- Autenticació amb un compte Microsoft Entra ID o Google
- Autenticació amb correu electrònic i contrasenya
- Autenticació amb SAML
Autenticació amb un compte Microsoft Entra ID o Google
Perquè el sistema d’inici de sessió únic (SSO) de Flexxible pugui validar els comptes de Microsoft o Google i autoritzar l’accés a la plataforma, cal que un administrador concedeixi els permisos següents:- Microsoft Entra ID. Habilitar l’ús d’una Aplicació Empresarial (Enterprise Application) de Flexxible al seu inquilí.
- Google. Habilitar l’ús d’un OAuth Client ID de Flexxible al seu inquilí.
Consentiment i permisos de l’Aplicació Empresarial a Entra ID
L’accés es pot concedir a usuaris individuals o a grups. No obstant això, tal com s’ha explicat abans, existeix una opció per simplificar el procés: que un administrador atorgui consentiment organitzacional per a l’ús de l’Aplicació Empresarial. Aquest consentiment registrarà automàticament l’Aplicació Empresarial a l’inquilí d’Azure i permetrà que els usuaris de l’organització iniciïn sessió a Flexxible amb les seves credencials corporatives. Només cal que l’administrador intenti iniciar sessió a la plataforma de Flexxible per primera vegada perquè s’iniciï la sol·licitud de consentiment.
| Permís | Descripció |
|---|---|
| Directory.Read.All | Llegir dades del directori |
| Veure les adreces de correu electrònic dels usuaris | |
| offline_access | Mantenir l’accés a les dades a les quals s’ha donat accés |
| openid | Iniciar sessió |
| profile | Veure el perfil bàsic dels usuaris |
| User.Read | Iniciar sessió i llegir el perfil dels usuaris |
Autenticació amb correu electrònic i contrasenya
Per defecte, tots els usuaris de la plataforma de Flexxible tenen habilitada l’opció d’iniciar sessió amb un compte Microsoft Entra ID o Google. De forma opcional, els usuaris amb el permís d’Administrador d’organització poden habilitar l’inici de sessió mitjançant correu electrònic i contrasenya per a altres membres de l’organització. Així, els usuaris podran triar de quina manera iniciar sessió.
Procés d’inici de sessió
Per iniciar sessió a la plataforma de Flexxible, fent ús de correu electrònic i contrasenya per primera vegada, s’han de seguir els passos següents:- Habilitar l’accés a l’autenticació per correu electrònic i contrasenya a l’usuari. Aquest pas l’ha de fer un Administrador d’organització.
- Quan estigui habilitat, l’usuari rebrà un correu de benvinguda amb un enllaç per crear la seva contrasenya. L’enllaç és d’un sol ús. Si no pot iniciar sessió amb ell, sempre podrà autenticar-se amb Microsoft Entra ID o Google.
- Crear una contrasenya; sense ella, no podrà iniciar sessió.
- Configurar l’autenticació de dos factors a través d’una aplicació d’autenticació. La primera vegada que l’usuari intenti iniciar sessió amb correu electrònic i contrasenya, la plataforma li sol·licitarà que ho faci.
- Iniciar sessió.
Accés a l’autenticació per correu electrònic i contrasenya
Per activar aquest mètode en els usuaris, un Administrador d’organització ha d’haver habilitat primer l’opció d’autenticació per correu electrònic i contrasenya a nivell d’organització. A continuació, l’Administrador d’organització podrà habilitar l’accés als usuaris que conformen l’organització. Per a això, Flexxible ofereix les opcions següents:- Habilitar l’accés per a un nou usuari
- Habilitar l’accés per a un lot d’usuaris
- Habilitar l’accés des de la taula d’usuaris
Habilitar l’accés per a un nou usuari
- Accedir a Configuració → Usuaris.
- Fer clic a Nou. S’obrirà un formulari que sol·licitarà la informació de l’usuari.
- Marcar l’opció Habilitar inici de sessió amb correu electrònic/contrasenya.
- Al formulari, fer clic a Nou.

Habilitar l’accés per a un lot d’usuaris
Per fer aquesta acció, es recomana primer exportar el llistat d’usuaris per obtenir el fitxer Excel amb el format adequat:- Accedir a Configuració → Usuaris → Exportar usuaris.
-
Obrir el fitxer Excel. A la columna Email login enabled s’ha d’indicar a quins usuaris se’ls habilitarà l’accés: Y (habilita) i N (deshabilita).

- Guardar el nou fitxer i tornar a la taula amb el llistat d’usuaris: Configuració → Usuaris.
- Fer clic a Importar usuaris. Seleccionar el fitxer desat.
-
Fer clic a Importar.

Habilitar l’accés des de la taula d’usuaris
- Accedir a Configuració → Usuaris.
