Configurar el inicio de sesión único (SAML y OIDC)

CalendarBridge permite a los administradores de la organización habilitar el inicio de sesión único para que tus usuarios inicien sesión en CalendarBridge con el mismo proveedor de identidad que ya usan para todo lo demás. Esta guía cubre ambos protocolos compatibles, los valores exactos del proveedor de servicios que debes dar a tu proveedor de identidad, las asignaciones de atributos, las pruebas y la resolución de problemas.

C Chad Actualizado el 16 de junio de 2026 8 min de lectura

El inicio de sesión único de un vistazo

El inicio de sesión único (SSO) permite a tu equipo autenticarse en CalendarBridge a través del proveedor de identidad (IdP) de tu organización en lugar de una contraseña de CalendarBridge independiente. Cuando se aplica el SSO, todos los usuarios de tu dominio verificado son redirigidos a tu IdP para iniciar sesión, y el acceso puede concederse o revocarse de forma centralizada.

Protocolos compatibles: SAML 2.0 (iniciado por el SP) y OpenID Connect (OIDC) / flujo de código de autorización de OAuth 2.0.
Edición de CalendarBridge: el SSO y SCIM están disponibles en los planes Group (Organización) de CalendarBridge. Se configuran desde el portal Gestionar la Organización por un administrador de la organización. Consulta Tipos de licencia de cuenta de grupo y Licencias más abajo.
Arquitectura: CalendarBridge es una aplicación SaaS multiinquilino. El SSO se configura por dominio verificado, por lo que cada cliente posee y controla su propia conexión con el proveedor de identidad. CalendarBridge obtiene y confía únicamente en los metadatos/certificado del IdP que proporcionas para tu dominio.

Proveedores de identidad compatibles

CalendarBridge funciona con cualquier proveedor de identidad SAML 2.0 u OIDC conforme a los estándares. El portal Gestionar la Organización incluye guías de configuración integradas, paso a paso, para los siguientes:

Proveedor de identidad	SAML 2.0	OpenID Connect	Documentación del proveedor
Microsoft Entra ID (Azure AD)	Sí	Sí	Configurar SSO en Entra ID
Okta	Sí	Sí	Crear una app SAML/OIDC en Okta
Google Workspace	Sí	—	Configurar una app SAML personalizada
JumpCloud	Sí	—	SSO con una app SAML personalizada
Cualquier otro IdP SAML 2.0 / OIDC	Sí	Sí	Usa los valores genéricos de este artículo.

info

Listado en la galería de Microsoft Entra ID CalendarBridge admite SAML 2.0 iniciado por el SP y por el IdP, y valida el certificado de firma, la ventana de validez, el emisor y la audiencia de la aserción SAML. Para la configuración recomendada de Entra ID, apunta CalendarBridge a la URL de metadatos de federación de la aplicación para que la rotación de certificados se gestione automáticamente.

Licencias

El SSO y el aprovisionamiento SCIM están incluidos en las suscripciones Group (Organización) de CalendarBridge. CalendarBridge no cobra ningún complemento adicional por habilitar el SSO. Ten en cuenta que algunos proveedores de identidad restringen sus funciones de aprovisionamiento/SCIM a ediciones específicas; por ejemplo, el aprovisionamiento automático de Google Workspace requiere Enterprise Standard, Enterprise Plus o Education Plus. El aprovisionamiento automático de usuarios de Microsoft Entra ID requiere una licencia Microsoft Entra ID P1 o P2 en tu inquilino.

Quién puede configurar el SSO (acceso basado en roles)

Solo un administrador de la organización de CalendarBridge puede ver o cambiar la configuración de SSO y SCIM. Los miembros normales nunca ven estos controles. Para gestionar el SSO debes:

Ser administrador de la cuenta de grupo (consulta Descripción general del portal de administración de grupo), y
Tener al menos un dominio verificado en la cuenta. El SSO está vinculado a un dominio verificado; consulta Conectar dominios autorizados.

lightbulb

Mantén un administrador de emergencia Cuando aplicas el SSO, asegúrate de que al menos un administrador de la organización aún pueda acceder a la cuenta si el IdP no está disponible. Los administradores de CalendarBridge conservan una vía de omisión para que nunca te quedes bloqueado durante una interrupción del IdP.

Abre la pestaña Inicio de sesión único

Abre el portal Gestionar la Organización

Desde tu panel de CalendarBridge, haz clic en Gestionar tu Organización, o ve directamente a calendarbridge.com/dashboard/organization.
Selecciona la pestaña Inicio de sesión único

Elige la pestaña Inicio de sesión único. Si aún no has configurado el SSO, verás un botón Configurar SSO.
Haz clic en Configurar SSO

Elige tu protocolo (SAML u OIDC), asigna el dominio verificado al que se aplica esta configuración y selecciona tu proveedor de identidad para mostrar una guía de configuración en línea específica del proveedor.

