API para socios
Referencia de API

Inicio de sesión único para minoristas

La integración SSO de Epsilon Retail Media permite la conexión directa al IDP de un minorista mediante SAML 2.0. Podrá ofrecer a los usuarios minoristas la posibilidad de iniciar sesión mediante SSO, autenticados a través de su IDP.

📘

Solo para usuarios minoristas

Como plataforma multiusuario que permite a los anunciantes acceder a varias plataformas de minoristas, nuestra capacidad es la más adecuada para los minoristas que desean implementar el SSO para el personal interno, no para los anunciantes.

No habilitamos la autoridad delegada del ciclo de vida de un usuario anunciante, ya que esto puede afectar a otras plataformas de minoristas.

Alcance de la capacidad

Epsilon Retail Media permite la autenticación de su IDP si el usuario tiene acceso a su espacio de nombres. Esto se configura para cada espacio de nombres. Tenga en cuenta que la capacidad de SSO en la plataforma permite la autenticación, no la autorización. La gestión del acceso del equipo se sigue configurando mediante programación dentro de la plataforma.

📘

Acceso de los anunciantes

Dado que nuestra plataforma es una plataforma multiusuario conectada a escala mundial, los anunciantes seguirán iniciando sesión directamente desde el módulo de inicio de sesión. Los anunciantes seguirán teniendo que recibir una invitación a su plataforma para obtener acceso, incluso si pueden acceder a otras plataformas de minoristas.

Información clave

  • Esta función es ideal para los minoristas que desean gestionar los ciclos de vida de los usuarios internos; por ejemplo, para la incorporación segura de los miembros del personal interno.
  • El acceso de equipos y usuarios debe gestionarse mediante programación dentro de la plataforma y no es posible a través de la integración de SSO.
  • Toda la asistencia y la gestión de usuarios de IDP correrán a cargo del minorista.
  • Los ciclos de vida de los usuarios anunciantes deben permanecer dentro de la plataforma de Epsilon. No proporcionamos autoridad delegada a los usuarios anunciantes externos, ya que esto podría afectar al acceso del anunciante a otras plataformas.

Flujos de usuarios

Los flujos son distintos tanto para los usuarios existentes como para los nuevos usuarios de la plataforma.

Flujo de usuarios existente

Si está implementando el SSO tras el lanzamiento, la mayoría de los usuarios ya tendrán acceso a los equipos y dispondrán de cuentas configuradas en Epsilon. Por lo tanto, el flujo será más simple.


Flujo de usuario nuevo

Para los nuevos usuarios, deberá invitar a cada uno de ellos a los equipos correspondientes. Estos deberán completar el proceso de registro y luego podrán autenticarse mediante su IDP de SSO para acceder en el futuro.

Si es necesario, también podrán iniciar sesión directamente mediante su IDP de SSO y crearemos un usuario justo a tiempo una vez aprobada la autenticación. Seguirá siendo necesario invitar manualmente a los usuarios a los equipos pertinentes mediante programación. Nuestra recomendación es invitar a los usuarios con antelación para asegurarse de que el acceso a sus equipos esté configurado.


Experiencia de usuario

En los portales con SSO de minorista integrado, el campo de contraseña se elimina de la pantalla inicial de inicio de sesión. Si un usuario introduce un correo electrónico que esté conectado a su IDP bajo el dominio de su minorista, se le redirigirá automáticamente a su IDP para la autenticación.

La función de recuperación de contraseña también se delega a la entrada de contraseña en el siguiente paso, ya que usted es responsable de cualquier gestión de contraseñas relacionada con el SSO.

Requisitos de integración

Integración de un IDP

Para integrar, Epsilon requiere lo siguiente:

De su IDP

  • ID de la entidad
  • URL del SSO
  • Certificado de la firma IDP

También requerimos lo siguiente:

  • Enlace de ayuda para el inicio de sesión personalizado: este enlace se mostrará a todos los usuarios, en el cual deberá incluir una explicación sobre el proceso necesario para iniciar sesión.
  • Mensaje personalizado: mensaje personalizado que se muestra en relación con el enlace personalizado.
  • Etiqueta personalizada del enlace: etiqueta para el enlace de ayuda para el inicio de sesión personalizado.
  • Nombre del sitio web para restablecimiento de contraseña: nombre del sitio web mostrado a los usuarios
  • URL de contraseña caducada: donde su IDP reenviará los enlaces de caducidad de la contraseña.

Epsilon también configurará en el lado de Epsilon la siguiente información que se compartirá con usted:

  • • ID de la entidad (URI de audiencia)
  • URL base
  • URL de ACS

Las proporcionará el equipo de Epsilon.

