Configure SSO

SSO corporativo en Acumbamail

¿Qué es el SSO y para qué sirve?

El Single Sign-On (SSO) corporativo permite restringir el acceso a tus landing pages para que solo puedan verlas los usuarios que pertenezcan a tu organización. En lugar de compartir una contraseña genérica, cada persona se autentica con su cuenta corporativa de Microsoft o Google, lo que garantiza que solo empleados o colaboradores autorizados accedan al contenido.

Esto es especialmente útil para landing pages con contenido interno de la empresa, materiales confidenciales, documentación privada o comunicaciones dirigidas exclusivamente a empleados.

Esta funcionalidad está disponible en los planes Pro y Enterprise de Acumbamail.

Conceptos previos

Antes de empezar con la configuración, es importante entender qué datos vas a necesitar. Todos estos valores se obtienen del portal de tu proveedor de identidad (Microsoft Entra o Google Cloud Console) y se introducen después en Acumbamail.

Tenant ID — El identificador único de tu organización en Microsoft. En el portal de Microsoft aparece como "Id. de inquilino". Solo es necesario para Microsoft y se encuentra en la página principal de Microsoft Entra ID.

Client ID — El identificador de la aplicación que registras para el SSO. Microsoft lo llama "Id. de aplicación (cliente)". Se encuentra en la ficha de la aplicación registrada, tanto en Microsoft Entra como en Google Cloud Console.

Client Secret — Una clave secreta que permite a Acumbamail comunicarse de forma segura con tu proveedor. Funciona como una contraseña de la aplicación. Se genera en la sección de credenciales de la aplicación. Es importante copiarlo en el momento de crearlo, ya que después no se puede volver a consultar.

Dominios permitidos — Los dominios de correo electrónico de tu organización. Solo los usuarios cuyo email pertenezca a uno de estos dominios podrán acceder a la landing. Tú lo defines (por ejemplo: miempresa.com ). Si tienes varios dominios corporativos, puedes separarlos por comas: miempresa.com, filial.com .

Configurar SSO con Microsoft (Entra ID / Azure AD)

Microsoft Entra ID (antes conocido como Azure Active Directory) es el servicio de identidad más habitual en organizaciones que usan Microsoft 365. La configuración se realiza en dos partes: primero se registra una aplicación en el portal de Microsoft y después se introducen los datos en Acumbamail.

Registrar la aplicación en Microsoft Entra

Para que Acumbamail pueda autenticar a los usuarios de tu organización, es necesario dar de alta una aplicación en el portal de Microsoft Entra. Esta aplicación actúa como puente entre Acumbamail y el servicio de identidad de tu empresa.

Accede al portal de Microsoft Entra en https://entra.microsoft.com y busca la sección Registros de aplicaciones dentro de Identidad > Aplicaciones. Desde ahí, crea un nuevo registro con los siguientes datos:

Dale un nombre descriptivo que te ayude a identificarla más adelante, por ejemplo "Acumbamail SSO" o "SSO Landing Pages".
En tipo de cuentas compatibles, selecciona la opción que restringe el acceso a las cuentas de tu propio directorio organizativo ("Solo cuentas en este directorio organizativo").
En URI de redirección, selecciona el tipo Web e introduce la URL de callback de Acumbamail. Esta URL es donde Microsoft enviará al usuario después de autenticarse:

https://<dominio o subdominio en acumbamail>/page/sso/callback/

Si utilizas un dominio personalizado para Acumbamail, sustituye <dominio o subdominio en acumbamail> por tu dominio. Si utilizas un subdominio de Acumbamail sustituye <dominio o subdominio en acumbamail> por tu subdominio.

Obtener el Tenant ID

El Tenant ID identifica a tu organización dentro de Microsoft. Para encontrarlo, accede a la página de información general de tu directorio en Microsoft Entra.

En esta pantalla verás un campo llamado Id. de inquilino (o Tenant ID si tu portal está en inglés). Copia este valor.