- Seleccionar els usuaris als quals se’ls vol habilitar l’accés.
-
Al menú superior, fer clic a Accions d’inici de sessió per correu electrònic → Habilitar inici de sessió per correu electrònic o Deshabilitar inici de sessió per correu electrònic, segons sigui el cas.

Restablir la contrasenya des de la taula d’usuaris
- Accedir a Configuració → Usuaris.
- Seleccionar els usuaris als quals se’ls enviarà un correu electrònic amb l’enllaç per tornar a generar la contrasenya.
-
Seleccionar Accions d’inici de sessió per correu electrònic
→Reenviar correu electrònic de restabliment de contrasenya.

Aquesta opció només està disponible per als usuaris que tenen habilitada l’autenticació per correu electrònic i contrasenya.
Configuració de seguretat d’autenticació
Flexxible permet gestionar els nivells de seguretat per a l’autenticació per correu electrònic i contrasenya, tant a nivell d’usuari com d’organització.Configuració de seguretat d’autenticació a nivell d’usuari
Des de Perfil d’usuari → Configuració → Configuració de seguretat d’autenticació, els usuaris poden establir tres mètodes d’autenticació de doble factor i configurar la seva contrasenya.Autenticació de dos factors
Aquesta mesura de seguretat està disponible per a usuaris que inicien sessió mitjançant correu electrònic i contrasenya, afegint una capa extra de protecció al compte. Mètodes d’autenticació Per a l’autenticació en dos factors, la plataforma permet habilitar tres mètodes:- Aplicació d’autenticació
- Codi de recuperació
- Verificació de correu electrònic
Aplicació d’autenticació
Una aplicació d’autenticació permet crear codis de verificació d’un sol ús. Quan aquest mètode d’autenticació està habilitat, en iniciar sessió a la plataforma, se sol·licitarà a l’usuari que introdueixi aquest codi de verificació juntament amb la seva contrasenya habitual. Per a això, primer ha de descarregar una aplicació d’autenticació, com Microsoft Authenticator, Google Authenticator o la que prefereixi. Per afegir aquest mètode, l’usuari ha de fer clic a Habilitar al panell de configuració de seguretat d’autenticació. Una finestra modal mostrarà un codi QR. Quan s’escaneja, l’usuari haurà d’introduir, al camp reservat per a això, el codi de verificació de sis dígits atorgat per l’aplicació d’autenticació. A continuació, es mostrarà un codi de recuperació, que l’usuari haurà de desar per utilitzar-lo si algun cop necessita iniciar sessió i no té accés al dispositiu on té instal·lada l’aplicació d’autenticació. D’aquesta manera, d’ara endavant, en iniciar sessió, se sol·licitarà el codi de verificació a l’usuari a més de la contrasenya. Quan un usuari entri per primera vegada a la plataforma utilitzant el seu correu electrònic i contrasenya, se li demanarà que estableixi aquest mètode d’autenticació per elevar el nivell de seguretat del seu compte.Codi de verificació i Codi de recuperació no són el mateix. El primer el genera l’aplicació d’autenticació, el segon l’atorga Flexxible com a mesura de previsió.
Codi de recuperació
Quan s’habilita l’ús de l’aplicació d’autenticació, Flexxible genera un codi de recuperació perquè l’usuari el desi i l’usi quan no tingui accés al dispositiu on té descarregada l’aplicació d’autenticació. L’opció Codi de recuperació permet tornar a generar aquest codi si s’ha perdut, per comprovar la identitat de l’usuari quan vulgui iniciar sessió.Verificació de correu electrònic
Si està habilitada, permet verificar la identitat de l’usuari mitjançant un correu electrònic si oblida la seva contrasenya o no disposa dels altres mètodes per identificar-se. Per habilitar aquesta opció, l’usuari ha de fer clic a Habilitar al panell de configuració de seguretat d’autenticació. Des d’allà, l’usuari també podrà veure la data i hora de l’última vegada que es va utilitzar el mètode, així com l’última vegada que es va afegir com a mètode de seguretat de doble factor. Restablir l’autenticació en dos factors Permet restablir els mètodes d’autenticació de doble factor quan un usuari perd accés als dispositius que li permetien identificar-se. En prémer Regenerar, els mètodes d’autenticació de doble factor es deshabiliten. L’usuari els podrà habilitar directament des del mateix panell de configuració de seguretat. O tancant i tornant a iniciar sessió a la plataforma. També s’informa sobre la data i l’hora de l’última vegada que es va restablir l’autenticació de dos factors.Contrasenya
