Flujos de Autenticación y Controles de Administración

OmniCRM proporciona características de autenticación completas que incluyen inicio de sesión, autenticación de dos factores (2FA), gestión de contraseñas y controles de administración para gestionar la seguridad del usuario. Esta guía se centra en los flujos de trabajo de la interfaz de usuario tanto para usuarios finales como para administradores.

Véase también: Portal de Autocuidado para el inicio de sesión de clientes y acceso al portal, RBAC para permisos del personal.

Descripción General

La autenticación de OmniCRM incluye:

• Inicio de Sesión con Correo Electrónico/Contraseña - Autenticación estándar basada en credenciales
• Autenticación de Dos Factores (2FA) - Segundo factor basado en TOTP opcional
• Recordarme - Sesión extendida de hasta 30 días
• Restablecimiento de Contraseña - Recuperación de contraseña de autoservicio a través de correo electrónico
• Controles de Administración - Herramientas administrativas para restablecer 2FA y contraseñas
• Inicios de Sesión Sociales - Integración opcional con Google, Apple, Facebook (si está habilitada)
• Navegación Basada en Roles - Enrutamiento automático basado en roles de usuario

Flujo de Inicio de Sesión

La página de inicio de sesión es el punto de entrada para todos los usuarios (personal y clientes).

Inicio de Sesión Estándar

{.align-center width="800px"}

Proceso de Inicio de Sesión:

1. Ingrese dirección de correo electrónico (correo del personal o del cliente)
2. Ingrese contraseña
3. Opcional: Marque "Recordarme por 30 días" para una sesión extendida
4. Haga clic en "Iniciar sesión"

Qué Sucede Después:

• Sin 2FA: Usuario inicia sesión de inmediato, navegado según el rol:
  • Clientes → Portal de Autocuidado (/self-care)
  • Personal/Administradores → Tablero de clientes (/customers)
  • Modo CBC → Interfaz de Difusión Celular (/create-cell-broadcast)
• Con 2FA Habilitado: Redirigido a la pantalla de verificación de 2FA

Función Recordarme:

Cuando está habilitada, la sesión persiste durante 30 días en lugar de expirar cuando se cierra el navegador. Utiliza cookies seguras solo HTTP.

Mostrar/Ocultar Contraseña:

Haga clic en el icono de ojo (👁) para alternar la visibilidad de la contraseña.

Inicio de Sesión con 2FA

Si el usuario tiene 2FA habilitado, después de ingresar correo/contraseña, aparece la pantalla de desafío de 2FA:

{.align-center width="800px"}

Usando Código de Autenticador:

1. Abra la aplicación de autenticador (Google Authenticator, Authy, etc.)
2. Encuentre la entrada de OmniCRM
3. Ingrese el código de 6 dígitos
4. El código se envía automáticamente cuando se ingresan los 6 dígitos
5. Si es válido, el usuario inicia sesión y es dirigido al tablero correspondiente

Usando Código de Recuperación:

Si la aplicación de autenticador no está disponible:

1. Haga clic en la pestaña "Código de Recuperación"
2. Ingrese uno de sus códigos de respaldo guardados (por ejemplo, 3fa5b9c2)
3. Haga clic en "Verificar"
4. El código se consume (solo se puede usar una vez)

Cancelar:

Haga clic en "Cancelar" para volver a la página de inicio de sesión.

Inicios de Sesión Sociales (Opcional)

Si está habilitado (REACT_APP_ALLOW_SOCIAL_LOGINS=yes), aparecen botones de inicio de sesión social:

[🔵 Iniciar sesión con Google] [⚫ Iniciar sesión con Apple] [🔵 Iniciar sesión con Facebook]

Haga clic en cualquier botón para autenticarse a través de ese proveedor. Actualmente muestra un mensaje de "próximamente" (implementación de inicio de sesión social en progreso).

Enlace de Olvidé mi Contraseña

Haga clic en el enlace "¿Olvidó su contraseña?" para iniciar el flujo de restablecimiento de contraseña.

Configuración de Autenticación de Dos Factores (2FA)

Los usuarios pueden habilitar 2FA para una mayor seguridad de la cuenta. 2FA utiliza TOTP (Contraseña de un Solo Uso Basada en Tiempo) compatible con aplicaciones de autenticador estándar.

