Configurar SSO e IdP en Flex
Twilio Flex integra a tu proveedor de identidad existente para autenticar usuarios (agentes, supervisores o administradores) y habilitar el inicio de sesión único (SSO). Flex permite la integración de cualquier proveedor de identidad compatible con SAML 2.0 (como Google, Active Directory, Okta, etc.), lo cual te permite utilizar tu cuenta corporativa principal como el proveedor de identidad para Flex.
Definiciones
- Proveedor de identidad (IdP): se trata de una entidad de confianza que te permite activar el inicio de sesión único para acceder a otros sitios web o servicios como Twilio Flex con un único inicio de sesión. Los usuarios pueden seguir utilizando sus identidades de usuario corporativas sin tener que recordar muchas contraseñas, ni tener que volver a escribir las contraseñas cada vez que acceden a un servicio diferente conectado al mismo proveedor de identidad. Un ejemplo de proveedor de identidad es Okta.
- Security Assertion Markup Language (SAML): es un estándar abierto para el intercambio de datos de autenticación y autorización entre partes, en particular, entre un proveedor de identidad y un proveedor de servicios. SAML es un lenguaje de marcado basado en XML para aserciones de seguridad (instrucciones que los proveedores de servicios utilizan para tomar decisiones de control de acceso). Twilio Flex utiliza SAML versión 2.0.
- Proveedor de servicios (SP): en este contexto, Twilio Flex es el proveedor de servicios configurado como una aplicación en un proveedor de identidad para habilitar el inicio de sesión único.
Configurar tu proveedor de identidad para que admita Twilio Flex
Los pasos para configurar Flex como una aplicación (proveedor de servicios) dentro de tu proveedor de identidad serán diferentes en función del proveedor de identidad que utilice tu organización. A continuación, encontrarás la documentación necesaria para configurar Flex como proveedor de servicios en algunos proveedores de identidad conocidos:
Atributos de identidad y roles de Flex
Tu proveedor de identidad puede proporcionar cualquier cantidad de notificaciones (pares clave‐valor) a Flex. Cuatro de estas son obligatorias: ID único/ID de usuario, lista de roles de usuario, nombre completo y correo electrónico. El ID único debe proporcionarse en el encabezado de la solicitud, por lo que es probable que no necesites establecerlo explícitamente.
Flex incluye los siguientes roles:
| Rol | Descripción |
admin (administrador) |
Concede acceso a todas las páginas de la interfaz de usuario. Los administradores pueden utilizar Flex Admin, Agent Desktop (Escritorio del agente), Teams (Equipos), Queue Stats (Estadísticas de cola), Dashboard (Panel de control), Analyse (Analizar) y también Questionnaires (Cuestionarios) (funciones de Flex Insights) y Flex Dialpad (si está activado). |
supervisor (supervisor) |
Concede acceso a Agent Desktop (Escritorio del agente), Teams (Equipos), Queue Stats (Estadísticas de cola) y Dialpad (si está activado). |
agent (agente) |
Concede acceso a Agent Desktop (Escritorio del agente) y Dialpad (si está activado). |
Los datos de usuario enviados a Flex desde el proveedor de identidad se almacenan en los atributos de trabajador de TaskRouter. Esto te permite, como desarrollador del contact center, adaptar Flex UI (interfaz de usuario de Flex) utilizando datos sobre el usuario que ha iniciado sesión desde tu proveedor de identidad. Los atributos de trabajador creados para el usuario que ha iniciado sesión se actualizan cada vez que se inicia sesión correctamente mediante SSO, de modo que cualquier cambio en los datos de usuario realizado en el proveedor de identidad también se representará como atributos de trabajador.
Los atributos se pueden dividir en tres categorías.
- Obligatorios: la lista de parámetros obligatorios necesarios para la autenticación y la autorización
- Flex - Agent (Agente): estos son los parámetros que utiliza Agent Desktop (Escritorio del agente) de Flex.
- Flex Insights: estos parámetros son muy recomendados si utilizas las capacidades Flex Insights de Flex.
Conversión de atributos y tipos de datos
De forma predeterminada, todos los atributos se transformarán como cadenas en atributos TaskRouter, excepto el atributo roles; su valor se convierte en stringarray (coma como separador) de forma predeterminada.
Es posible indicar el tipo de atributo en el nombre de atributo de la siguiente manera:
name[.type]
en el que type es uno de estos valores {string | int | boolean | array | stringarray | intarray | booleanarray}
Ejemplos
| Nombre del atributo | Tipo | Valor de ejemplo |
|---|---|---|
| name.string | Cadena | María |
| skill.int | Entero | 1 |
| sales.boolean | Booleano | true |
| languages.stringarray | Arreglo de cadenas | en,de,fr |
| skills.intarray | Arreglo de enteros | 1,2,3,4 |
Si se define incorrectamente el tipo y valor de atributo (por ejemplo, si skill.int se define como “a”, o bien si skill.int se define como “1,23”), esto provocará que Flex arroje el mensaje: 400 Error invalid attribute format (Error 400: formato de atributo no válido). No se realizará ningún cambio en TaskRouter si las definiciones de atributo son incorrectas.