Des del mateix panell, l’usuari pot sol·licitar el restabliment de la seva contrasenya. Ha de prémer el botó Reenviar correu electrònic de restabliment de contrasenya per rebre un correu amb les indicacions. També s’informa sobre l’última vegada que es va canviar la contrasenya, l’última vegada que es va iniciar sessió i l’última adreça IP des de la qual es va connectar.Configuració de seguretat d’autenticació a nivell d’organització
Un Administrador d’organització pot habilitar o deshabilitar l’opció d’iniciar sessió a través de correu electrònic i contrasenya per als usuaris de l’organització i les seves suborganitzacions. La funcionalitat només es pot habilitar o deshabilitar des de l’organització principal en cas que es disposi de suborganitzacions. Per a això, accedir a Configuració → Organització. I al menú lateral esquerre s’ha de fer clic sobre la pestanya Autenticació.Habilitar o deshabilitar l’opció d’autenticació per correu electrònic i contrasenya a nivell d’organització
El botó Habilitar autenticació per correu electrònic/contrasenya o Deshabilitar autenticació per correu electrònic/contrasenya, segons sigui el cas, permet habilitar o deshabilitar la possibilitat que als usuaris membres d’una organització o suborganització se’ls pugui activar l’inici de sessió amb correu electrònic i contrasenya.Taula d’usuaris
La taula d’usuaris de la pestanya Autenticació mostra el llistat dels membres de l’organització. A primera vista, des d’aquí es pot saber quins membres tenen habilitada l’opció d’iniciar sessió a través de correu electrònic i contrasenya.Detall d’autenticació d’un usuari
Si es fa clic sobre el nom d’un usuari de la taula, es pot accedir a targetes amb informació específica sobre el mètode d’autenticació que té habilitat:- Microsoft Entra ID. Càrrec, Telèfon, Últim inici de sessió, Recompte d’inicis de sessió i Última adreça IP
- Google. Últim inici de sessió, Recompte d’inicis de sessió i Última adreça IP
- Autenticació amb correu electrònic i contrasenya. Últim inici de sessió, Recompte d’inicis de sessió i Última adreça IP. A més, des d’aquí, l’administrador pot gestionar la Configuració de seguretat d’autenticació per a aquest usuari específic, que inclou l’Autenticació en dos factors i la Contrasenya.
Autenticació amb SAML
El llenguatge de marcatge per a confirmacions de seguretat (SAML) és una tecnologia d’inici de sessió únic (SSO) que permet a les organitzacions connectar els seus gestors d’identitats (Okta, Entra ID, entre d’altres) amb la plataforma de Flexxible, delegant-hi el procés d’autenticació. Per configurar l’inici de sessió amb aquest mètode, s’han de fer ajustos relacionats amb el reconeixement del domini de l’organització i la integració amb el gestor d’identitats utilitzat.Dominis
Des d’aquesta pestanya, un Administrador d’organització pot registrar i verificar els dominis que s’utilitzaran. També pot accedir a la taula amb el llistat de dominis i consultar la seva vista de detall. La taula mostra la informació següent:- Nom del domini. Adreça web registrada per l’organització.
- Estat. Verificat o No verificat.
- Creat el. Data i hora de creació del domini.
- Creat per. Usuari que va registrar el domini.
Crear un domini
Per configurar un domini, primer s’ha de registrar i posteriorment verificar-se.- Accedir a Organització → Dominis.
- Fer clic a Crear domini.
- Introduir el domini de l’organització (corresponent al correu electrònic dels usuaris que iniciaran sessió amb SAML).
- Fer clic a Nou.
Verificar el domini
- A la taula de Dominis, seleccionar el domini registrat.
- Es mostrarà una finestra amb les instruccions per afegir un registre TXT al DNS, necessari per verificar la propietat.
- Prémer Verificar ara per completar el procés.
Crear una connexió SSO
La creació d’una connexió SSO permet que els usuaris amb adreces de correu electrònic de dominis específics s’autentiquin mitjançant el proveïdor d’identitats de l’organització.- Accedir a Organització → Integracions SSO.
- Fer clic a Crear connexió i seguir les instruccions de l’assistent, que guiarà l’Administrador d’organització en la configuració i prova segons el gestor d’identitats utilitzat.
- Okta
- Entra ID
- Custom SAML
Si sorgeix algun dubte durant el procés de configuració, consulta amb el teu contacte a Flexxible.
Editar una connexió SSO
La plataforma permet editar una connexió SSO existent, ja sigui per actualitzar la configuració o renovar el certificat en cas de caducitat.- Accedir a Organització → Integracions SSO.
- Seleccionar un registre a la taula.
- Fer clic a Editar connexió.
Eliminar un domini
- Accedir a Organització → Dominis.
- Seleccionar a la taula el domini que es vol eliminar.
- A la finestra de detall, fer clic a Eliminar.
Eliminar una connexió SSO
- Accedir a Organització → Integracions SSO.
