Ir al contenido principal

Configuración de la autenticación de conectores de datos

Enfoques para autenticar tus conectores de datos y cómo configurar, ver y gestionar tokens.

Escrito por Stephen Forbes

Para configurar nuevos métodos de autenticación para conectores de datos, ve a Configuración > Integraciones > Autenticación y haz clic en Agregar token.

Tienes dos enfoques principales para configurar un token: conectar un proveedor preconfigurado o crear un token personalizado:


Conectando un proveedor preconfigurado (OAuth)

Ofrecemos flujos OAuth de 3 pasos preconfigurados para proveedores compatibles (como Salesforce, HubSpot y Attio) para que la autenticación sea rápida y sencilla.

Para conectar uno de estos proveedores:

  1. Ve a Configuración > Integraciones > Autenticación y haz clic en Agregar token.

  2. Selecciona el proveedor deseado del menú desplegable.

  3. Serás redirigido a la página de autorización del proveedor. Revisa los permisos solicitados y haz clic en Confirmar (o Permitir) para autorizar la conexión.

Una vez que el flujo OAuth se complete, tu nuevo token de acceso aparecerá automáticamente en tu lista de tokens.

Al hacer clic en tu token recién creado se mostrará su configuración. Debido a que es una integración preconfigurada, solo los campos Nombre y Descripción son editables. También verás:

  • API URL: La URL base para usar al hacer llamadas API a este proveedor en tus conectores de datos. Puedes copiarla rápidamente usando el ícono Copiar al portapapeles.

  • Alcance: Una lista de permisos de solo lectura que se le han otorgado al token.

Reautenticando un token

Si un token se desactiva o se rompe en el lado del proveedor, no necesitas eliminarlo y empezar de nuevo. Simplemente abre los detalles del token y haz clic en el botón Reautenticar en la esquina superior derecha. Esto te guiará nuevamente por el flujo OAuth y actualizará automáticamente tu token existente, asegurando que tus conectores de datos conectados sigan funcionando sin actualizaciones manuales.


Creando un token personalizado

Si necesitas conectarte a un servicio que no está incluido en la lista preconfigurada:

  1. Ve a Configuración > Integraciones > Autenticación y haz clic en Agregar token.

  2. Selecciona Personalizado.

  3. Luego selecciona el Tipo de token que quieres crear del menú desplegable.

Tokens de texto

Los tokens de texto son tokens estáticos. Puedes establecer el nombre del token, descripción, valor, prefijo del token y la clave para el encabezado de la solicitud que contiene el token, que se insertará en la solicitud del conector de datos.

Tokens de solicitud HTTP

Los tokens de solicitud HTTP son dinámicos. Configuras una solicitud HTTP a tu Punto de Autenticación que actualizará el token cuando sea necesario. Estos tokens deben probarse desde la interfaz de usuario de Token de Autenticación antes de guardarlos. Puedes establecer el nombre del token, descripción y luego los campos que afectan la solicitud en sí. Estos son el método de solicitud HTTP, URL, encabezados HTTP y cualquier par clave-valor.

Debes probar el token haciendo clic en Probar solicitud y luego especificar la ubicación del token en la respuesta, el prefijo del token y la clave para el encabezado de la solicitud.

Si un token de solicitud HTTP está asignado a un conector de datos, el conector usará el token obtenido más recientemente para sus solicitudes. Si una solicitud devuelve una respuesta 400, 401 o 403, el token se actualizará enviando una solicitud HTTP a la URL del Punto de Autenticación especificado. La solicitud original del conector de datos se reintentará usando el token recién obtenido.

Los tokens de solicitud HTTP se actualizan automáticamente por Intercom para mantener los conectores de datos funcionando. Estas actualizaciones ocurren en segundo plano sin acción humana y pueden aparecer como actualizadas por “System” o “Fin” para indicar una actualización automática.

Nota: Si tu servidor devuelve un 200 para una respuesta de acceso denegado, no actualizaremos el token. Necesitarás actualizar tus servidores para que devuelvan un 400, 401 o 403 en este caso.

Si hay un problema al actualizar un token, el problema se registrará en la pestaña "Registros" del conector de datos.

