LemonFlow soporta inicio de sesión único (SSO) mediante el protocolo SAML 2.0. Esto permite que los usuarios de su organización inicien sesión en LemonFlow usando las mismas credenciales corporativas que ya utilizan (Microsoft 365, Google Workspace, Okta, etc.), sin necesidad de crear contraseñas adicionales.
¿Qué es SAML SSO?
SAML (Security Assertion Markup Language) es un estándar abierto que permite que un Proveedor de Identidad (IdP) — como Azure Entra ID, Okta o Google Workspace — autentique a los usuarios y comunique esa autenticación a un Proveedor de Servicio (SP) — en este caso, LemonFlow.
Beneficios:
Los usuarios inician sesión con sus credenciales corporativas existentes
No necesitan recordar una contraseña adicional para LemonFlow
Se centraliza el control de acceso desde el directorio corporativo
Si un usuario es deshabilitado en el directorio corporativo, pierde acceso a LemonFlow automáticamente.
Proveedores de Identidad Soportados
LemonFlow es compatible con cualquier proveedor de identidad que soporte SAML 2.0, incluyendo:
Proveedor | Estado |
Microsoft Entra ID (Azure AD) | Soportado |
Okta | Soportado |
Google Workspace | Soportado |
OneLogin | Soportado |
JumpCloud | Soportado |
Cualquier IdP compatible con SAML 2.0 | Soportado |
¿Cómo funciona?
Cuando un usuario hace clic en el botón de SSO en LemonFlow, el proceso es el siguiente:
LemonFlow redirige al usuario hacia su proveedor de identidad corporativo (Azure, Okta, Google, etc.)
El usuario inicia sesión con sus credenciales corporativas habituales
El proveedor de identidad valida las credenciales y envía una confirmación segura a LemonFlow
LemonFlow recibe la confirmación, crea o vincula la cuenta del usuario, y lo deja autenticado
Todo este proceso ocurre en segundos y de forma transparente para el usuario.
Antes de Comenzar
¿Qué necesita su equipo de TI?
Para configurar SAML SSO con LemonFlow, su equipo de TI necesitará:
Acceso de administrador al proveedor de identidad de su organización (Azure Entra ID, Okta, Google Workspace, etc.)
Decidir qué usuarios tendrán acceso a LemonFlow (todos o un grupo específico)
Coordinar con el equipo de LemonFlow, quien le proporcionará los datos necesarios para la configuración.
¿Qué proporciona LemonFlow?
El equipo de LemonFlow le entregará dos valores que son necesarios para la configuración en su IdP:
Dato | Descripción | Dónde se usa en su IdP |
Entity ID | Identificador único de LemonFlow como proveedor de servicio. Tiene el formato urn:amazon:cognito:sp:XXXXXXXXX | Se configura como “Identifier (Entity ID)” en Azure, “Audience URI (SP Entity ID)” en Okta, o “Entity ID” en Google |
Reply URL (ACS URL) | URL donde su IdP debe enviar la respuesta SAML después de autenticar al usuario | Se configura como “Reply URL” en Azure, “Single sign-on URL” en Okta, o “ACS URL” en Google |
Nota: Estos valores son específicos para su ambiente y serán proporcionados por el equipo de LemonFlow al momento de la configuración. No use valores de ejemplo.
Estos datos los puede encontrar en el panel de configuración SSO de LemonFlow:
¿Qué necesita LemonFlow de su parte?
Una vez que haya configurado la aplicación en su IdP, necesitará proporcionar al equipo de LemonFlow:
Dato | Descripción |
URL de metadatos SAML (recomendado) | URL que apunta al archivo XML de metadatos de su IdP. Con esta opción, LemonFlow actualiza los certificados automáticamente cada 6 horas, evitando interrupciones cuando los certificados se renueven. |
Archivo XML de metadatos (alternativa) | Si no puede proporcionar una URL, puede enviar el archivo XML directamente (máximo 2 MB). Importante: con esta opción, deberá enviar el archivo actualizado manualmente cada vez que los certificados de su IdP se renueven. |
Nombres de los atributos SAML | Los nombres exactos de los atributos/claims configurados para email, nombre y apellido (ver sección “Atributos SAML” más abajo). |
Recomendación: Siempre que sea posible, use la URL de metadatos en lugar del archivo XML. Esto evita interrupciones del servicio por certificados expirados.
