Esta es una guía para configurar la autenticación SAML en tu cuenta; la guía asume que ya tienes un IdP de trabajo en funcionamiento.

Antes de comenzar, hay algunos puntos a tener en cuenta

* Una vez que SAML está habilitado, tus usuarios no podrán acceder a Chatwoot con su contraseña. Si deshabilitas SAML, este comportamiento se revertirá.

* Si un usuario forma parte de varias cuentas, y alguna de ellas tiene SAML configurado, solo podrá iniciar sesión a través del IdP SAML. Es mejor restringir los usuarios solo a tu dominio.

## Configuración de SAML

Puedes encontrar la configuración de SAML en Configuración > Seguridad. Estos son los ajustes que debes conocer.

* **URL de SSO:** La dirección HTTPS específica del Proveedor de Identidad donde inicia un inicio de sesión SAML; tu aplicación redirige a los usuarios aquí para autenticarse. Piénsalo como el “endpoint de inicio de sesión” del IdP que acepta AuthnRequests SAML y comienza el flujo SSO.

* **ID de Entidad del Proveedor de Identidad:** Un identificador globalmente único (generalmente una cadena con formato URI) que nombra al Proveedor de Identidad en los metadatos SAML. Tu Proveedor de Servicio lo usa para escoger la configuración correcta del IdP y para validar que los mensajes SAML recibidos realmente provienen de ese IdP.

* **Certificado de Firma:** El certificado público X.509 del IdP utilizado para firmar respuestas/afirmaciones SAML. Tu Proveedor de Servicio almacena este certificado y verifica las firmas con él, asegurando que el mensaje no fue alterado y realmente provino del IdP.

![](https://app.chatwoot.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsibWVzc2FnZSI6IkJBaHBCSHdGVlFJPSIsImV4cCI6bnVsbCwicHVyIjoiYmxvYl9pZCJ9fQ==--4aeda8a3edb4e96e36bf70a0d1745c120824e7b0/image.png)Una vez configurado, encontrarás los datos necesarios para registrar Chatwoot como Proveedor de Servicio (SP) en tu proveedor SAML. Estos son los datos que obtendrás

* **URL ACS:** El endpoint Assertion Consumer Service en el Proveedor de Servicio que recibe la respuesta SAML del IdP. Después de la autenticación del usuario, el IdP envía la afirmación firmada a esta URL HTTPS, donde tu aplicación la valida y crea una sesión.

* **ID de Entidad SP:** El identificador único (a menudo una URI) para el Proveedor de Servicio en los metadatos SAML. El IdP usa este valor para asegurarse de que está emitiendo una respuesta para la aplicación correcta y para seleccionar la URL ACS y configuración correspondientes.

> En caso de que necesites esta información de antemano, este es el formato
>
> * URL ACS: `<your-chatwoot-installation>/omniauth/saml/callback?account_id=<your-account-id>`
>
> * ID de Entidad SP: `<your-chatwoot-installation>/saml/sp/<your-account-id>`

## Asignación de Datos

Las siguientes asignaciones de atributos deben configurarse en tu proveedor de identidad

* `email`

* `first_name`

* `last_name`

Una vez que el usuario inicia sesión por primera vez, esta información se utiliza para crear un usuario para él. No actualiza la información

## Autenticación

Puedes navegar a este enlace `https://app.chatwoot.com/app/login/sso` para ver el formulario de inicio de sesión SAML. Solo ingresa la dirección de correo electrónico y la aplicación te redirigirá al proveedor SAML configurado.

![](https://app.chatwoot.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsibWVzc2FnZSI6IkJBaHBCR2tkVlFJPSIsImV4cCI6bnVsbCwicHVyIjoiYmxvYl9pZCJ9fQ==--ec2bfa6daaf423fa1fed8ef63f7ac0974becaaf7/image.png)