> ## Documentation Index
> Fetch the complete documentation index at: https://ai-kb.automationanywhere.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurar Azure AD para SSO de EKB

> Configure Azure Active Directory (Entra ID) como Proveedor de Identidad SAML 2.0 para su instancia on-premise de EKB.

Esta guía explica cómo configurar Azure Active Directory (Entra ID) como el Proveedor de Identidad (IdP) para SAML SSO en su instancia on-premise de EKB. Cubre las configuraciones SAML que debe ingresar en Azure AD, cómo obtener sus metadatos de federación y cómo registrar el dominio en EKB para completar la integración.

<Note>
  El flujo SAML genérico de EKB funciona con Azure AD / Entra ID de forma nativa. Si aún no lo ha hecho, lea la [Vista General de SAML SSO](/super-admin/sso/saml-sso-how-it-works.mdx) para comprender cómo funciona la integración antes de comenzar.
</Note>

## Prerrequisitos

* Tiene acceso de administrador a su tenant de Azure AD / Entra ID.
* Tiene acceso de Super Admin a su instancia on-premise de EKB.
* Conoce el nombre de dominio completamente calificado (FQDN) del host de backend de EKB (por ejemplo, `ek-api.corp.acme.com`).
* Conoce el dominio de correo electrónico para el que desea habilitar SSO (por ejemplo, `acme.com`).

## Parte 1 — Configurar Azure AD

### Crear una Nueva Aplicación Empresarial en Azure AD

<Steps>
  <Step title="Crear una nueva aplicación empresarial">
    En el portal de Azure, navegue a **Azure Active Directory → Enterprise applications** y haga clic en **New application**. Seleccione **Create your own application**, dé un nombre (por ejemplo, `EK SSO`) y elija **Integrate any other application you don't find in the gallery (Non-gallery)**.
  </Step>

  <Step title="Abrir la configuración SSO">
    Una vez creada la aplicación, navegue a **Manage → Single sign-on** y seleccione **SAML** como método de inicio de sesión.
  </Step>

  <Step title="Ingresar la Configuración Básica de SAML">
    En la sección **Basic SAML Configuration**, ingrese los siguientes valores:

    | Campo                      | Valor                                                       |
    | -------------------------- | ----------------------------------------------------------- |
    | **Identifier (Entity ID)** | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Reply URL (ACS URL)**    | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Sign-on URL**            | Deje vacío                                                  |
    | **Relay State**            | `default`                                                   |
    | **Logout URL**             | Deje vacío                                                  |
  </Step>

  <Step title="Configurar atributos y reclamaciones">
    En la sección **Attributes & Claims**, confirme o agregue los siguientes mapeos:

    | Atributos                            | Valor                    |
    | ------------------------------------ | ------------------------ |
    | `givenname`                          | `user.givenname`         |
    | `surname`                            | `user.surname`           |
    | `emailaddress`                       | `user.mail`              |
    | `name`                               | `user.userprincipalname` |
    | `DisplayName`                        | `user.displayname`       |
    | `email`                              | `user.mail`              |
    | **Unique User Identifier (Name ID)** | `user.userprincipalname` |
  </Step>
</Steps>

## Parte 2 — Obtener los Metadatos de Azure AD

Una vez configurada la aplicación de Azure AD, obtenga la URL de metadatos de federación:

<Steps>
  <Step title="Ir a la sección de Certificados SAML">
    En su aplicación, navegue a **Manage → Single sign-on → SAML Certificates**.
  </Step>

  <Step title="Copiar la URL de Metadatos de Federación de la Aplicación">
    Encuentre y copie la **App Federation Metadata URL**.

    La ruta es:

    ```
    Manage > Single sign-on > SAML Certificates > App Federation Metadata URL
    ```

    Necesitará esta URL en la Parte 3.<br /><img src="https://mintcdn.com/automationanywhere/GwZtgh73O0-NsEVq/img/sa/sso/azure-federation-metadata-url.png?fit=max&auto=format&n=GwZtgh73O0-NsEVq&q=85&s=91d5435d16c31d5f1f4a3bc6c49381ea" alt="Azure AD Metadata URL" width="617" height="341" data-path="img/sa/sso/azure-federation-metadata-url.png" />
  </Step>
</Steps>

## Parte 3 — Registrar el Dominio en EKB

Envíe una solicitud `POST` al endpoint de registro de dominio:

```bash theme={null}
curl -X POST "https://<su-host-de-backend>/backend/sso/add_new_configuration" \
  -H "Content-Type: application/json" \
  -H "X-API-KEY: SU_API_KEY" \
  -H "X-API-SECRET: SU_API_SECRET" \
  -d '{
    "enterprise_id": "acme.com",
    "provider": "azure",
    "metadata_url": "https://su-url-de-metadatos-de-federacion-de-azure",
    "backend_root_url": "<su-host-de-backend>/backend"
  }'
```

### Campos Requeridos

| Campo              | Descripción                                                                                     |
| ------------------ | ----------------------------------------------------------------------------------------------- |
| `enterprise_id`    | El dominio de correo electrónico de sus usuarios (por ejemplo, `acme.com`).                     |
| `provider`         | `"azure"`                                                                                       |
| `metadata_url`     | La App Federation Metadata URL de la Parte 2.                                                   |
| `backend_root_url` | *(Opcional)* Requerido solo en configuraciones de proxy para asegurar el enrutamiento correcto. |

### Autenticación

El endpoint requiere su API Key y Secret de EKB pasados como encabezados `X-API-KEY` y `X-API-SECRET`.

En caso de éxito, se crea un registro en la tabla `sso_providers` en el backend.

## Parte 4 — Configurar el Frontend

Una vez registrado el dominio, establezca la variable de entorno del frontend y reinicie el servicio del frontend.

<Steps>
  <Step title="Abrir el archivo de entorno del frontend">
    En su servidor de implementación on-premise, abra `onprem-deployment/.env.web`.
  </Step>

  <Step title="Agregar la variable de entorno">
    Agregue la siguiente línea, reemplazando `acme.com` con su dominio de correo electrónico real:

    ```bash theme={null}
    VITE_SSO_ENTERPRISE_ID=acme.com
    ```
  </Step>

  <Step title="Reiniciar los servicios del frontend">
    ```bash theme={null}
    docker compose -f docker-compose down
    docker compose -f docker-compose up -d
    ```
  </Step>
</Steps>

## Probar la Integración

Inicie sesión en EKB con un usuario real `@<dominio>` para confirmar que el flujo funciona de principio a fin. Si el usuario se autentica exitosamente pero se le deniega el acceso, verifique su configuración de Controles de Acceso SAML — consulte la guía *Controles de Acceso SAML y Asignación Automatizada de Equipos/Proyectos de EKB*.