¿GLPI soporta login con Azure AD?

Sí. Mediante el protocolo SAML, GLPI puede autenticar usuarios directamente a través de Microsoft Entra ID (antes Azure AD), incluyendo aprovisionamiento automático (JIT) en la primera autenticación.

¿Necesito un plugin para SSO en GLPI?

En GLPI 10, se requiere el plugin PHP SAML. En GLPI 11, consulta la documentación oficial para soporte nativo o usa el plugin compatible.

¿Funciona el SSO con MFA (autenticación multifactor)?

Sí. El MFA es gestionado por Azure AD. GLPI solo recibe la confirmación de autenticación exitosa, independientemente de los factores utilizados.

¿Se crean los usuarios automáticamente en GLPI?

Sí, mediante aprovisionamiento Just-in-Time (JIT). En la primera autenticación, GLPI crea el usuario automáticamente con los datos de Azure AD (nombre, email, grupos).

Login SSO en GLPI con Azure AD (Entra ID): Guía Completa

Single Sign-On elimina la necesidad de contraseñas separadas para GLPI. Tus usuarios inician sesión con su cuenta corporativa de Microsoft 365, con MFA y todas las políticas de seguridad de Azure AD.

Por qué SSO para GLPI

Elimina contraseñas locales en GLPI (menor superficie de ataque)
Los usuarios inician sesión con las mismas credenciales de Microsoft 365
MFA gestionado centralmente por Azure AD
Aprovisionamiento automático: nuevo empleado en AD = acceso a GLPI
Baja centralizada: desactivar en AD = sin acceso a GLPI

Requisitos previos

GLPI 10.0.14+ o GLPI 11
Tenant Microsoft Entra ID (Azure AD) con permiso de administrador
GLPI accesible por HTTPS (SSL obligatorio para SAML)
Plugin PHP SAML instalado en GLPI (para GLPI 10)

1. Configurar Azure AD

Crear la aplicación empresarial

En el portal de Azure, accede a Entra ID > Enterprise Applications > New Application
Haz clic en "Create your own application"
Nombre: "GLPI" > Integrate any other application (Non-gallery)
En Single sign-on, selecciona "SAML"

Configurar URLs SAML

Identifier (Entity ID): https://glpi.suaempresa.com/
Reply URL (ACS): https://glpi.suaempresa.com/front/acs.php
Sign-on URL: https://glpi.suaempresa.com/

Atributos y Claims

Configura los siguientes claims SAML:

name: user.displayname
emailaddress: user.mail
firstname: user.givenname
surname: user.surname

Descargar el certificado

En la sección "SAML Signing Certificate", descarga el certificado Base64 y el Federation Metadata XML.

2. Configurar GLPI

Instalar el plugin PHP SAML

Descarga el plugin compatible con tu versión de GLPI e instálalo en /var/www/glpi/plugins/phpsaml/.

Configurar el plugin

En Configuración > Plugins > PHP SAML, introduce:

IdP Entity ID: valor de Azure (Login URL)
IdP SSO URL: Login URL de Azure
IdP Certificate: contenido del certificado Base64 descargado
JIT Provisioning: Habilitado

3. Asignar usuarios y grupos

En Azure AD, en Enterprise Applications > GLPI > Users and Groups, asigna los usuarios o grupos que tendrán acceso a GLPI.

4. Probar

Accede a https://glpi.suaempresa.com. El botón de inicio de sesión SSO debe aparecer. Al hacer clic, el usuario es redirigido al login de Microsoft 365.

Solución de problemas

Error de certificado: verifica que el certificado en GLPI coincida con el de Azure
Usuario no creado: verifica que JIT esté habilitado y los claims estén correctamente configurados
Bucle de redirección: verifica que la Reply URL sea correcta y no tenga barra final extra

Siguiente paso

Con SSO configurado, avanza con perfiles y permisos para controlar qué puede hacer cada grupo de AD en GLPI.

Nextool Solutions

Por qué SSO para GLPI

Requisitos previos