Tokens de solicitud OAuth

Las solicitudes OAuth te permiten solicitar y actualizar tokens haciendo una solicitud POST con formato OAuth client credentials grant.

Por favor proporciona el url, client_id, client_secret y el campo opcional scope. Selecciona el formato de solicitud JSON o Form Encoded según la configuración de tu servidor de tokens.

Se mostrará una vista previa del encabezado y cuerpo de la solicitud.

Haz clic en Probar solicitud después de completar todos los campos requeridos.

Intercom buscará el token en la respuesta en la ruta access_token.

Guarda el token una vez que la prueba haya pasado.

Similar al token de solicitud HTTP, el sistema realizará una actualización del token si una solicitud del conector de datos recibe una respuesta 400, 401 o 403.

Los tokens de solicitud OAuth se actualizan automáticamente por el sistema cuando es necesario. Estas actualizaciones no son activadas por un administrador humano y pueden aparecer como actualizadas por “System” o “Fin” para indicar una actualización automática.

Tokens de usuario

Los tokens de usuario permiten autenticar conectores de datos usando un token definido por el usuario. Estos tokens son creados y actualizados por sistemas de terceros. Uno de los ejemplos más populares de este tipo de token es JSON Web Tokens (JWT).

JWT es una forma segura de verificar la identidad del usuario. Ahora puedes usar este nuevo tipo de token de autenticación para asegurar tus conectores de datos. Esto permite una comunicación más flexible y segura entre tus sistemas e Intercom.

Usa el token en un conector de datos

Una vez que tu tipo de token esté creado:

  1. Ve a Configuración > Integraciones > Conectores de datos y abre el conector que quieres configurar.

  2. Selecciona la pestaña API.

  3. En la sección Authentication tokens, selecciona tu token del menú desplegable.

Creación y actualización de tokens de usuario

Toda la gestión de tokens de usuario es manejada por sistemas de terceros.

Intercom('boot', {  
app_id: 'abc12345',
email: 'john.doe@example.com',
created_at: 1234567890,
name: 'John Doe',
user_id: '9876',
auth_tokens: {
security_token: 'abc...' // JWT
}
});

Estos sistemas de terceros también son responsables de actualizar el token de seguridad y refrescarlo periódicamente.

Intercom('update', {  
app_id: 'abc12345',
auth_tokens: {
security_token: 'bcd...' // JWT
}
});

Intercom('setAuthTokens', {
security_token: 'abc...' // JWT
});

# Swift
Intercom.setAuthTokens({
security_token: 'abc...' // JWT
});

# Kotlin
Intercom.client().setAuthTokens({
security_token: 'abc...' // JWT
});


Soporte multi-token

Puedes adjuntar múltiples tokens a un solo conector de datos. Cada token adjunto debe configurarse con una clave de encabezado única (por ejemplo, Authorization, X-API-Key). Todos los tokens adjuntos se enviarán con la solicitud.

Esta configuración te permite activar conectores de datos usando ese token, ya sea a través de Workflows o Fin. El conector de datos seguirá funcionando incluso si el valor del token se actualiza, ya que se refrescará en tiempo real para asegurar una autenticación ininterrumpida.

Para usar un JWT por usuario con un conector de datos, crea un token de autenticación ‘User’ y proporciona su valor actual vía auth_tokens (por ejemplo, Intercom('setAuthTokens')), en lugar de depender del intercom_user_jwt del Messenger.


Verificación de correo electrónico con un código de un solo uso (OTP)

La verificación de correo electrónico para conectores de datos con OTP proporciona un paso adicional de verificación antes de usar un conector de datos, requiriendo que los clientes verifiquen su identidad mediante un código único y sensible al tiempo enviado por correo electrónico.

Este método añade una capa extra de seguridad además de los tokens de autenticación de usuario (por ejemplo, JWTs). Cuando está habilitado, los clientes deben completar el proceso de verificación por correo electrónico antes de que un conector de datos pueda continuar. Esto ayuda a asegurar que solo usuarios autorizados puedan realizar operaciones sensibles y previene el mal uso de workflows automatizados.