No confundas el Tenant ID con el Object ID. El Tenant ID identifica a tu organización entera, mientras que el Object ID identifica un recurso concreto (una aplicación, un usuario, un grupo). El que necesitas es el Tenant ID.

Obtener el Client ID

El Client ID se encuentra en la página principal de la aplicación que acabas de registrar. Dentro de Registros de aplicaciones, selecciona tu aplicación. En la sección de Información general, verás el campo Id. de aplicación (cliente). Copia este valor.

Generar el Client Secret

El Client Secret es una clave que permite a Acumbamail demostrar su identidad ante Microsoft. Para generarlo, dentro de la configuración de tu aplicación busca la sección Certificados y secretos en el menú lateral.

Haz clic en Nuevo secreto de cliente, asígnale una descripción (por ejemplo "Acumbamail SSO") y selecciona un periodo de validez. Al confirmar, se mostrará una tabla con el nuevo secreto.

Muy importante: copia el campo Valor inmediatamente. Este es tu Client Secret y Microsoft solo lo muestra una vez. Si cierras la página sin copiarlo, tendrás que crear uno nuevo. El campo "Id. de secreto" que aparece junto al Valor es un identificador interno de Microsoft y no se usa en Acumbamail.

Configurar los permisos de la aplicación

Para que la autenticación funcione correctamente, la aplicación necesita permisos para leer la información básica del usuario. Dentro de la configuración de tu aplicación en Entra, ve a la sección Permisos de API y asegúrate de que están concedidos los siguientes permisos delegados de Microsoft Graph:

openid — permite la autenticación vía OpenID Connect
profile — acceso al nombre del usuario
email — acceso a la dirección de correo electrónico

Si estos permisos no están concedidos para toda la organización, haz clic en Conceder consentimiento del administrador para activarlos.

Introducir los datos en Acumbamail

Una vez que tengas todos los datos, ve a Acumbamail y accede a la configuración de SSO. En el menú lateral, despliega Mi cuenta y haz clic en Preferencias. En la barra de pestañas superior, selecciona SSO.

Haz clic en Añadir SSO y rellena el formulario:

Proveedor: Microsoft (Azure AD)
Nombre: Un nombre que te ayude a identificar esta configuración (ej: "Microsoft SSO Corporativo")
Tenant ID: El Id. de inquilino que copiaste del portal de Entra
Client ID: El Id. de aplicación (cliente) de tu aplicación registrada
Client Secret: El Valor del secreto de cliente que generaste
Dominios permitidos: El dominio de correo electrónico de tu organización (ej: miempresa.com )

Haz clic en Guardar para completar la configuración.

Configurar SSO con Google

Si tu organización utiliza Google Workspace (antes G Suite), puedes configurar el SSO para que los usuarios se autentiquen con su cuenta corporativa de Google. La configuración se realiza desde Google Cloud Console.

Crear un proyecto y configurar OAuth

Accede a Google Cloud Console y selecciona un proyecto existente o crea uno nuevo. Dentro del proyecto, navega a APIs y servicios > Credenciales.

Antes de crear las credenciales, es necesario configurar la pantalla de consentimiento OAuth. Esta pantalla es la que verán los usuarios cuando se autentiquen por primera vez. En la sección correspondiente:

Selecciona el tipo Interno, que restringe el acceso exclusivamente a los usuarios de tu organización de Google Workspace. Esto es importante: si seleccionas "Externo", cualquier cuenta de Google podría intentar autenticarse (aunque el filtro de dominios de Acumbamail los bloquearía igualmente).
Rellena el nombre de la aplicación (ej: "Acumbamail SSO") y un email de contacto.
En la sección de Permisos (Scopes), añade openid , email y profile . Estos permisos permiten a Acumbamail conocer la identidad y el correo electrónico del usuario.

Crear las credenciales OAuth 2.0

Una vez configurada la pantalla de consentimiento, ve a Credenciales > Crear credenciales > ID de cliente OAuth. Selecciona el tipo Aplicación web y asígnale un nombre descriptivo.

