona al soporte las direcciones de correo electrónico que deseas habilitar para las pruebas de SSO.

    <Frame caption="Página de inicio de sesión de OneSignal con opción SSO">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7d3f9c-signin.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=4ff34c990fa5380e8f263c1414d19ff2" alt="Página de inicio de sesión de OneSignal que muestra el botón Continuar con inicio de sesión único junto a los campos de nombre de usuario y contraseña" width="856" height="984" data-path="images/docs/f7d3f9c-signin.png" />
    </Frame>
  </Step>

  <Step title="Aplicar SSO">
    Cuando estés listo para requerir SSO para todos los usuarios, contacta al soporte para aplicar SSO en tu organización. Tras la aplicación, el inicio de sesión con nombre de usuario y contraseña queda deshabilitado.
  </Step>
</Steps>

***

## Agregar usuarios a tu organización SSO

### Invitar a través del dashboard

Los administradores de la organización pueden invitar usuarios desde la página **Team Members**. Consulta [Miembros del equipo](./manage-team-members) para ver las opciones de roles y permisos.

<Steps>
  <Step title="Invitar al usuario">
    Ve a **Team Members** y haz clic en **Invite to Organization**. Establece el rol del usuario mientras lo invitas.

    <Frame caption="Página de miembros del equipo con el botón Invite to Organization">
      <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=ee79b4a6896baa1487096cfcf6b753b1" alt="Página de miembros del equipo de OneSignal que muestra el botón Invite to Organization" width="2822" height="1026" data-path="images/docs/d930dcf883e3134f1a688d4b94bb9976d447e70c55da9f4efdea7182ee37bada-Screenshot_2024-12-04_at_3.25.08_PM.png" />
    </Frame>

    <Frame caption="Ingresar la dirección de correo electrónico para invitar">
      <img src="https://mintcdn.com/onesignal/MUgio66t0sYhGEvj/images/docs/6f6bc0b-adding_person_to_app.png?fit=max&auto=format&n=MUgio66t0sYhGEvj&q=85&s=a081dd660c2ec2794a95f28e1f3ebff3" alt="Formulario de entrada de correo electrónico para agregar un miembro del equipo a la organización de OneSignal" width="660" height="350" data-path="images/docs/6f6bc0b-adding_person_to_app.png" />
    </Frame>
  </Step>

  <Step title="El usuario acepta la invitación">
    El usuario invitado recibe un correo electrónico con un enlace **Accept invitation**.

    <Frame caption="Correo electrónico de invitación enviado al nuevo miembro del equipo">
      <img src="https://mintcdn.com/onesignal/KSCNwSpBCNSQ8xdF/images/docs/f7c4d0c-invite-email.png?fit=max&auto=format&n=KSCNwSpBCNSQ8xdF&q=85&s=d9dd9c8bd0e6a2e8393cfcf5013ca3bb" alt="Correo electrónico de invitación de OneSignal con el botón Accept invitation" width="900" height="674" data-path="images/docs/f7c4d0c-invite-email.png" />
    </Frame>
  </Step>

  <Step title="El usuario inicia sesión con SSO">
    Después de aceptar, el usuario inicia sesión a través del proveedor SSO de tu organización.

    <Frame caption="Página de inicio de sesión SSO después de aceptar la invitación">
      <img src="https://mintcdn.com/onesignal/YOTSrtBSoqdrJ37A/images/docs/47c7434-login_to_sso.png?fit=max&auto=format&n=YOTSrtBSoqdrJ37A&q=85&s=8e6392b319a32ac40bbb6b18f01a6a99" alt="Página de inicio de sesión SSO de OneSignal que solicita al usuario autenticarse a través de su proveedor de identidad" width="700" height="544" data-path="images/docs/47c7434-login_to_sso.png" />
    </Frame>
  </Step>
</Steps>

### Restricciones de dominio

El dominio de correo electrónico del usuario invitado debe estar registrado bajo tu organización SSO. Si invitas a alguien cuyo dominio de correo electrónico no forma parte de la organización, se produce un error.

