Wiki SomosTAP

Métodos de autenticación en TAP

published

TAP soporta tres métodos de autenticación para adaptarse a diferentes entornos corporativos. A continuación se describe cada uno:

#1. Autenticación por IIS (Windows Integrated Authentication)

Este método utiliza la autenticación integrada de Windows a través de Internet Information Services (IIS). El usuario se autentica automáticamente usando sus credenciales de dominio de Active Directory.

Requisitos:

  • El usuario debe estar registrado en el dominio corporativo (Active Directory)
  • El servidor debe estar configurado con IIS y tener habilitada la autenticación de Windows
  • El navegador del usuario debe soportar autenticación NTLM/Kerberos

Comportamiento:

  • El inicio de sesión es transparente para el usuario: al acceder a TAP desde un equipo unido al dominio, se autentica automáticamente sin necesidad de ingresar credenciales
  • Si el equipo no está en el dominio, el navegador solicitará usuario y contraseña del dominio

Caso de uso ideal: Organizaciones con infraestructura Windows/Active Directory donde los usuarios acceden desde equipos corporativos unidos al dominio.

#2. Autenticación por Usuario y Contraseña

Método de autenticación tradicional donde el usuario ingresa manualmente sus credenciales (nombre de usuario y contraseña) en un formulario de inicio de sesión.

Requisitos:

  • El usuario debe tener una cuenta creada en el sistema TAP
  • Las credenciales son gestionadas directamente por TAP

Comportamiento:

  • Al acceder a TAP, se presenta un formulario de login
  • El usuario ingresa su nombre de usuario y contraseña
  • El sistema valida las credenciales contra su base de datos interna

#3. Autenticación por SSO (Single Sign-On) mediante OIDC

TAP soporta autenticación federada a través de cualquier proveedor de identidad que implemente el protocolo OpenID Connect (OIDC). Esto incluye proveedores como:

  • Microsoft Entra ID (Azure AD)
  • Okta
  • Cualquier otro proveedor compatible con OIDC (Google Workspace, Auth0, Keycloak, etc.)

Requisitos:

  • Tener configurado un proveedor de identidad (IdP) compatible con OIDC
  • Registrar TAP como aplicación cliente en el proveedor (Client ID y Client Secret)
  • Configurar las URLs de redirección (callback URLs) en el proveedor

Comportamiento:

  • Al acceder a TAP, el usuario selecciona la opción de inicio de sesión con su proveedor SSO
  • Se redirige al usuario al portal de autenticación del proveedor (Azure, Okta, etc.)
  • El usuario se autentica en el proveedor con sus credenciales corporativas
  • El proveedor redirige de vuelta a TAP con un token de autenticación validado
  • TAP verifica el token y concede acceso al usuario

Caso de uso ideal: Organizaciones que ya utilizan un proveedor de identidad centralizado y desean ofrecer una experiencia de inicio de sesión unificada a sus usuarios, aprovechando las políticas de seguridad existentes (MFA, acceso condicional, etc.).