Atributos SAML — Información Importante
Los atributos SAML son los datos del usuario que su IdP envía a LemonFlow en cada inicio de sesión. Es crítico que los nombres de estos atributos coincidan exactamente entre lo configurado en su IdP y lo configurado en LemonFlow.
Atributos requeridos y opcionales
Atributo | Obligatorio | Para qué se usa |
Sí | Identifica al usuario en LemonFlow. Debe ser único por usuario. | |
Nombre (Given Name) | No (recomendado) | Se usa para crear el perfil del usuario en LemonFlow. Si no se proporciona, se usa el email como nombre. |
Apellido (Family Name) | No (recomendado) | Se usa para completar el perfil del usuario. Si no se proporciona, queda vacío. |
Los nombres de atributos varían según el IdP
Cada proveedor de identidad usa un formato diferente para los nombres de los atributos. Esta es la causa más frecuente de problemas en la configuración:
Atributo | Microsoft Entra ID (formato URI) | Okta (nombre simple) | Google Workspace (nombre simple) |
Nombre | givenName | givenName | |
Apellido | familyName | familyName |
Muy importante: Cuando comunique los nombres de los atributos al equipo de LemonFlow, use los nombres exactos tal como aparecen en la configuración de su IdP. Un error de un solo carácter hará que el atributo no sea reconocido.
Nota sobre Azure Entra ID: Azure usa por defecto nombres de claim en formato URI largo (ej: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress). Estos se pueden personalizar, pero si no los modifica, proporcione a LemonFlow el URI completo.
Configuración por Proveedor de Identidad
Opción A: Microsoft Entra ID (Azure AD)
Microsoft Entra ID (anteriormente Azure AD) es el proveedor de identidad más utilizado en entornos corporativos.
Paso 1: Crear la Aplicación Empresarial
Inicie sesión en el Centro de Administración de Microsoft Entra con una cuenta de administrador
En el menú lateral, navegue a Identity → Applications → Enterprise applications
Haga clic en + New application
Seleccione Create your own application
Ingrese un nombre descriptivo, por ejemplo: LemonFlow SSO
Seleccione “Integrate any other application you don’t find in the gallery (Non-gallery)”
Haga clic en Create
Paso 2: Configurar SAML
En la aplicación recién creada, vaya a Single sign-on en el menú lateral
Seleccione SAML como método de inicio de sesión
En la sección Basic SAML Configuration, haga clic en Edit (ícono de lápiz)
Complete los campos con los valores proporcionados por LemonFlow:
Identifier (Entity ID): Pegue el Entity ID proporcionado por LemonFlow
Reply URL (Assertion Consumer Service URL): Pegue la Reply URL / ACS URL proporcionada por LemonFlow
Deje los demás campos vacíos (Sign on URL, Relay State, Logout Url)
Haga clic en Save
Paso 3: Verificar Atributos y Claims
Los atributos SAML definen qué información del usuario se envía a LemonFlow. Azure Entra ID configura algunos claims por defecto.
En la sección Attributes & Claims, haga clic en Edit
Verifique que los siguientes claims existan:
Claim (nombre) | Valor de origen | Obligatorio |
user.mail | Sí | |
user.givenname | Recomendado | |
user.surname | Recomendado |
Nota sobre el email: Si los usuarios de su organización no tienen el campo mail poblado en el directorio, puede usar user.userprincipalname como alternativa. Asegúrese de que el valor sea una dirección de email válida.
Anote los nombres exactos de los claims (columna izquierda) — deberá proporcionarlos al equipo de LemonFlow
Paso 4: Obtener los Metadatos
Regrese a la vista principal de configuración SAML
En la sección SAML Certificates, localice el campo App Federation Metadata Url
Copie esta URL — esta es la URL de metadatos que debe proporcionar al equipo de LemonFlow
Alternativamente, puede hacer clic en Download junto a “Federation Metadata XML” para descargar el archivo
Recomendación: Proporcione la URL (opción 3) en lugar del archivo descargado. De esta forma, cuando Azure renueve automáticamente los certificados, LemonFlow los actualizará sin intervención manual.