Configurar SAML 2.0

La configuración de SAML es un intercambio bidireccional: das a tu IdP los valores del proveedor de servicios (SP) de CalendarBridge, y a cambio das a CalendarBridge los metadatos de tu IdP.

Valores del proveedor de servicios que debes introducir en tu IdP

Estos son los valores que pegas en tu proveedor de identidad al crear la aplicación de CalendarBridge. Los valores exactos y listos para copiar de tu cuenta se muestran con botones Copiar en la pestaña Inicio de sesión único; cópialos siempre desde el portal en lugar de escribirlos a mano.

Campo (la etiqueta varía según el IdP)	Valor
Entity ID / Audience URI / SP Entity ID	`urn:amazon:cognito:sp:<your-pool-id>`: copia el valor exacto de la pestaña SSO.
ACS URL / Reply URL / Single sign-on URL	`https://<your-CalendarBridge-auth-domain>/saml2/idpresponse`: copia el valor exacto de la pestaña SSO.
Name ID format	`EmailAddress` (correo electrónico persistente)
Binding	HTTP-POST para la aserción; HTTP-Redirect para la solicitud.

Asignaciones de atributos requeridas

Asigna estos claims en tu IdP. Introduce el nombre del App attribute exactamente como se muestra; también aparecen con botones de copiar en el portal.

App attribute (introdúcelo exactamente)	Se asigna desde (en tu IdP)
`email`	Correo principal / Email / `user.mail`
`name`	Nombre / nombre de pila / `user.givenname`

Microsoft Entra ID (Azure AD) — SAML

Crea la aplicación

En el centro de administración de Microsoft Entra, ve a Aplicaciones empresariales → Nueva aplicación → Crear tu propia aplicación → «Integrar cualquier otra aplicación que no encuentres en la galería».
Abre Inicio de sesión único → SAML
En Configuración básica de SAML, introduce:
- Identificador (Entity ID): el Entity ID de la pestaña SSO de CalendarBridge.
- URL de respuesta (ACS): la ACS URL de la pestaña SSO de CalendarBridge.
Configura atributos y claims

Añade los claims email y name de las asignaciones de atributos de arriba, y establece el Name ID en el correo electrónico del usuario.
Copia la URL de metadatos de federación de la aplicación

En Certificado de firma SAML, copia la URL de metadatos de federación de la aplicación (termina en /federationmetadata/2007-06/federationmetadata.xml). Usar la URL —en lugar de subir un archivo XML estático— permite a CalendarBridge detectar las rotaciones de certificados automáticamente.
Asigna usuarios y luego finaliza en CalendarBridge

Asigna los usuarios o grupos que deban tener acceso, luego vuelve a la pestaña SSO de CalendarBridge, pega la URL de metadatos y guarda.

Okta, Google Workspace, JumpCloud y otros — SAML

El flujo es el mismo para todos los IdP: crea una app SAML personalizada, pega los valores del proveedor de servicios, añade las asignaciones de atributos y luego da a CalendarBridge los metadatos del IdP. El portal muestra las rutas de menú precisas para Okta, Google Workspace y JumpCloud cuando seleccionas ese proveedor. Puedes proporcionar los metadatos del IdP de dos formas en la pestaña SSO de CalendarBridge:

URL de metadatos (recomendado): pega la URL de metadatos de federación del IdP; CalendarBridge la vuelve a obtener para que las rotaciones de certificados se detecten automáticamente.
XML de metadatos: sube el archivo .xml de metadatos del IdP si tu proveedor no publica una URL.

Configurar OpenID Connect (OIDC)

Para los IdP que prefieras conectar mediante OIDC/OAuth 2.0, CalendarBridge usa el flujo de código de autorización. Crearás una aplicación web en tu IdP y darás a CalendarBridge tres valores.

URI de redirección que debes introducir en tu IdP

Campo	Valor
Redirect URI / URI de redirección de inicio de sesión (plataforma: Web)	`https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse`: copia el valor exacto de la pestaña SSO.

Valores que debes introducir en CalendarBridge

Campo de CalendarBridge	Dónde encontrarlo en tu IdP
Discovery URL	El documento de configuración de OpenID de tu IdP, p. ej. `https://<your-idp>/.well-known/openid-configuration`.
Client ID	Del registro de aplicación que creaste.
Client Secret	Un secreto que generas en el registro de aplicación.

Permisos (ámbitos) solicitados y por qué

CalendarBridge solicita únicamente los ámbitos OIDC mínimos y estándar necesarios para identificar al usuario que inicia sesión. No solicita acceso a datos de correo, archivos ni calendario a través de la conexión SSO.