Autenticación de clientes para conectores de datos

La autenticación de clientes te permite verificar la identidad de un cliente antes de que se ejecute un conector de datos. A diferencia de la autenticación con token API (que asegura la comunicación servidor a servidor), la autenticación de clientes confirma la identidad del usuario final, asegurando que solo clientes autorizados puedan activar conectores sensibles.

Las reglas de autenticación se configuran en Configuración > Espacio de trabajo > Seguridad > Autenticación de clientes y se aplican a todos los conectores de datos que tengan la autenticación habilitada. Las reglas pueden establecerse por canal y por audiencia.

Una regla de respaldo cubre todos los canales y audiencias no especificados, por lo que cada conector autenticado siempre está protegido.

Nuevo espacio de trabajo

Cuando se crea un nuevo espacio de trabajo, la regla de autenticación de respaldo se establece automáticamente en Email OTP. Esto cubre todos los canales y audiencias no especificados por una regla más específica.

Agregar una regla

Cuando creas una nueva regla para canal o audiencia, se aplica un método de autenticación predeterminado basado en el tipo de canal:

Canal

Método de verificación predeterminado

Messenger (web, iOS, Android)

Seguridad Messenger (JWT)

Todos los demás canales

Sin verificación (se aplica la regla de respaldo)

Métodos de verificación

Hay dos métodos de verificación disponibles:

  • Email OTP — envía un código de un solo uso a la dirección de correo electrónico del cliente. El cliente debe ingresar este código antes de que el conector se ejecute. Consulta Conectores de datos seguros con código de un solo uso para detalles de configuración.

  • Seguridad Messenger (JWT) — usa la verificación de identidad existente de Messenger (User token). Requiere que la seguridad Messenger con JWT esté configurada. Consulta Tokens de usuario arriba.

Consejo: Seguridad Messenger (JWT) ofrece la garantía de identidad más fuerte y es el método recomendado para conversaciones basadas en Messenger. Verifica la identidad sin añadir fricción para tus clientes.

Habilitar autenticación en un conector

La autenticación debe activarse individualmente para cada conector de datos donde desees que se aplique:

  1. Selecciona la pestaña Seguridad.

  2. Activa Autenticación de clientes.

  3. Completa cualquier verificación de seguridad, luego guarda y activa el conector.

Una vez habilitado, el conector aplica las reglas de autenticación del espacio de trabajo que correspondan al canal y audiencia de la conversación entrante.


Credenciales

La página de Credenciales (Configuración > Integraciones > Credenciales) te ofrece una vista centralizada de todas las credenciales de autenticación usadas en tus conectores de datos. La tabla muestra nombre, tipo, quién lo creó y quién lo actualizó por última vez, facilitando la auditoría de acceso a sistemas externos.

Lógica

Los tokens basados en texto son sencillos: el conector de datos usa el valor asignado del token cada vez que prueba o envía una solicitud en vivo del conector de datos.

Los tokens de solicitud HTTP siguen un flujo más complejo. Para pruebas y conectores en vivo, el conector de datos usará primero el token obtenido más recientemente. Si la solicitud falla, enviará una solicitud de actualización y luego reintentará el conector de datos usando el nuevo token. Este reintento ocurre solo una vez para evitar un bucle infinito.

Si el conector de datos sigue fallando debido a fallos en las solicitudes de actualización, activará el disyuntor, igual que cualquier conector de datos que encuentre fallos repetidos.


Limitaciones conocidas

  • Actualmente, ni los tokens de autenticación de Texto ni de Solicitud HTTP soportan diferentes detalles de solicitud de autenticación por cliente. Usualmente esto se solicita como un flujo OAuth completo.

  • Una vez creado el token de autenticación, no es posible eliminarlo.

  • Los conectores de datos que utilizan el token de aplicación Stripe autogenerado no soportan funcionalidad multi-token porque los encabezados están bloqueados en estado de solo lectura. Para hacer cambios, primero debes eliminar o reemplazar el token Stripe.

  • Una vez seleccionado un token Stripe, no puedes agregar nuevos pares clave-valor a la sección de Encabezados HTTP.

¿Ha quedado contestada tu pregunta?