Ir al contenido principal

Solución de problemas del inicio de sesión único (SSO)

Solucionar problemas de configuración, gestión de usuarios, inicio de sesión y otros problemas de SSO

Escrito por Perplexity Support
Actualizado hace más de 2 meses

Descripción general del SSO

Nuestra plataforma SSO (WorkOS) ayuda a las organizaciones a gestionar el acceso de los usuarios de manera eficaz. Al aplicar inicios de sesión controlados por dominio a través del proveedor de identidad (IdP), las organizaciones controlan quién puede acceder a Perplexity desde su lado.

Cómo funciona el aprovisionamiento de usuarios

  • Predeterminado: Los administradores de la organización deben invitar a los usuarios a Perplexity.

  • Aprovisionamiento justo a tiempo: Los usuarios se crean en Perplexity cuando inician sesión por primera vez a través de SSO/IdP, no cuando se añaden en el IdP. Encontrará las instrucciones para activar el aprovisionamiento JIT aquí.

  • Características de ingeniería opcionales:

    • Habilita el inicio de sesión automático para los usuarios con el dominio de correo electrónico de tu organización.

    • Captura automáticamente a todos los usuarios con un dominio de correo electrónico propiedad de la organización en tu cuenta de Perplexity.

  • SCIM (Sistema de gestión de identidad entre dominios): automatiza el aprovisionamiento y desaprovisionamiento de usuarios. Perplexity admite SCIM para organizaciones con 50 o más usuarios o si hay al menos un usuario Enterprise Max.

Cómo funciona el desaprovisionamiento de usuarios

  • Los usuarios eliminados del IdP no se eliminan automáticamente de Perplexity.

  • Si se aplica el SSO, los usuarios desaprovisionados no pueden iniciar sesión, pero seguirán apareciendo en Perplexity hasta que un administrador los elimine.

  • Recomendación: Los administradores deben revisar periódicamente y eliminar manualmente a los usuarios desaprovisionados para mantener la precisión de los registros.

Pasos clave para la resolución de problemas

Resolución general de problemas

Si tu organización tiene problemas con el SSO, primero confirma que Requerir SSO esté activado. Cuando esta opción está activada, se aplican para tu organización los inicios de sesión controlados por dominio a través de tu IdP.

Para ello, accede a la pantalla Identidad en la configuración de tu organización y activa la opción Requerir SSO.

Si el SSO es obligatorio para tu organización, pero no ven el flujo de SSO, comprueba que el dominio o subdominio que están usando esté verificado (consulta a continuación).

También puedes pedirles que hagan una recarga forzada en el navegador (Ctrl+F5 en Windows o Comando+Mayús+R en Mac), por si el problema se debe a la caché.

Problemas con la verificación del dominio

Todos los dominios y subdominios que use tu organización para iniciar sesión con SSO deben verificarse de forma independiente.

Si la verificación de tu dominio aparece como «pendiente» o «fallida», es probable que el registro TXT de DNS aún no se haya añadido a la configuración de DNS del dominio.

Para verificar su(s) dominio(s):

  1. Accede a la pantalla Identidad en la configuración de tu organización.

  2. Haz clic en «Añadir» junto a la sección Dominio.

  3. Introduce el dominio de tu organización (por ejemplo, yourdomain.com).

  4. Copia el registro TXT de DNS proporcionado.

  5. Añade este registro a la configuración DNS de tu dominio con el "verification_token=string" completo incluido entre comillas dobles. Establece el TTL en 60 segundos.

  6. Espera al menos un minuto y, a continuación, utiliza nslookup -q=text yourdomain.com para confirmar que el nuevo registro DNS TXT se ha propagado a internet.

  7. Haz clic en «Verificar» una vez que se haya añadido el registro TXT de DNS.

  8. Repite el proceso para todos los dominios que use tu organización.

  9. Una vez que un dominio se haya verificado correctamente, puede aumentar la configuración de TTL a 12 o 24 horas (43200 u 86400 segundos).

Aprovisionamiento justo a tiempo

Si desea activar las funciones de inicio de sesión automático o captura automática, deberá habilitar el aprovisionamiento justo a tiempo para su organización.

Puedes hacerlo en la pantalla Identidad de la configuración de la organización, cambiando el interruptor «Aprovisionamiento de cuentas justo a tiempo» a «Habilitado».

Si el JIT está activo para su organización, pero tiene problemas con aprovisionamiento justo a tiempo de un usuario específico, intente iniciar sesión con un nuevo usuario.

