No puedo iniciar sesión con SSO
VaultPAM admite Single Sign-On (SSO) mediante OpenID Connect (OIDC). Cuando falla el inicio de sesión SSO, la causa raíz es casi siempre una de cinco categorías: configuración incorrecta de OIDC, desviación de reloj entre VaultPAM e IdP, el usuario no aprovisionado en el Proveedor de Identidad, un URI de redirección incorrecto o una configuración de área Keycloak. Los administradores deben trabajar a través de estos en orden — la configuración incorrecta de OIDC es con mucho la causa más común.
Síntomas
- El botón SSO en la página de inicio de sesión redirige al Proveedor de Identidad pero luego devuelve un error.
- Mensajes de error que puede ver:
invalid_clientounauthorized_clientredirect_uri_mismatchaccess_deniedinvalid_grant: Session not activeUser not foundoAccount is not fully set up- Una página genérica "Something went wrong" después de una redirección desde el IdP
- El usuario puede autenticarse en el lado del IdP pero VaultPAM no lo inicia sesión.
Causas
1. Configuración incorrecta de OIDC
El Client ID, Client Secret o URL de descubrimiento OIDC configurados en VaultPAM no coinciden con lo que el Proveedor de Identidad tiene registrado.
Verificar: En Organization → Security → SSO Settings, verifique:
- OIDC Issuer URL se resuelve y devuelve un documento válido
.well-known/openid-configuration. - Client ID coincide exactamente con lo registrado en la aplicación IdP.
- Client Secret no ha sido rotado en el lado IdP sin actualizar VaultPAM.
Solución: Actualice el campo no coincidente y guarde. Pruebe intentando iniciar sesión con SSO nuevamente.
2. Desviación de reloj entre VaultPAM e IdP
Los tokens OIDC contienen afirmaciones iat (issued-at) y exp (expiry). Si los relojes del servidor VaultPAM o del IdP están más de ±60 segundos separados, la validación del token falla con un error invalid_grant o "Session not active".
Verificar: En el host VaultPAM (o nodo Kubernetes), ejecute:
date -u
Compárelo con el reloj del IdP (visible en la afirmación iat de un JWT decodificado, o verificado a través de la consola de administración del IdP). La diferencia debe ser inferior a 60 segundos.
Solución: Asegúrese de que ambos sistemas sincronicen sus relojes contra una fuente NTP. En Linux: timedatectl set-ntp true. En Kubernetes, el reloj del nodo se hereda del host de la VM — asegúrese de que la capa del hipervisor tenga NTP configurado.
3. Usuario no aprovisionado en el IdP
La cuenta del usuario existe en VaultPAM pero no ha sido creada o activada en el Proveedor de Identidad, o el correo electrónico de la cuenta IdP no coincide con el correo electrónico de la cuenta VaultPAM.
Verificar: En la consola de administración del IdP, confirme que la cuenta del usuario existe y está activa. Verifique que la dirección de correo electrónico coincida exactamente (en algunos IdPs se aplica coincidencia sensible a mayúsculas).
Solución: Cree o active la cuenta del usuario en el IdP, o actualice la dirección de correo electrónico en cualquiera de los sistemas para garantizar que coincidan. Si su organización utiliza aprovisionamiento SCIM, confirme que el conector de aprovisionamiento está activo y que el usuario pertenece al grupo aprovisionado.
4. URI de redirección incorrecto
El URI de redirección que VaultPAM envía durante el flujo del Código de Autorización OIDC debe coincidir exactamente con uno de los URI de redirección permitidos registrados en la aplicación IdP. Incluso una diferencia de barra diagonal final causa un error redirect_uri_mismatch.
Verificar: En Organization → Security → SSO Settings, anote la Callback URL que se muestra. Abra el registro de la aplicación IdP y verifique que este URI exacto esté listado en los URI de redirección permitidos.
Solución: Agregue la URL de devolución de llamada exacta a la lista de URI de redirección permitidos de la aplicación IdP y guarde.
5. Configuración del área Keycloak
Cuando VaultPAM utiliza una instancia Keycloak incrustada o autohospedada, los ajustes de área configurados incorrectamente pueden impedir el inicio de sesión incluso cuando el cliente OIDC está correctamente configurado.
Problemas comunes específicos de Keycloak:
- El área está deshabilitada o en modo de solo lectura.
- El Access Type del cliente está configurado como
publiccuando VaultPAM esperaconfidential. - Los alcances requeridos
openid,emailoprofileno están mapeados en el cliente. - Valid Redirect URIs en el cliente Keycloak no incluye la URL de devolución de llamada de VaultPAM.
Verificar: Abra la consola de administración de Keycloak, navegue a Realms → [realm name] → Clients → [VaultPAM client] y verifique:
- El cliente está Enabled.
- Access Type es
confidential. - Valid Redirect URIs incluye la URL de devolución de llamada de VaultPAM.
- Client Scopes incluye
openid,emailyprofile.
Solución: Corrija los ajustes del cliente Keycloak y guarde. No se requiere reinicio para la mayoría de los cambios de configuración de Keycloak.
Pasos de resolución
- Abra Organization → Security → SSO Settings y verifique que la URL de Emisor OIDC, Client ID y Client Secret coincidan exactamente con el registro de la aplicación IdP.
- Compruebe los relojes del servidor en el host VaultPAM e IdP. Si la desviación supera 30 segundos, configure NTP en ambos sistemas.
- En la consola de administración del IdP, confirme que la cuenta del usuario existe, está activa y el correo electrónico coincide con el correo electrónico de la cuenta VaultPAM.
- Confirme que la Callback URL mostrada en Organization → Security → SSO Settings esté listada como un URI de redirección permitido en la aplicación IdP.
- Si utiliza Keycloak, abra la consola de administración de Keycloak y verifique que el cliente está habilitado, el tipo de acceso es
confidential, los URI de redirección válidos incluyen la URL de devolución de llamada y los alcances requeridos están mapeados. - Después de cualquier cambio, borre las cookies del navegador y vuelva a intentar el inicio de sesión SSO desde una ventana privada/incógnito para evitar el estado de sesión almacenado en caché.
Ruta de escalación
Si ha trabajado a través de las cinco causas y el inicio de sesión SSO sigue fallando:
- Capture la URL completa que se muestra en la barra de direcciones del navegador en el punto de fallo (contiene el código de error y la descripción como parámetros de consulta).
- Recopile el registro de eventos de Keycloak o IdP para el intento de autenticación fallido.
- Anote el mensaje de error exacto visible en pantalla.
- Abra un ticket de soporte con: su tipo y versión de IdP, la URL de error, el fragmento de registro de eventos y confirmación de qué pasos ya ha completado.