<Frame caption="Error al invitar a un usuario fuera del dominio de tu organización SSO">
  <img src="https://mintcdn.com/onesignal/Z6xkXGfmy814If53/images/docs/d80d5d6-adding_person_to_app.png?fit=max&auto=format&n=Z6xkXGfmy814If53&q=85&s=437d5dbc5f292562f76aa9158b195785" alt="Mensaje de error de OneSignal que aparece al invitar a un usuario cuyo dominio de correo electrónico no está registrado en la organización SSO" width="660" height="498" data-path="images/docs/d80d5d6-adding_person_to_app.png" />
</Frame>

***

## Preguntas frecuentes

### ¿Quién puede usar SSO?

SSO está disponible solo para clientes empresariales y requiere un proveedor de identidad existente. Si no tienes un IdP, trabaja con tu equipo de TI interno o con una consultoría para configurarlo primero. Consulta la [página de precios](https://onesignal.com/pricing) para ver los detalles del plan, o contacta a `support@onesignal.com` para comenzar.

### ¿Hay un límite en el número de puestos SSO?

No. No hay límite de puestos para usuarios bajo una organización SSO.

### ¿Cómo puedo probar SSO antes de aplicarlo?

Sí — durante la [configuración](#configuración), solo las direcciones de correo electrónico que especifiques se habilitarán para el inicio de sesión SSO. El inicio de sesión con nombre de usuario y contraseña permanece activo para todos los demás, por lo que la mensajería continúa sin interrupciones.

### ¿Por qué SSO usa dominios de correo electrónico? ¿Cuántos dominios puede tener una organización?

SSO mapea dominios de correo electrónico a tu organización — por ejemplo, `onesignal.com` cubre todas las direcciones de correo `@onesignal.com`. Una organización puede tener múltiples dominios registrados para el inicio de sesión SSO.

### ¿Cómo aprovisiono y desaprovisiono usuarios?

Puedes agregar y eliminar usuarios desde el dashboard de OneSignal. El desaprovisionamiento y aprovisionamiento a través de tu IdP directamente no está disponible actualmente.

### Necesito ayuda para encontrar el administrador de mi organización o los dominios de correo electrónico

Contacta a `support@onesignal.com` — pueden ayudarte a identificar al administrador de tu organización y proporcionarte una lista de dominios de correo electrónico registrados en tu organización.

### ¿Qué sucede si mi IdP se cae?

Los usuarios con una sesión activa pueden continuar usando OneSignal. Los usuarios que necesiten iniciar sesión no podrán hacerlo hasta que el IdP se restaure.

### ¿Se admite el modo mixto (SSO y nombre de usuario/contraseña simultáneamente)?

El modo mixto no está oficialmente admitido. SSO está diseñado como el método de inicio de sesión principal. Una solución alternativa es separar tus aplicaciones en dos organizaciones — una con SSO aplicado y otra sin él. Ten en cuenta que las organizaciones también se usan para facturación, por lo que contacta al soporte para analizar el mejor enfoque.

### ¿Puedo restringir el acceso SSO a usuarios específicos o aplicar SSO para un grupo limitado?

Sí. El acceso a OneSignal a través de SSO se controla en dos niveles:

1. **Proveedor de identidad**: La mayoría de los IdPs (por ejemplo, Google Workspace, Okta, Microsoft Entra ID) te permiten habilitar o deshabilitar aplicaciones por usuario, grupo o unidad organizativa. Configura tu IdP para otorgar la aplicación OneSignal solo a los usuarios que necesiten acceso.
2. **Invitación de OneSignal**: Los usuarios también deben ser [invitados a tu organización de OneSignal](./manage-team-members) a través del dashboard. Aunque un usuario pueda autenticarse a través de tu IdP, no podrá acceder a OneSignal hasta que un administrador de la organización lo invite.

Ambas capas deben otorgar acceso para que un usuario pueda iniciar sesión. Para que SSO sea el único método de inicio de sesión, [aplica SSO](#configuración) (Paso 5) — esto deshabilita el inicio de sesión con nombre de usuario y contraseña para todos los miembros de la organización.

### ¿Puedo conectar más de un IdP a una organización?

No. Cada organización admite un único IdP. Contacta al soporte si tienes requisitos adicionales.

***

<Columns cols={2}>
  <Card title="Miembros del equipo" icon="users" href="./manage-team-members">
    Invita usuarios, asigna roles y gestiona permisos en toda tu organización.
  </Card>

  <Card title="Precios" icon="credit-card" href="https://onesignal.com/pricing">
    Compara planes y consulta qué funciones están incluidas en cada nivel.
  </Card>
</Columns>