Asignación de atributos

Los atributos de la configuración de Epsilon son los siguientes:

  • correo electrónico principal
  • Nombre
  • Apellidos
  • Correo electrónico

Es posible que tenga que configurar las asignaciones en su IDP en consecuencia.

Características no admitidas de SSO

  • Gestión de usuarios: Epsilon no admite la gestión automática de usuarios para añadir, cambiar o eliminar usuarios. Este proceso requiere actualizaciones manuales tanto en el proveedor de identidad (IDP) como en Epsilon.
  • Asistencia para cuentas: cuando los minoristas cambien al inicio de sesión único (SSO), Epsilon no gestionará la configuración ni la asistencia para las cuentas de usuario. Esto significa que Epsilon no permitirá el inicio de sesión directo ni el restablecimiento de contraseñas. Todos los usuarios de SSO deberán ponerse en contacto con el minorista si necesitan asistencia con la cuenta.
  • Compatibilidad con OAuth: Epsilon no admite la integración mediante autenticación OAuth para servicios como Microsoft Azure Active Directory B2C. La integración SSO solo está disponible mediante autenticación SAML.

SSO de plataforma propiedad del minorista: solución alternativa para la cuenta del anunciante

Si usted es un minorista que integra las funciones de nuestra API de socios y proporciona a los anunciantes su propio front-end, le ofrecemos una solución que le permitirá gestionar el ciclo de vida de los anunciantes en sus propios portales.

El objetivo de esta funcionalidad también es permitir que su plataforma propia se autentique automáticamente con la plataforma de Epsilon dentro de su espacio de nombres propio.

Descripción general de alto nivel

Esta solución alternativa implica aprovechar las capacidades de SSO de los minoristas existentes, lo que le permite crear cuentas de anunciantes bajo su dominio propio.

  • El minorista creará la cuenta de usuario dentro de su servicio de proveedor de identidad (IDP). Al utilizar el aprovisionamiento sincronizado (JIT) de Epsilon OKTA, se aprovisionará automáticamente la cuenta de usuario en la plataforma de Epsilon.
  • El minorista invitará al usuario al equipo de proveedores o minoristas necesario mediante la interfaz de usuario de gestión de equipos de Epsilon. (En caso de no utilizarse, el usuario se encontrará con una interfaz en blanco en Epsilon).
  • La cuenta de usuario debe tener un nombre de dominio único especificado por el minorista. Es posible configurar múltiples nombres de dominio dentro de OKTA, como [email protected], [email protected], [email protected]

Desaprovisionamiento

La desactivación de usuarios se llevará a cabo mediante el siguiente proceso:

  • El minorista desactivará la cuenta de usuario en el IDP.
  • El usuario no podrá autenticarse/iniciar sesión en la plataforma de Epsilon con el correo electrónico de usuario propiedad del minorista.
    • El usuario podrá seguir autenticándose o iniciando sesión en otras plataformas de minoristas con su correo electrónico habitual de anunciante.
  • La cuenta de usuario seguirá existiendo dentro de Epsilon; sin embargo, tras 90 días de inactividad, el proceso de gestión del ciclo de vida desactivará su cuenta.
  • Si la cuenta de usuario se reactiva dentro del IDP, la cuenta de usuario correspondiente dentro de Epsilon también se activará.
  • Si el minorista requiere que el usuario se elimine completamente de Epsilon, deberá eliminarse manualmente de los equipos a los que se le invitó dentro de la plataforma.

Limitaciones

  • Esto no conserva el ciclo de vida de la cuenta del anunciante real, sino que crea un usuario duplicado e independiente para el anunciante bajo su dominio de minorista, lo cual genera una posible confusión para el anunciante.
    • [email protected] sigue siendo un usuario en la plataforma de Epsilon, con acceso a todos los equipos a través de múltiples minoristas.
      [email protected] está gestionado por usted, el minorista, bajo su dominio propio.
  • Esta solución alternativa mantiene las mismas limitaciones descritas en la sección Funcionalidad de SSO no admitida, en la que el minorista deberá gestionar la configuración de la cuenta, la asistencia y el acceso de los usuarios o equipos.
  • Toda la asistencia y la gestión de usuarios correrán a cargo del minorista.

Preguntas frecuentes

  • ¿Qué sucede si no invito a un usuario a sus equipos, pero este inicia sesión mediante el SSO?
    • Si el usuario no existe, pero inicia sesión mediante el SSO, se encontrará con una pantalla en blanco hasta que usted lo haya invitado a los equipos.
  • ¿Existe alguna forma de gestionar el acceso de equipos/usuarios mediante SSO o API?
    • No, esto no es posible actualmente y debe gestionarse mediante programación a través de la interfaz de usuario.