En la sección URI de redireccionamiento autorizados, añade la URL de callback de Acumbamail:

https://<dominio o subdominio acumbamail>/page/sso/callback/

Al confirmar la creación, Google mostrará el Client ID y el Client Secret. Copia ambos valores. A diferencia de Microsoft, Google permite consultar estos datos posteriormente desde la página de la credencial, pero es buena práctica copiarlos en el momento.

Introducir los datos en Acumbamail

En Acumbamail, ve a Mi cuenta > Preferencias > SSO y haz clic en Añadir SSO. Selecciona Google como proveedor. Verás que el formulario no muestra el campo Tenant ID, ya que Google no lo necesita.

Rellena los campos:

Nombre: Un nombre descriptivo (ej: "Google SSO Corporativo")
Client ID: El Client ID proporcionado por Google Cloud Console
Client Secret: El Client Secret proporcionado por Google Cloud Console
Dominios permitidos: El dominio de correo de tu Google Workspace (ej: miempresa.com )

Haz clic en Guardar para completar la configuración.

Proteger una landing page con SSO

Una vez que hayas configurado al menos un proveedor SSO, puedes aplicar la protección a cualquier landing page. El proceso se realiza desde el editor de la propia landing.

Activar la protección

Accede a Sitios web en el menú lateral de Acumbamail y selecciona la landing page que quieras proteger. En el primer paso del editor (**Configuración**), encontrarás una sección titulada "Acceso solo con SSO corporativo" con la descripción: "Solo podrán acceder usuarios autenticados en el SSO de tu empresa".

Activa el interruptor cambiándolo a SÍ. Al hacerlo, aparecerá un desplegable con los proveedores SSO que tengas configurados para que selecciones cuál quieres utilizar en esta landing.

Si aún no tienes ningún proveedor configurado, en lugar del desplegable verás un enlace que dice "No tienes proveedores SSO configurados. Configura uno aquí" y que te llevará directamente a la pantalla de configuración de SSO.

Después de seleccionar el proveedor, guarda los cambios con Guardar borrador o continúa al siguiente paso del editor.

¿Qué sucede cuando un usuario accede a la landing?

Cuando alguien intenta visitar una landing protegida con SSO, Acumbamail comprueba si ya tiene una sesión SSO activa. Si no la tiene, se le redirige automáticamente a la página de inicio de sesión del proveedor configurado (la pantalla de login de Microsoft o de Google, según corresponda).

El usuario introduce sus credenciales corporativas como lo haría normalmente para acceder a cualquier otro servicio de su empresa. Una vez autenticado, el proveedor redirige al usuario de vuelta a Acumbamail, que valida la respuesta comprobando tres cosas:

Que el token de autenticación es auténtico y no ha sido manipulado.
Que el dominio del correo electrónico del usuario está incluido en la lista de Dominios permitidos del proveedor.
Que el token no ha expirado.

Si todas las validaciones son correctas, el usuario accede a la landing page con normalidad. Si alguna falla (por ejemplo, si el usuario se ha autenticado con una cuenta personal en lugar de la corporativa), se muestra una página de error explicando el motivo.

Duración de la sesión

La sesión SSO se mantiene activa mientras el token de autenticación no expire. La duración depende de la configuración del proveedor de identidad (Microsoft o Google), pero suele ser de entre 1 y 24 horas. Una vez expirada, el usuario tendrá que volver a autenticarse la próxima vez que acceda a la landing.

Gestionar los proveedores SSO

Editar un proveedor existente

Desde la pantalla Mi cuenta > Preferencias > SSO, cada proveedor aparece listado con sus datos principales y botones para editarlo o eliminarlo. Al editar un proveedor, puedes modificar cualquier campo. El Client Secret es opcional durante la edición: si lo dejas vacío, se mantiene el valor actual. Esto es útil si necesitas cambiar solo el nombre o los dominios permitidos sin tener que buscar el secreto de nuevo.

Eliminar un proveedor

Puedes eliminar un proveedor SSO siempre que no esté asignado a ninguna landing page. Si intentas eliminar un proveedor que está en uso, Acumbamail te lo impedirá con un mensaje de error. En ese caso, primero tendrás que acceder a cada landing que use ese proveedor, desactivar la protección SSO, y después volver a intentar la eliminación.