Paso 5: Asignar Usuarios
Paso 5: Asignar Usuarios
En el menú lateral de la aplicación, vaya a Users and groups
Haga clic en + Add user/group
Seleccione los usuarios o grupos que tendrán acceso a LemonFlow
Haga clic en Assign
Importante: Solo los usuarios asignados a esta aplicación podrán iniciar sesión en LemonFlow mediante SSO. Los usuarios no asignados recibirán un error al intentar autenticarse.
Resumen — Datos para enviar a LemonFlow
Después de completar estos pasos, envíe al equipo de LemonFlow:
La App Federation Metadata URL (o el archivo XML descargado)
Los nombres exactos de los claims configurados para email, nombre y apellido
Opción B: Okta
Paso 1: Crear la Aplicación
Inicie sesión en la Consola de Administración de Okta
Navegue a Applications → Applications
Haga clic en Create App Integration
Seleccione SAML 2.0 y haga clic en Next
En General Settings, ingrese:
App name: LemonFlow SSO
App logo: (opcional) puede subir el logo de LemonFlow
Haga clic en Next
Paso 2: Configurar SAML
En la sección SAML Settings, complete:
Single sign-on URL: Pegue la Reply URL (ACS URL) proporcionada por LemonFlow
Marque la casilla “Use this for Recipient URL and Destination URL”
Audience URI (SP Entity ID): Pegue el Entity ID proporcionado por LemonFlow
Name ID format: Seleccione
EmailAddressApplication username: Seleccione
Email
Paso 3: Configurar Atributos
En la sección Attribute Statements (debajo de SAML Settings), agregue los siguientes mapeos:
Name | Name format | Value | Obligatorio |
| Unspecified |
| Sí |
| Unspecified |
| Recomendado |
| Unspecified |
| Recomendado |
Nota: Los valores en la columna “Name” son los nombres que usted elige. Puede usar otros nombres, pero deberá comunicarlos exactamente al equipo de LemonFlow.
Paso 4: Finalizar y Obtener Metadatos
Haga clic en Next
En “Feedback”, seleccione la opción apropiada y haga clic en Finish
En la pestaña Sign On de la aplicación creada, localice la sección Metadata details
Copie la Metadata URL — proporciónela al equipo de LemonFlow
Paso 5: Asignar Usuarios
En la pestaña Assignments de la aplicación
Haga clic en Assign → Assign to People (o Assign to Groups)
Seleccione los usuarios o grupos y haga clic en Done
Resumen — Datos para enviar a LemonFlow
Después de completar estos pasos, envíe al equipo de LemonFlow:
La Metadata URL (o el archivo de metadatos descargado)
Los nombres exactos de los atributos configurados: email, givenName, familyName (o los nombres que haya elegido)
Opción C: Google Workspace
Paso 1: Crear la Aplicación SAML
Inicie sesión en la Consola de Administración de Google como Super Administrador
Navegue a Apps → Web and mobile apps
Haga clic en Add App → Add custom SAML app
Ingrese el nombre: LemonFlow SSO
Haga clic en Continue
Paso 2: Descargar Metadatos del IdP
En la pantalla de Google Identity Provider details:
>Haga clic en Download Metadata para obtener el archivo XML
Guarde este archivo — deberá enviarlo al equipo de LemonFlow
Haga clic en Continue
Nota: A diferencia de Azure y Okta, Google Workspace no proporciona una URL de metadatos pública. Deberá enviar el archivo XML y actualizarlo manualmente cuando los certificados se renueven.
Paso 3: Configurar el Service Provider
En Service Provider Details, complete:
ACS URL: Pegue la Reply URL proporcionada por LemonFlow
Entity ID: Pegue el Entity ID proporcionado por LemonFlow
Name ID format: Seleccione EMAIL
Name ID: Seleccione Basic Information > Primary email
Haga clic en Continue
Paso 4: Configurar Atributos
En Attribute mapping, haga clic en Add mapping y agregue:
Google Directory attribute | App attribute | Obligatorio |
Primary email |
| Sí |
First name |
| Recomendado |
Last name |
| Recomendado |
2. Haga clic en Finish
Paso 5: Activar la Aplicación
En la lista de aplicaciones, haga clic en LemonFlow SSO
Haga clic en User access
Seleccione ON for everyone (o seleccione las unidades organizativas específicas que tendrán acceso)
Haga clic en Save
Nota: Los cambios en Google Workspace pueden tardar hasta 24 horas en propagarse a todos los usuarios.