Accediendo a la Configuración de 2FA

Desde el perfil o la configuración del usuario:

Nota para Clientes:

Los usuarios con rol de cliente no ven los mensajes de 2FA. 2FA generalmente se requiere solo para el personal y los usuarios administrativos.

Paso 1: Confirmar Contraseña

Contraseña Actual

[Cancelar] [Continuar]

Ingrese su contraseña actual para continuar. Esto verifica su identidad antes de habilitar 2FA.

Paso 2: Escanear Código QR

[Cancelar] [Confirmar]

Instrucciones de Configuración:

1. Descargar Aplicación de Autenticador (si no tiene una):
   • iOS: Apple App Store → "Google Authenticator"
   • Android: Google Play → "Google Authenticator"
   • Alternativas: Authy, Microsoft Authenticator, 1Password
2. Escanear Código QR:
   • Abra la aplicación de autenticador
   • Toque "+" o "Agregar cuenta"
   • Elija "Escanear código QR"
   • Apunte la cámara al código QR en la pantalla
   • La aplicación agrega la entrada "OmniCRM" con el código de 6 dígitos
3. Guardar Códigos de Respaldo:
   • CRÍTICO: Anote o copie estos 8 códigos
   • Almacene en un lugar seguro (gestor de contraseñas, caja fuerte, etc.)
   • Cada código es de un solo uso
   • Se utiliza si pierde acceso a la aplicación de autenticador
   • Haga clic en "Copiar Códigos" para copiar todos los códigos al portapapeles
4. Verificar Configuración:
   • Ingrese el código actual de 6 dígitos de la aplicación de autenticador
   • Haga clic en "Confirmar"
   • Si es válido, 2FA ahora está habilitado

Paso 3: 2FA Habilitado

Aparece un mensaje de éxito:

A partir de ahora, el inicio de sesión requiere tanto la contraseña como el código de 2FA.

Flujo de Restablecimiento de Contraseña (Autoservicio)

Los usuarios que olvidan su contraseña pueden restablecerla a través de correo electrónico.

Paso 1: Solicitar Enlace de Restablecimiento

Desde la página de inicio de sesión, haga clic en "¿Olvidó su contraseña?"

{.align-center width="800px"}

1. Ingrese dirección de correo electrónico
2. Haga clic en "Enviar Enlace de Restablecimiento"

Qué Sucede:

• El sistema verifica si el correo existe en la base de datos
• Si se encuentra, envía un correo electrónico de restablecimiento de contraseña a través de Mailjet
• El correo contiene un enlace de restablecimiento con tiempo limitado (típicamente 1 hora de expiración)
• Aparece un mensaje de éxito: "Las instrucciones de restablecimiento han sido enviadas a su correo electrónico"

Si No Se Encuentra el Correo:

Mensaje de error: "No se encontró ninguna cuenta con esa dirección de correo electrónico"

Paso 2: Revisar Correo Electrónico

El usuario recibe un correo con un asunto como:

Hola [Nombre],

Ha solicitado un restablecimiento de contraseña para su cuenta de OmniCRM.

Haga clic en el enlace a continuación para restablecer su contraseña: <https://yourcompany.com/reset-password/abc123token456>

Este enlace expira en 1 hora.

Si no solicitó esto, ignore este correo.

Haga clic en el enlace de restablecimiento para continuar.

Paso 3: Establecer Nueva Contraseña

El enlace de restablecimiento abre la página de creación de contraseña:

🔒 (icono de candado)

Contraseña

Confirmar Contraseña

[Restablecer Contraseña]

1. Ingrese nueva contraseña
2. Vuelva a ingresar en el campo Confirmar Contraseña
3. Haga clic en "Restablecer Contraseña"

Requisitos de Contraseña:

• Longitud mínima (típicamente 8+ caracteres)
• Las contraseñas deben coincidir

Éxito:

• Mensaje de éxito: "La contraseña ha sido restablecida con éxito"
• Redirigido automáticamente a la página de inicio de sesión
• El usuario ahora puede iniciar sesión con la nueva contraseña

Token Expirado/Inválido:

Si el enlace de restablecimiento está expirado o es inválido:

[Solicitar Nuevo Enlace de Restablecimiento]

Controles de Administración para la Gestión de Usuarios

Los administradores con permisos apropiados pueden gestionar la configuración de autenticación de usuarios desde la interfaz de Gestión de Usuarios.