Usar múltiples proveedores

Acumbamail permite configurar varios proveedores SSO simultáneamente. Esto es útil en situaciones como:

Una empresa que usa Microsoft para su equipo interno pero Google Workspace para una filial.
Diferentes landing pages dirigidas a distintos públicos, cada uno con su propio proveedor de identidad.
Mantener un proveedor de respaldo mientras se migra de un sistema de identidad a otro.

Cada landing page se asocia a un único proveedor, pero distintas landings pueden usar proveedores diferentes.

Dominios permitidos

El campo Dominios permitidos es la pieza clave de seguridad del SSO en Acumbamail. Aunque un usuario se autentique correctamente con Microsoft o Google, Acumbamail comprobará que el dominio de su correo electrónico coincida con alguno de los dominios configurados en el proveedor.

Por ejemplo, si configuras acumbamail.com como dominio permitido, un usuario con el correo juan@acumbamail.com podrá acceder, pero alguien con juan@gmail.com será rechazado aunque consiga autenticarse (lo cual no debería ocurrir si has configurado correctamente el proveedor como "Interno" o "Inquilino único").

Puedes especificar varios dominios separándolos por comas. Esto es habitual en organizaciones con múltiples dominios corporativos:

miempresa.com, miempresa.es, filial.com

Consideraciones de seguridad

El SSO de Acumbamail está implementado siguiendo el protocolo OpenID Connect (OIDC) con flujo de código de autorización, que es el estándar de la industria para autenticación delegada. Algunos detalles técnicos relevantes:

Los Client Secrets se almacenan cifrados en la base de datos de Acumbamail mediante cifrado simétrico (Fernet). Nunca se almacenan en texto plano.
Cada flujo de autenticación genera un parámetro state (protección contra CSRF) y un nonce (protección contra ataques de repetición), ambos validados al completar el proceso.
Los tokens JWT recibidos del proveedor se validan con las claves públicas JWKS del proveedor, asegurando que no han sido falsificados.
La URI de redirección configurada en el proveedor debe coincidir exactamente con la URL de callback de Acumbamail. Si no coinciden, el proveedor rechazará la solicitud de autenticación.
Los estados de autenticación expirados se eliminan automáticamente tras 10 minutos para evitar acumulación de sesiones obsoletas.

Resolución de problemas

"No hay proveedores SSO configurados"

Este mensaje aparece cuando intentas activar el SSO en una landing page pero aún no has creado ningún proveedor. Accede a Mi cuenta > Preferencias > SSO y crea al menos un proveedor antes de activar la protección.

Error al autenticarse

Si al intentar acceder a una landing protegida aparece un error genérico, lo más probable es que alguno de los datos del proveedor sea incorrecto. Verifica especialmente:

Que el Client ID corresponde a la aplicación correcta.
Que el Client Secret es el Valor (no el Id. de secreto) y que no ha expirado.
Que el Tenant ID (en Microsoft) es el de tu organización (Id. de inquilino), no el Object ID de la aplicación.
Que la URI de redirección configurada en el proveedor coincide exactamente con https://<dominio o subdominio acumbamail>/page/sso/callback/ .

Acceso denegado después de autenticarse correctamente

El usuario se ha autenticado correctamente pero su dominio de correo no está en la lista de dominios permitidos. Comprueba el campo Dominios permitidos del proveedor y asegúrate de que incluye el dominio del correo del usuario.

No se puede eliminar un proveedor

Esto ocurre cuando el proveedor está asignado a una o más landing pages. Desactiva primero el SSO en todas las landings que lo usen (cambiando el interruptor a NO en su Configuración) y después podrás eliminarlo.

El Client Secret ha expirado

Tanto Microsoft como Google permiten establecer una fecha de caducidad para los Client Secrets. Si el secreto expira, los usuarios no podrán autenticarse. Genera un nuevo secreto en el portal del proveedor, edita el proveedor en Acumbamail y actualiza el campo Client Secret con el nuevo valor.