Resumen — Datos para enviar a LemonFlow
Después de completar estos pasos, envíe al equipo de LemonFlow:
El archivo XML de metadatos descargado en el paso 2
Los nombres exactos de los atributos: email, givenName, familyName (o los nombres que haya elegido)
Resumen de Datos a Intercambiar
Lo que LemonFlow le proporciona a usted
Dato | Para qué se usa en su IdP |
Entity ID | Se configura como “Identifier (Entity ID)” en Azure, “Audience URI” en Okta, o “Entity ID” en Google |
Reply URL (ACS URL) | Se configura como “Reply URL” en Azure, “Single sign-on URL” en Okta, o “ACS URL” en Google |
Lo que usted proporciona a LemonFlow
Dato | Cómo obtenerlo |
URL de metadatos SAML (preferido) | Desde la configuración SAML de la aplicación en su IdP (Azure y Okta la proporcionan; Google requiere archivo) |
Archivo XML de metadatos (alternativa) | Descargándolo desde su IdP |
Nombres de los atributos SAML | Los nombres exactos de los claims/attributes que configuró para email, nombre y apellido en su IdP |
Validación de la Integración
Una vez que ambos lados estén configurados, siga estos pasos para verificar que la integración funciona correctamente.
Paso 1: Confirmar con LemonFlow
Confirme con el equipo de LemonFlow que:
Recibieron los metadatos y los nombres de atributos
El proveedor SAML fue creado en LemonFlow
El SSO está habilitado para su ambiente
Paso 2: Probar el Inicio de Sesión
Abra la página de inicio de sesión de LemonFlow de su ambiente
Debería ver un botón “Inicia sesión con SAML v2” (o su equivalente traducido)
Haga clic en el botón SAML v2
Será redirigido a la página de inicio de sesión de su organización (Microsoft, Google, Okta, etc.)
Inicie sesión con sus credenciales corporativas
Tras autenticarse correctamente, será redirigido automáticamente a LemonFlow, ya autenticado
Nota: Si su organización tiene configurado inicio de sesión automático (por ejemplo, si ya está autenticado en su navegador con su cuenta corporativa), es posible que el paso 5 ocurra automáticamente sin solicitar credenciales.
Paso 3: Verificar los Datos del Usuario
Una vez dentro de LemonFlow, verifique que:
Su email aparece correctamente en su perfil
Su nombre y apellido se muestran correctamente (si configuró estos atributos)
Sobre el rol del usuario:
Los usuarios que inician sesión por primera vez mediante SSO se crean automáticamente con el rol de Solicitante
Si el usuario ya existía en LemonFlow (por ejemplo, fue creado manualmente), conserva su rol actual — el SSO no modifica el rol de usuarios existentes
Si necesita un rol diferente, un administrador de LemonFlow puede modificarlo
Paso 4: Probar con un Usuario No Autorizado (opcional)
Para verificar que la restricción de acceso funciona:
Intente iniciar sesión con un usuario que no esté asignado a la aplicación en su IdP
Debería recibir un error de acceso denegado desde su IdP (no desde LemonFlow)
Checklist de Validación
El botón de SSO aparece en la página de login de LemonFlow
Al hacer clic, redirige correctamente al IdP de su organización
Después de autenticarse en el IdP, regresa a LemonFlow autenticado
El email del usuario es correcto
El nombre y apellido del usuario son correctos (si configuró estos atributos)
El usuario fue creado con rol Solicitante (si es nuevo) o conserva su rol existente
Usuarios no asignados en el IdP no pueden acceder
Preguntas Frecuentes (FAQ)
¿Se pueden usar SSO y contraseña al mismo tiempo?
Sí. LemonFlow permite tener ambos métodos de autenticación activos simultáneamente. Los usuarios verán tanto el botón SAML como el formulario de email/contraseña en la página de login. Esto es útil durante la transición a SSO o para usuarios externos que no están en su directorio corporativo. También es posible desactivar el inicio de sesión por contraseña y dejar solo SSO.
¿Qué pasa cuando un usuario inicia sesión por primera vez con SSO?
