FAQ de seguridad SSO
Errores OIDC, dominios y soporte.
Errores del IdP en la barra de direcciones
| Síntoma | Causa probable | Qué revisar |
|---|---|---|
redirect_uri_mismatch | La redirect no coincide literalmente con la registrada. | Misma URL en IdP y Capydox; http vs https; puerto; path /api/auth/sso/oidc/callback; sin barra final extra si el IdP es estricto. Ver checklist SSO. |
invalid_client | Client ID/secret incorrectos o app mal configurada. | Credenciales en Capydox; tipo de aplicación (web con servidor). |
access_denied | Usuario canceló o política del IdP. | Condiciones de acceso, MFA, grupo permitido en Entra/Okta, etc. |
Si el error aparece después del callback (pantalla de login Capydox con mensaje), anota el código BKE si se muestra.
Códigos BKE útiles (backend / pantalla)
| Código | Significado resumido | Acción |
|---|---|---|
| BKE000069 | No se pudo contactar con el issuer (discovery OIDC). | Revisa la URL del Issuer en la org; debe ser la del IdP sin typos. |
| BKE000070 | Falta o no es usable el Client Secret. | Vuelve a pegar el secret en la organización y guarda. |
| BKE000071 | El IdP rechazó el intercambio code → tokens (p. ej. 401). | Secret correcto; app confidencial / web; redirect URI idéntica; algunos IdP exigen Basic en el token endpoint (el backend ya reintenta en ciertos casos). |
Detalle en la guía principal: SSO OIDC.
El proveedor OIDC devuelve error (genérico)
Comprueba issuer, redirect URI y credenciales. Empieza por la checklist y la tabla de redirect_uri_mismatch arriba.
¿Puedo forzar solo SSO?
Sí, a nivel de organización: cuando SSO está habilitado y configurado como obligatorio, los miembros deben autenticarse por el proveedor.
Usuarios que ya existían
El sistema vincula por email (y claims permitidos). Puede aplicarse un alta mínima cuando el usuario entra por primera vez vía OIDC.
"Dominio no permitido"
Tu correo no coincide con los dominios configurados en la organización. Pide al administrador que añada el dominio o que use una cuenta corporativa válida. Si hay varias organizaciones con el mismo dominio, puede mostrarse error de ambigüedad: contacta soporte o usa login por slug.
Token expirado o sesión inválida
El backend valida expiración y state/nonce para evitar replays. Vuelve a iniciar sesión desde la pestaña SSO.
Soporte
Indica el slug de organización, la hora aproximada del error y, si puedes, el código BKE o mensaje en pantalla.