Ámbito	Por qué se solicita (justificación de negocio)
`openid`	Necesario para realizar la autenticación de OpenID Connect y recibir un token de ID.
`email`	Se usa como identificador único del usuario para hacerlo coincidir con tu organización de CalendarBridge y tu dominio verificado.
`profile`	Lee el perfil básico (nombre de pila) para rellenar el nombre para mostrar del usuario en el primer inicio de sesión.

info

Consentimiento de privilegio mínimo Estos son ámbitos delegados, solo para inicio de sesión. Un administrador (o el usuario, según la política de consentimiento de tu inquilino) concede el consentimiento una vez en el primer inicio de sesión. CalendarBridge no solicita permisos de aplicación ni permisos de correo/calendario de Microsoft Graph como parte del SSO.

Microsoft Entra ID — OIDC

Registra la aplicación

En el centro de administración de Microsoft Entra, ve a Registros de aplicaciones → Nuevo registro.
Añade la URI de redirección

Añade una URI de redirección de plataforma Web establecida en la URI de redirección OIDC de CalendarBridge que se muestra en la pestaña SSO.
Crea un secreto de cliente

En Certificados y secretos → Nuevo secreto de cliente, crea un secreto y copia su valor de inmediato.
Copia la URL de detección (metadatos)

En Información general → Puntos de conexión, copia la URL del documento de metadatos de OpenID Connect. Pega la Discovery URL, el Client ID y el Client Secret en la pestaña SSO de CalendarBridge y guarda.

Aplicar el SSO en tu dominio

De forma predeterminada, habilitar el SSO lo hace disponible para los usuarios del dominio. Marca Aplicar SSO en el formulario de configuración para exigirlo: cada usuario de ese dominio verificado deberá entonces iniciar sesión a través de tu IdP, y el inicio de sesión directo con contraseña queda deshabilitado para ellos.

warning

Prueba antes de aplicarlo Confirma que un usuario piloto puede iniciar sesión mediante SSO (siguiente sección) antes de habilitar la aplicación, para no bloquear a los usuarios por un error de metadatos o de asignación de atributos. Los administradores de CalendarBridge mantienen una vía de omisión para el acceso de emergencia.

Pruebas con usuarios piloto

Confirma que la configuración está Activa

Después de guardar, la tarjeta de configuración muestra una insignia de estado. Espera a que indique Activa. Una insignia Pendiente significa que CalendarBridge aún no ha validado los metadatos del IdP; una insignia Error muestra el motivo en línea.
Asigna un usuario piloto en tu IdP

Asigna uno o dos usuarios de prueba a la app de CalendarBridge en tu IdP, pero deja la aplicación desactivada por ahora.
Inicia sesión mediante SSO

Haz que el usuario piloto inicie sesión en CalendarBridge usando el correo/dominio de tu organización. Debería ser redirigido a tu IdP y devuelto a CalendarBridge con la sesión iniciada. Confirma que su nombre y correo se rellenaron correctamente.
Despliega

Una vez que el piloto tenga éxito, asigna al resto de tus usuarios y, si lo deseas, activa Aplicar SSO.

Resolución de problemas

Si la tarjeta de configuración muestra un estado de Error, el mensaje mostrado en la tarjeta explica el fallo específico. Casos comunes:

Síntoma / mensaje	Causa probable y solución
El estado se queda en Pendiente o «no se pudieron obtener los metadatos»	La URL de metadatos es inaccesible o devolvió contenido que no es XML. Verifica que la URL se carga en un navegador, o cambia a subir el archivo XML de metadatos.
Error de «firma no válida» / «certificado»	El certificado de firma del IdP rotó y los metadatos almacenados están obsoletos. Vuelve a guardar usando la URL de metadatos del IdP (recomendado) para que las rotaciones se detecten automáticamente, o vuelve a subir el XML actual.
Discrepancia de «Audience» / «Issuer»	El Entity ID / Audience URI en tu IdP no coincide exactamente con el valor de la pestaña SSO. Vuelve a copiarlo del portal.
El usuario inicia sesión pero el nombre/correo está en blanco o se rechaza	Las asignaciones de atributos `email` y `name` faltan o tienen un nombre incorrecto. Vuelve a comprobar las asignaciones de atributos requeridas; los nombres distinguen entre mayúsculas y minúsculas.
«AADSTS50105» / usuario no asignado (Entra ID)	El usuario no está asignado a la app empresarial de CalendarBridge en Entra ID. Asigna al usuario o a su grupo.
Discrepancia de URL de redirección/respuesta	La ACS URL (SAML) o la Redirect URI (OIDC) en tu IdP no coincide con el valor de la pestaña SSO. Vuelve a copiar el valor exacto.

Obtener ayuda

Si sigues atascado después de revisar el mensaje de error de la tarjeta de configuración y la tabla de resolución de problemas anterior, contacta con el soporte de CalendarBridge. Incluye el dominio de tu organización, el protocolo (SAML/OIDC), tu proveedor de identidad y el mensaje de estado exacto que se muestra en la tarjeta.

Contactar con el soporte de CalendarBridge
Configurar la sincronización de directorio SCIM (aprovisionamiento): automatiza la creación y desactivación de usuarios una vez que el SSO esté activo.