El usuario se crea automáticamente en LemonFlow con el rol de Solicitante. Su email, nombre y apellido se toman de los atributos SAML configurados. Un administrador de LemonFlow puede cambiar el rol después si es necesario.
¿Qué pasa si el usuario ya existe en LemonFlow?
Si el email del usuario SSO coincide con un usuario existente en LemonFlow, la cuenta se vincula automáticamente. El usuario conserva su rol y datos existentes — el SSO no sobreescribe la información de usuarios que ya estaban en el sistema.
¿Qué pasa si desactivo un usuario en mi directorio corporativo?
Si el usuario es eliminado o deshabilitado en su IdP (Azure, Okta, Google), no podrá iniciar sesión en LemonFlow mediante SSO. Su cuenta en LemonFlow permanece intacta, pero no podrá acceder sin autenticarse primero en el IdP.
¿Puedo restringir qué usuarios de mi organización acceden a LemonFlow?
Sí. Desde su IdP, puede asignar la aplicación de LemonFlow solo a usuarios o grupos específicos. Solo los usuarios asignados podrán iniciar sesión mediante SSO.
¿Qué pasa si mis certificados SAML expiran?
Si proporcionó una URL de metadatos: LemonFlow actualiza los certificados automáticamente cada 6 horas. No se requiere acción de su parte.
Si proporcionó un archivo XML: deberá enviar el archivo actualizado al equipo de LemonFlow cuando los certificados se renueven en su IdP. Si no lo hace, los usuarios no podrán iniciar sesión mediante SSO hasta que se actualice.
¿Cuántos proveedores SAML puedo configurar por ambiente?
Actualmente, LemonFlow soporta un proveedor SAML por ambiente. Si su organización usa múltiples proveedores de identidad, contacte al equipo de LemonFlow para evaluar opciones.
¿Qué navegadores son compatibles?
SSO funciona en todos los navegadores modernos: Chrome, Firefox, Safari y Edge.
¿Necesito instalar algún software adicional?
No. SAML SSO funciona completamente a través del navegador web. No se requiere software adicional ni extensiones.
Solución de Problemas
“El botón SAML no aparece en la página de login”
Confirme con el equipo de LemonFlow que el SSO está habilitado para su ambiente
Puede tomar unos minutos después de la activación para que aparezca — recargue la página
“Error al redirigir al IdP” o “página no encontrada después del clic”
Verifique que el Entity ID y la ACS URL están correctamente copiados en su IdP (sin espacios extra al inicio o final)
En Azure: asegúrese de que la aplicación empresarial está en estado Enabled
En Okta: asegúrese de que la aplicación está en estado Active
En Google: asegúrese de que la aplicación está ON para los usuarios correspondientes
“El usuario se autentica en el IdP pero recibe error en LemonFlow”
Causa más común: El atributo de email no está correctamente mapeado. Verifique que:
El nombre del atributo en su IdP coincide exactamente con lo configurado en LemonFlow
En Azure Entra ID: recuerde que los claims usan formato URI largo (ej: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)
El atributo contiene una dirección de email válida (no un ID interno o nombre de usuario sin dominio)
Otra causa: Si la creación automática de usuarios está desactivada, el usuario debe existir previamente en LemonFlow con el mismo email
“Los datos del usuario (nombre/apellido) aparecen vacíos o incorrectos”
Revise la configuración de atributos SAML en su IdP
Confirme que los nombres de los atributos de nombre y apellido fueron comunicados correctamente al equipo de LemonFlow
En Azure: verifique que los campos user.givenname y user.surname están poblados en el directorio para ese usuario
“El email del usuario SSO no coincide con su email esperado”
En Azure Entra ID: verifique si está usando user.mail o user.userprincipalname. El UPN puede tener un formato diferente al email del usuario (ej: usuario@empresa.onmicrosoft.com vs usuario@empresa.com)
Asegúrese de usar el atributo que contenga la dirección de email real del usuario
“Los certificados expiraron y los usuarios no pueden entrar”
Si usa URL de metadatos: contacte al equipo de LemonFlow para verificar que la URL sigue siendo accesible
Si usa archivo XML: descargue el nuevo archivo de metadatos desde su IdP y envíelo al equipo de LemonFlow lo antes posible
¿Necesita ayuda adicional?
Contacte al equipo de LemonFlow para soporte en la configuración de su integración SAML.