Accediendo a la Gestión de Usuarios

Muestra una tabla de todos los usuarios con botones de acción.

Nombre Correo Teléfono Acciones John Smith <john@example.com> +44 123... ✏️ 🗑️ 🔑 🛡️ Jane Doe <jane@example.com> +44 456... ✏️ 🗑️ 🔑 Bob Wilson <bob@example.com> +44 789... ✏️ 🗑️ 🔑 🛡️ ✉️

Íconos de Acción:

• ✏️ Editar - Modificar detalles del usuario, roles, permisos
• 🗑️ Eliminar - Eliminar cuenta de usuario
• 🔑 Restablecer Contraseña - Generar contraseña temporal
• 🛡️ Restablecer 2FA - Deshabilitar 2FA para el usuario (solo se muestra si 2FA está habilitado)
• ✉️ Enviar Correo de Bienvenida - Reenviar correo de bienvenida (solo se muestra si el usuario nunca ha iniciado sesión)

Admin: Restablecer Contraseña de Usuario

Cuando un usuario olvida su contraseña y el administrador necesita ayudar:

Paso 1: Hacer clic en el Ícono de Restablecer Contraseña (🔑)

Aparece un modal de confirmación:

¿Está seguro de que desea restablecer la contraseña de:

Usuario: John Smith (<john@example.com>)

Se generará y mostrará una contraseña temporal. El usuario debe cambiar esta contraseña en el próximo inicio de sesión.

[Cancelar] [Restablecer Contraseña]

Paso 2: Confirmar Restablecimiento

Haga clic en "Restablecer Contraseña". El sistema genera una contraseña temporal segura.

Paso 3: Contraseña Temporal Mostrada

Contraseña temporal para John Smith:

[📋 Copiar Contraseña]

⚠️ IMPORTANTE: • Envíe esta contraseña al usuario a través de un canal seguro • No la envíe por correo electrónico o mensajería no segura • El usuario se verá obligado a cambiar la contraseña en el próximo inicio de sesión

[Cerrar]

Acción del Administrador:

• Copiar la contraseña temporal
• Llamar al usuario o comunicarse por un método seguro
• Proporcionar la contraseña temporal verbalmente
• Indicar al usuario que inicie sesión y cambie la contraseña

Experiencia del Usuario:

Cuando el usuario inicia sesión con la contraseña temporal:

1. El inicio de sesión tiene éxito
2. Redirigido inmediatamente a la pantalla "Cambiar Contraseña"
3. Debe establecer una nueva contraseña antes de acceder al sistema
4. No puede omitir el cambio de contraseña

Admin: Restablecer 2FA de Usuario

Cuando el usuario pierde acceso a la aplicación de autenticador y todos los códigos de respaldo:

Paso 1: Hacer clic en el Ícono de Restablecer 2FA (🛡️)

Solo aparece para usuarios con 2FA actualmente habilitado.

Aparece un modal de confirmación:

{.align-center width="600px"}

Paso 2: Confirmar Restablecimiento

Haga clic en "Restablecer 2FA"

Paso 3: Confirmación

Mensaje de éxito:

John Smith ahora puede iniciar sesión solo con su contraseña. Puede volver a habilitar 2FA desde su configuración de usuario.

Experiencia del Usuario:

• El usuario ahora puede iniciar sesión solo con la contraseña (no se requiere código 2FA)
• El ícono de escudo 2FA (🛡️) desaparece de la fila del usuario en la tabla de administración
• El usuario puede volver a habilitar 2FA voluntariamente desde su configuración

Nota de Seguridad Importante:

Antes de restablecer 2FA, el administrador debe:

1. Verificar la identidad del usuario a través de medios alternativos:
   • Verificación de identificación gubernamental
   • Preguntas de seguridad
   • Verificación de transacciones recientes
   • Verificación en persona (si corresponde)
2. Documentar el restablecimiento en las notas del cliente
3. Informar al usuario que vuelva a habilitar 2FA después de recuperar el acceso

Admin: Enviar Correo de Bienvenida

Para usuarios que no han recibido o han perdido su correo de bienvenida:

Cuando Está Disponible:

El ícono de avión de papel (✉️) solo aparece para usuarios que nunca han iniciado sesión (login_count = 0).