Ten en cuenta que roles es un atributo especial que acepta una lista de roles separados por comas y no requiere conversión a stringarray.
Atributo contact_uri
TaskRouter y el SDK de Twilio Voice usan contact_uri para quitar una llamada de la cola (información adicional). De forma predeterminada, la llamada sale de la cola del atributo contact_uri del trabajador mediante el cliente de voz JavaScript de Twilio (ejemplo: client:userId). Flex configura contact_uri automáticamente y no es necesario definirlo en el proveedor de identidad. El valor de identidad específico se corregirá para que solo incluya caracteres alfanuméricos y guiones bajos.
La llamada entrante también se puede quitar de la cola a una interfaz SIP (sip:alguien@undominio.com) o a un número de teléfono estableciendo contact_uri como número de teléfono (+14151112222: formato E.164). Para eliminar de la cola a estas identidades, se debe establecer contact_uri en el proveedor de identidad.
Cuando quites la llamada de la cola a un número internacional, asegúrate de que el país de destino está activado en Twilio Console (Consola de Twilio) > Programmable Voice (Voz programable) > Calls and Geo Permissions (Permisos de llamadas y geográficos).
Atributos obligatorios
| Nombre del atributo | Tipo | Valor/Ejemplo |
|---|---|---|
|
roles |
Stringarray |
agent, admin |
|
full_name |
Cadena |
Bob Bobson |
|
|
Cadena |
john@company.com |
Flex - Agent
| Atributo | Tipo | Valor/Ejemplo |
|---|---|---|
|
image_url |
Cadena |
http://www.someurl.com/bob_bobson.jpg |
Flex Insights
| Atributo | Tipo | Valor/Ejemplo |
|---|---|---|
|
department |
Cadena |
Ventas |
|
|
Cadena |
mary.smith@company.com |
|
location |
Cadena |
Londres |
|
manager |
Cadena |
Adam Shepherd |
|
phone |
Cadena |
+15555555555 |
|
roles |
Stringarray |
wfo.team_leader |
|
team_id |
Cadena |
1 |
|
team_name |
Cadena |
Ventas VIP |
|
team_name_in_hierarchy |
Cadena |
Londres,Ventas,VIP |
Capacidad del usuario
También puedes definir la capacidad de TaskRouter por canal mediante estos atributos. Por ejemplo, un nuevo usuario agregado a Flex puede estar disponible para tareas voice (de voz) y tener una capacidad de chat predeterminada de 1. Se pueden modificar mediante atributos personalizados:
| Atributo | Tipo | Valor/Ejemplo |
|---|---|---|
|
channel.voice.availability |
Booleano |
falso |
|
channel.chat.capacity |
Entero |
3 |
Estos atributos especiales se pueden formar para cualquiera de los TaskChannels que hayas definido en el espacio de trabajo de TaskRouter de Flex.
Preguntas frecuentes
¿Cómo maneja Twilio las identidades?
Cada usuario que inicie sesión en Twilio Flex a través del proveedor de identidad SAML se convertirá automáticamente en un usuario de Flex. Para obtener más información, consulta Administrar usuarios de Flex UI.
Cuando activas nuevos usuarios de Flex a través de SSO, se aplicarán cargos en cuanto inicien sesión. Los precios se indican en tu contrato de Twilio si estás trabajando con el equipo de ventas de Twilio. Para conocer información general sobre precios de Flex, consulta ¿Cómo funcionan los precios de Twilio Flex?
Flex también proporcionará automáticamente un trabajador de TaskRouter para esta identidad. TaskRouter es el núcleo de Flex y es necesario para permitir un enrutamiento inteligente de tareas basado en habilidades a agentes o supervisores.
Cada vez que un usuario inicia sesión en Flex, todas las notificaciones pasadas se comprueban y actualizan si es necesario, utilizando el proveedor de identidad como fuente de información. Si deseas actualizar un atributo de trabajador específico directamente, no lo configures en las notificaciones o los atributos del proveedor de identidad.
¿Puedo iniciar sesión en Flex utilizando el inicio de sesión iniciado por el proveedor de identidad? (p. ej.: mosaico Okta)
Sí. La configuración de SSO en la consola de Twilio tiene un campo opcional “Default Redirect URL” (URL de redirección predeterminada). Cuando se proporciona, esto permite que el inicio de sesión iniciado por el IdP se enrute a Flex. Si los agentes utilizan Flex desde flex.twilio.com, proporciona el enlace de inicio de sesión que aparece en la configuración de SSO. Por ejemplo:
https://flex.twilio.com/dancing-owl-1234De lo contrario, deberás usar tu propia URL Flex autoalojada.
¿Cómo inicio sesión en un dominio autoalojado?