- Seleccionar el registre corresponent a la taula.
Aprovisionament SCIM
El sistema d’administració d’identitats entre dominis (SCIM) és un estàndard d’aprovisionament i gestió d’usuaris que complementa l’autenticació amb SAML. És opcional i la seva funció és automatitzar la creació, actualització i eliminació de comptes d’usuari a la plataforma de Flexxible, mantenint sincronitzada la informació entre el gestor d’identitats de l’organització (Okta, Entra ID, etc.) i la plataforma. Quan SCIM està habilitat, el gestor d’identitats pot enviar a la plataforma la informació bàsica dels usuaris (nom, correu electrònic, grup), cosa que facilita la gestió d’altes i baixes. D’aquesta manera, la vida de l’usuari queda controlada de forma centralitzada des del gestor d’identitats.Habilitar SCIM
Per utilitzar SCIM és indispensable haver configurat prèviament l’autenticació amb SAML:- Accedir a Organització → Integracions SSO.
- A la taula, seleccionar la connexió SSO corresponent.
- Marcar l’opció Habilitar aprovisionament d’usuaris SCIM.
- Punt de connexió SCIM (endpoint)
- Token d’autenticació
En entorns amb suborganitzacions, la integració SCIM s’ha de definir a l’inquilí pare.
Configurar SCIM al gestor d’identitats
Al gestor d’identitats de l’organització, s’han d’introduir el punt de connexió SCIM i el token d’autenticació proporcionats. Exemple amb Entra ID:- Anar a Aprovisionament.
- Introduir el punt de connexió SCIM i el token d’autenticació.
- Seleccionar el mètode d’autenticació: Bearer token o Bearer Authentication.
- Fer clic a Test connection per validar la sincronització.
- Activar l’aprovisionament.
- Si s’utilitza Okta com a proveïdor d’identitats:
- La funcionalitat de SCIM s’ha de configurar utilitzant l’opció de Custom SAML, atès que Okta no admet SCIM si la connexió és amb OIDC.
- En configurar la connexió Custom SAML, cal indicar que l’Application username format sigui Email, d’altra manera els usuaris no es podran autenticar.
Crear grups d’usuaris al gestor d’identitats
Per integrar usuaris mitjançant SCIM és indispensable crear grups al gestor d’identitats.Consideracions
- Crear grups especialment dedicats amb noms clars i exclusius (ex.
MiOrg-Portal-L2). - Quan es creen o eliminen grups d’usuaris al gestor d’identitats també es crearan o eliminaran de forma automàtica a la plataforma.
- No crear grups niuats.
- Un usuari només ha de pertànyer a un grup; d’altra manera, podrien sorgir comportaments imprevistos: a la plataforma un usuari no pot tenir més d’un rol.
- No pot haver-hi usuaris sense grup assignat.
- Els usuaris que pertanyin a un grup que no té un rol vinculat, no seran visibles al llistat d’Usuaris.
Mapeig de rolsl
A la taula de la pestanya Aprovisionament SCIM es poden veure els grups creats al gestor d’identitats. Això succeeix perquè s’ha establert una sincronització unidireccional, des del gestor d’identitats cap a la plataforma. Per mapejar rols:- Accedir a Organització → Aprovisionament SCIM.
- Seleccionar un grup sincronitzat de la taula.
- A la finestra modal, assignar el rol corresponent.
- Si una organització (inquilí) té suborganitzacions, escollir a quina suborganització pertany aquest grup abans d’assignar-li un rol.
Consideracions sobre els rols
- Tot grup sincronitzat ha de tenir un rol assignat perquè els seus usuaris siguin visibles i funcionals.
- Es pot assignar el mateix rol a diferents grups.
- El rol assignat a un grup es pot modificar en qualsevol moment seguint els mateixos passos que es van utilitzar per assignar el rol.
- Al llistat d’Usuaris, es veuran les columnes Creat per i Actualitzat per per identificar els usuaris gestionats per SCIM.
Sincronització de rols
La freqüència de sincronització depèn del gestor d’identitats utilitzat (per exemple, Entra ID sincronitza cada 40 minuts), tot i que és possible forçar una sincronització manual des del propi gestor d’identitats per fer proves o canvis urgents sense esperar al cicle automàtic. Per evitar dependre d’aquests intervals, la plataforma incorpora el botó Sincronitzar rols assignats, que permet alinear els rols dels usuaris pertanyents als grups creats amb SCIM. Aquesta acció fa les operacions següents:- Revisa tots els usuaris pertanyents a grups creats via SCIM.
- Comprova si el rol assignat a cada usuari coincideix amb el rol mapejat per al seu grup.
- Si detecta discrepàncies, actualitza automàticament el rol de l’usuari.