Haga clic en el Ícono de Enviar Correo de Bienvenida (✉️)

Enviar correo de bienvenida a:

Usuario: Bob Wilson (<bob@example.com>)

El correo incluirá: • Mensaje de bienvenida • Instrucciones de inicio de sesión • Enlace para establecer la contraseña inicial (si corresponde) • Información de contacto de soporte

[Cancelar] [Enviar Correo]

Haga clic en "Enviar Correo"

Mensaje de éxito:

Correo Enviado a través de Mailjet:

Utiliza la plantilla: api_crmCommunicationUserWelcome

Admin: Editar Usuario

Haga clic en Ícono de Editar (✏️) para modificar los detalles del usuario:

Nombre

Apellido

Correo Electrónico

Número de Teléfono

Roles ☑ admin ☐ customer_service_agent_1 ☐ customer

[Cancelar] [Guardar Cambios]

Campos Editables:

• Nombre, correo, teléfono
• Roles - Asignar/quitar roles (afecta permisos)
• Estado activo/inactivo

Admin: Eliminar Usuario

Haga clic en Ícono de Eliminar (🗑️) para eliminar al usuario:

¿Está seguro de que desea eliminar:

Usuario: John Smith (<john@example.com>)

⚠️ ADVERTENCIA: Esta acción no se puede deshacer.

Esto eliminará permanentemente: • Cuenta y credenciales de usuario • Configuraciones de 2FA • Historial de sesiones

Los datos y transacciones del cliente NO se eliminarán.

[Cancelar] [Eliminar Usuario]

Haga clic en "Eliminar Usuario" para confirmar.

Mensaje de éxito:

Mejores Prácticas

Para Usuarios Finales

Seguridad de Inicio de Sesión:

• Use contraseñas fuertes y únicas
• Habilite "Recordarme" solo en dispositivos personales
• Siempre cierre sesión en computadoras compartidas
• Habilite 2FA para mayor seguridad

Gestión de 2FA:

• Guarde los códigos de respaldo inmediatamente después de habilitar 2FA
• Almacene los códigos en un gestor de contraseñas o lugar seguro
• Pruebe un código de respaldo para asegurarse de que funcione
• Regenerar códigos de respaldo si usa varios
• Contacte al administrador si pierde tanto el autenticador como los códigos de respaldo

Gestión de Contraseñas:

• Use un gestor de contraseñas para generar y almacenar contraseñas
• Nunca comparta contraseñas por correo electrónico o mensajería
• Cambie la contraseña si sospecha que ha sido comprometida
• Use una contraseña única para OmniCRM (no reutilice contraseñas)

Para Administradores

Gestión de Seguridad de Usuarios:

• Verifique la identidad del usuario antes de restablecer 2FA o contraseñas
• Nunca envíe contraseñas temporales por correo electrónico
• Documente todos los restablecimientos de seguridad en las notas del usuario
• Anime al personal a habilitar 2FA
• Monitoree patrones de inicio de sesión inusuales

Restablecimientos de Contraseña:

• Comuníquese con contraseñas temporales solo por teléfono o en persona
• Genere contraseñas temporales fuertes (el sistema lo hace automáticamente)
• Asegúrese de que el usuario cambie la contraseña en el primer inicio de sesión
• No restablezca contraseñas innecesariamente - use el flujo de restablecimiento por correo electrónico cuando sea posible

Restablecimientos de 2FA:

• Trate los restablecimientos de 2FA como acciones de alta seguridad
• Verifique la identidad a través de múltiples canales antes de restablecer
• Documente la razón del restablecimiento
• Anime al usuario a volver a habilitar 2FA inmediatamente después de recuperar el acceso
• Considere requerir 2FA para todos los usuarios administrativos

Gestión de Usuarios:

• Revise regularmente la lista de usuarios en busca de cuentas inactivas
• Elimine usuarios que han dejado la organización
• Asegúrese de que las asignaciones de roles sean apropiadas
• Monitoree a los usuarios que nunca han iniciado sesión
• Audite los permisos de los usuarios trimestralmente

Solución de Problemas

Error "Correo electrónico o contraseña inválidos"

• Causa: Credenciales incorrectas
• Solución:
  • Verifique que la dirección de correo electrónico sea correcta
  • Verifique que el bloqueo de mayúsculas esté desactivado
  • Intente restablecer la contraseña si la ha olvidado
  • Contacte al administrador si la cuenta está bloqueada