Para tu seguridad, todos los dominios autoalojados deben estar registrados en Twilio para activar el inicio de sesión SSO. Estos dominios de confianza se pueden proporcionar junto con tu configuración de SSO dentro de la consola de Twilio. Se pueden utilizar los siguientes patrones cuando se proporciona un dominio de confianza:
example.com |
permite example.com, pero no email.example.com |
flex.example.com |
permite flex.example.com, pero no example.com |
*.example.com |
permite one.example.com o two.example.com, pero no example.com ni one.two.example.com. |
127.0.0.1 o ::1 |
permite la dirección IP |
El signo * solo se puede utilizar para subdominios comodín. Por ejemplo, example.*.com o example*.com no son compatibles.
¿Puedo iniciar sesión en el Agent Desktop (Escritorio del agente) de Flex sin un proveedor de identidad?
If you have logged in through Twilio Console, avoid logging in using an SSO provider to prevent a secondary account created that will incur charges overtime. Likewise, logging in with your SSO provider and then logging into Twilio Console will grant you two separate profiles that will each be billed.
Sí, los usuarios de la consola de Twilio (excepto aquellos que solo tienen roles Billing (Facturación) o Support (Soporte) dentro de la consola) tienen acceso a Flex. Pueden iniciar Flex desde la consola de Twilio y se conectarán con el rol admin de Flex. Recomendamos este enfoque a los administradores y desarrolladores cuando tu aplicación está en desarrollo.
Ten en cuenta que Flex crea diferentes usuarios dependiendo del método de inicio de sesión. Por ejemplo, un usuario con la misma dirección de correo electrónico creará dos identidades Flex si se conecta utilizando dos métodos alternativos; por ejemplo, si se conecta con SSO y, luego, de nuevo directamente a través de la consola utilizando credenciales de Twilio.
Puedes activar la opción “Login with Twilio” (Iniciar sesión con Twilio) de dos maneras:
- Seleccionar “Launch Flex” (Iniciar Flex) desde la consola de Twilio. Está disponible en la página Flex Overview (Descripción general de Flex).
- Seleccionar “Login with Twilio” (Iniciar sesión con Twilio) en la vista de inicio de sesión Flex predeterminada.
La opción 1 siempre iniciará sesión en Flex en flex.twilio.com. Si autoalojas Flex UI (interfaz de usuario de Flex), no se cargará el destino privado.
La opción 2 está disponible para ubicaciones autoalojadas y para el desarrollo local, como iniciar sesión en localhost durante el desarrollo de plugins.
Como se menciona en las preguntas frecuentes sobre iniciar sesión en un dominio autoalojado, debes registrar tu destino como un dominio de confianza. De lo contrario, tanto el inicio de sesión SSO como la opción “Login with Twilio” (Iniciar sesión con Twilio) no funcionarán.
Cargar la vista de inicio de sesión de Flex
La vista de inicio de sesión solo se carga si no proporcionaste el atributo sso en la configuración de la aplicación. Si se proporciona el atributo sso (o estás utilizando el enlace de inicio de sesión flex.twilio.com), omitirás la vista de inicio de sesión y activarás inmediatamente el inicio de sesión SSO.
Después de cerrar la sesión, los usuarios siempre serán enviados a la vista de inicio de sesión de Flex. No puedes utilizar la acción afterLogout para redirigir a otra página.
¿Puedo utilizar el atributo SessionNotOnOrAfter de mi proveedor de identidad?
El atributo SessionNotOnOrAfter se puede configurar dentro del proveedor de identidad a fin de garantizar un TTL (tiempo de actividad) máximo para una sesión autenticada. Una vez transcurrido el tiempo configurado, el usuario se verá obligado a autenticarse en su proveedor de identidad para ampliar su sesión con las aplicaciones conectadas.
No recomendamos utilizar este atributo junto con Twilio Flex. Cuando un usuario inicia sesión en la aplicación Flex UI (interfaz de usuario de Flex), Flex actualizará regularmente el token de Flex del usuario (el token autenticado que concede acceso a la interfaz de usuario). Si la caducidad de la sesión del proveedor de identidad se produce antes del período de actualización previsto del token de Flex, Flex no podrá actualizar la sesión del usuario. Cualquier comunicación activa se podría cerrar prematuramente una vez que la autenticación del usuario caduca y el este tendrá que actualizar la aplicación de Flex y volver a autenticarse a través de su proveedor de identidad.
Si eliges utilizar SessionNotOnOrAfter, debes utilizar un valor superior a 1 hora (el TTL predeterminado del token de Flex autenticado del usuario). Se recomienda establecer este valor por encima del tiempo de turno de un agente (por ejemplo, entre 8 y 10 horas); de lo contrario, es posible que el agente se desconecte inesperadamente de Flex. Incluso si utilizas un TTL largo, el usuario podría verse afectado si primero inicia sesión en Flex en la mitad de su sesión autenticada activa.
Helpful Articles
¿Necesitas ayuda?
Todos la necesitamos a veces; la programación es difícil. Obtén ayuda ahora de nuestro equipo de soporte, o recurre a la sabiduría de la multitud visitando Stack Overflow Collective de Twilio o navegando por la etiqueta de Twilio en Stack Overflow.