  • Si esto funciona con un nuevo usuario, pero no con usuarios específicos, es muy probable que los problemas de incorporación de usuarios no se deban a una configuración incorrecta del SSO o del aprovisionamiento por parte de la organización. En su lugar, los problemas pueden estar relacionados con asignaciones de usuarios individuales, permisos, pertenencia a grupos en el IdP o problemas específicos de esas cuentas.

  • Si no funciona, podría haber un problema con la configuración de SSO/JIT entre su IdP y Perplexity. Entre las causas más comunes se incluyen atributos mal configurados, permisos ausentes o parámetros SAML/OIDC incorrectos.

Problemas de desaprovisionamiento:

Si SCIM no está activo para tu organización, cuando se elimina a un usuario del proveedor de identidad (IdP), ese usuario perderá la capacidad de iniciar sesión en Perplexity si se aplica el SSO y el IdP rechaza su inicio de sesión. Sin embargo, la cuenta y los datos del usuario permanecerán en el sistema de Perplexity hasta que un administrador los elimine o los retire manualmente. El SSO estándar solo controla la autenticación al iniciar sesión, no la gestión del ciclo de vida del usuario ni su eliminación.

SCIM añade una gestión automatizada del ciclo de vida. Cuando se desaprovisiona a un usuario del IdP, SCIM envía una solicitud a Perplexity para deshabilitar o eliminar la cuenta de usuario automáticamente. Esto significa que las organizaciones que utilizan SCIM pueden automatizar tanto la creación como la eliminación de usuarios, lo que minimiza el trabajo de limpieza manual y mejora la postura de seguridad.

SCIM está disponible para organizaciones con 50 puestos o más, o con al menos un puesto de Enterprise Max.

Mensajes de error comunes y soluciones

Mensaje de error

Significado

Solución

AADSTS50105 (Microsoft Entra ID)

El usuario no es miembro directo de un grupo autorizado o carece de acceso directo.

Póngase en contacto con su administrador de TI o Enterprise Pro para que le añadan directamente o a un grupo con acceso. Intenta iniciar sesión de nuevo después de la sincronización.

El usuario no está asignado a esta aplicación (Okta)

La cuenta no está asignada a la aplicación Perplexity en Okta.

Pídele a tu administrador de TI o de Enterprise Pro que asigne tu cuenta a la aplicación Perplexity Enterprise en Okta.

Error 408: App_not_enabled_for_user (SSO de Google)

El acceso a la aplicación no está habilitado para tu cuenta o grupo en la Consola de administración de Google.

El administrador debe habilitar el acceso de usuario para ti o tu grupo en la consola de administración de Google Workspace en Aplicaciones > Aplicaciones web y móviles. A continuación, vuelve a intentar iniciar sesión.

Migración de dominio

Cuando una organización migra a un nuevo dominio, el inicio de sesión único (SSO) puede dejar de funcionar si las cuentas de usuario o la configuración del dominio no se actualizan en Perplexity.

Para evitar fallos de SSO durante la migración de un dominio, la mejor práctica es añadir y verificar proactivamente el nuevo dominio en Perplexity antes de realizar cualquier cambio en el proveedor de identidad o en las direcciones de correo electrónico de los usuarios.

También es importante actualizar la configuración del proveedor de identidad para incluir el nuevo dominio y ajustar las asignaciones de grupos o usuarios en consecuencia, de modo que los usuarios conserven los permisos de SSO necesarios después del cambio.

Si has migrado dominios antes de verificar el nuevo dominio y todavía tienes acceso a tu correo electrónico anterior con derechos de administrador, inicia sesión con ese correo electrónico. Esto te permitirá verificar el nuevo dominio. Sin embargo, si ya no tienes acceso a tu antiguo correo electrónico, ponte en contacto con nosotros. Podemos desactivar el SSO temporalmente para que puedas verificar el nuevo dominio.

¿Necesitas más ayuda?

Si tienes algún otro problema o si estos pasos no lo solucionan, ponte en contacto con nosotros y nuestros ingenieros de asistencia técnica estarán encantados de ayudarte.

Artículos relacionados
Gestión de cuentas para SSO
Integración del SSO: primeros pasos
Gestión de cuentas de usuario basada en SCIM
Introducción a los administradores de la organización
Configuración del SSO con Okta
Descripción general del SSO
Cómo funciona el aprovisionamiento de usuarios
Cómo funciona el desaprovisionamiento de usuarios
Pasos clave para la resolución de problemas
Resolución general de problemas
Problemas con la verificación del dominio
Aprovisionamiento justo a tiempo
Problemas de desaprovisionamiento:
Mensajes de error comunes y soluciones
Migración de dominio
¿Necesitas más ayuda?