Código 2FA no aceptado

• Causa: Problema de sincronización de tiempo o código incorrecto
• Solución:
  • Asegúrese de que la hora del dispositivo sea correcta (Configuración → Fecha y Hora → Automático)
  • Espere a que el código se actualice (los códigos cambian cada 30 segundos)
  • Intente el siguiente código que aparece
  • Use un código de respaldo si el autenticador no funciona
  • Contacte al administrador para restablecer 2FA si todo lo demás falla

"Recordarme" no funciona

• Causa: Cookies deshabilitadas o borradas
• Solución:
  • Habilite las cookies en la configuración del navegador
  • No borre las cookies al cerrar el navegador
  • Desactive las extensiones de privacidad para el dominio de OmniCRM
  • Pruebe con otro navegador

Correo electrónico de restablecimiento de contraseña no recibido

• Causa: Correo no enviado, filtro de spam o correo electrónico incorrecto
• Solución:
  • Verifique la carpeta de spam/correo no deseado
  • Verifique que la dirección de correo electrónico sea correcta
  • Espere de 5 a 10 minutos (la entrega del correo puede retrasarse)
  • Verifique que la integración de Mailjet esté funcionando (administrador)
  • Contacte al administrador para un restablecimiento manual de la contraseña

Enlace de restablecimiento de contraseña expirado

• Causa: Token expirado (típicamente 1 hora)
• Solución:
  • Solicite un nuevo restablecimiento de contraseña
  • Verifique el correo y haga clic en el enlace rápidamente
  • Contacte al administrador si hay problemas repetidos

No se puede habilitar 2FA (contraseña incorrecta)

• Causa: Contraseña actual ingresada incorrectamente
• Solución:
  • Verifique la contraseña actual
  • Restablezca la contraseña primero si no está seguro
  • Contacte al administrador para obtener asistencia

Aplicación de autenticador y códigos de respaldo perdidos

• Causa: Teléfono perdido/restablecido, códigos de respaldo no guardados
• Solución:
  • Contacte al administrador de inmediato
  • El administrador verificará la identidad y restablecerá 2FA
  • Inicie sesión solo con la contraseña después del restablecimiento
  • Vuelva a habilitar 2FA y GUARDE los códigos de respaldo esta vez

Admin: "Error al restablecer 2FA"

• Causa: Permisos insuficientes
• Solución:
  • Asegúrese de tener el rol de administrador
  • Verifique los permisos de la API
  • Contacte al administrador del sistema

Admin: No se generó la contraseña temporal

• Causa: Error de API o problema de permisos
• Solución:
  • Actualice la página y vuelva a intentarlo
  • Verifique los permisos de administrador
  • Verifique los registros de la API en busca de errores
  • Asegúrese de que la base de datos sea accesible

Consideraciones de Seguridad

Gestión de Sesiones:

• Las sesiones expiran después de un período de inactividad
• "Recordarme" extiende la sesión a 30 días
• Las sesiones se almacenan como cookies solo HTTP (no accesibles para JavaScript)
• La bandera segura asegura que las cookies solo se envíen a través de HTTPS

Seguridad de Contraseñas:

• Las contraseñas se hash utilizando algoritmos estándar de la industria
• Las contraseñas en texto plano nunca se almacenan
• Las contraseñas temporales expiran automáticamente después del primer uso
• Se rastrean los intentos de inicio de sesión fallidos (posible limitación de tasa)

Seguridad de 2FA:

• Los secretos de TOTP se cifran en la base de datos
• Los códigos QR se generan del lado del cliente cuando es posible
• Los códigos de respaldo se hash antes del almacenamiento
• Cada código de respaldo es de un solo uso

Acciones del Administrador:

• Los restablecimientos de 2FA se registran en el registro de actividad
• Los restablecimientos de contraseñas crean una pista de auditoría
• Las acciones de los administradores requieren permisos de rol apropiados
• Las direcciones IP se registran para eventos de seguridad

Documentación Relacionada

• 2fa - Referencia detallada de la API de 2FA (enfocada en la API)
• rbac - Control de acceso basado en roles y permisos
• administration_configuration - Configuración de correo electrónico de Mailjet para restablecimiento de contraseña
• integrations_mailjet - Configuración de plantilla de correo electrónico
• customer_care - Portal de Autocuidado para clientes