La mensajería Zimbra utilizada por la Ciudad de Cherbourg se basa en un mecanismo de autenticación que bloquea regularmente a los usuarios antes de que lleguen a su bandeja de entrada. El error « Spnego single sign-on authentication failed » aparece tan pronto como el navegador no está configurado para el protocolo SSO. Comprender este bloqueo técnico permite ahorrar tiempo y evitar solicitudes repetidas al soporte informático.
Error SPNEGO en la mensajería Zimbra Cherbourg: lo que bloquea la conexión
El portal mensajería.cherbourg.fr utiliza el protocolo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) para autenticar automáticamente a los agentes conectados a la red interna. Cuando el navegador no es compatible con este protocolo o no está configurado para negociarlo, el servidor devuelve un error HTTP 401 con el mensaje explícito « Browser is not configured for single sign-on ».
Lectura complementaria : Cómo lograr su proyecto inmobiliario gracias a consejos de expertos
Este bloqueo no significa que la cuenta esté desactivada ni que la contraseña sea incorrecta. El servidor simplemente se niega a iniciar la negociación de identidad. La página de error ofrece dos opciones: un enlace a la página de inicio de sesión clásica (agregando el parámetro ?ignoreLoginURL=1) y un redireccionamiento a la documentación de Zimbra sobre la configuración SPNEGO del navegador.
Para los agentes que desean acceder a la mensajería Zimbra Cherbourg sin pasar por el SSO, el enlace « Click to Login Page » que se muestra en la pantalla de error sigue siendo la solución más directa. Redirige a un formulario de identificación clásica con usuario y contraseña.
Ver también : ¿Cómo acceder fácilmente a tu mensajería académica en línea?
Conexión Zimbra en SSO o con credenciales: comparativa de los dos métodos
Dos caminos llevan a la bandeja de entrada. La elección depende del puesto utilizado y de la red en la que se encuentre el agente.
| Criterio | Conexión SSO (SPNEGO) | Conexión por credenciales |
|---|---|---|
| Red requerida | Red interna de la entidad | Cualquier red (interna o externa) |
| Ingreso de la contraseña | Ninguno (autenticación automática) | Usuario + contraseña en cada sesión |
| Configuración del navegador | Configuración SPNEGO obligatoria | Ninguna configuración particular |
| URL de acceso | mensajería.cherbourg.fr | mensajería.cherbourg.fr/?ignoreLoginURL=1 |
| Compatibilidad móvil | Limitada (navegadores móviles raramente configurados) | Funcional en navegador móvil |
El SSO ofrece comodidad en los puestos fijos de la red interna, pero la conexión por credenciales sigue siendo el método más fiable fuera del sitio. Los agentes en desplazamiento o teletrabajo no tienen otra opción que el formulario clásico.
Configurar el navegador para el SSO Zimbra: parámetros técnicos
Para que el SSO funcione, el navegador debe aceptar transmitir los tokens de autenticación Kerberos al servidor Zimbra. La configuración varía según el navegador utilizado.
- En Firefox, hay que abrir la página about:config, buscar la clave network.negotiate-auth.trusted-uris y agregar la dirección del servidor de mensajería (mensajería.cherbourg.fr). Sin esta entrada, Firefox rechaza la negociación SPNEGO.
- En los navegadores basados en Chromium (Chrome, Edge), la autenticación integrada de Windows generalmente está activada por defecto para los sitios de la zona intranet. Si el dominio no es reconocido como intranet, hay que agregarlo manualmente a través de las políticas de grupo o los parámetros de proxy.
- En Safari, el soporte SPNEGO depende de la configuración Kerberos del sistema macOS. A menudo es necesario agregar el dominio en el llavero o a través de un perfil de configuración MDM.
Una prueba rápida permite verificar si la configuración es correcta: acceder directamente a mensajería.cherbourg.fr desde la red interna. Si la bandeja de entrada se muestra sin solicitar una contraseña, el SSO funciona. Cualquier otra respuesta (error 401, página en blanco, redirección) indica un problema de configuración del navegador o de la red.
Seguridad reforzada de los webmails Zimbra en entidades
Desde 2024, varias entidades e instituciones públicas francesas que utilizan Zimbra han endurecido sus políticas de seguridad. La conexión HTTPS se ha vuelto obligatoria, las políticas de contraseñas se han reforzado y la autenticación a través de un portal único se está generalizando.
La tendencia observada en la educación nacional también se aplica a las entidades territoriales. Las redirecciones automáticas a bandejas personales (Gmail, Outlook) se están eliminando gradualmente. El objetivo es mantener los intercambios profesionales en el entorno seguro del webmail institucional. Se anima a los agentes a consultar directamente su mensajería Zimbra o, en su defecto, a configurar un cliente IMAP seguro en lugar de transferir los mensajes a una dirección personal.
Esta restricción tiene un impacto directo en los hábitos de consulta. Los usuarios que contaban con una transferencia automática a su mensajería privada ahora deben conectarse al portal Zimbra, ya sea a través del SSO en el sitio o mediante el formulario de credenciales a distancia.
Acceso móvil y cliente IMAP para Zimbra Cherbourg
La interfaz web de Zimbra ofrece varios modos de visualización: estándar, táctil y móvil. El modo táctil es el más adecuado para tabletas, mientras que el modo móvil aligera la interfaz para las pantallas de smartphones. La elección del modo se realiza a través de un menú en la parte inferior de la página de inicio de sesión.
Para una consulta regular en el teléfono, la configuración de un cliente de correo nativo en IMAP ofrece una experiencia más fluida que el navegador. Los parámetros de conexión siguen el esquema clásico de Zimbra: servidor entrante IMAP con cifrado SSL/TLS y servidor saliente SMTP con autenticación. Las credenciales siguen siendo las del cuenta Zimbra institucional.
El acceso móvil por navegador sigue siendo útil para conexiones puntuales, especialmente porque no almacena ningún dato localmente en el dispositivo, un punto apreciado para los terminales compartidos o personales.
La mensajería Zimbra de Cherbourg funciona como la mayoría de los despliegues de Zimbra en entidades, con una capa SSO que simplifica el acceso interno pero complica la conexión externa. Recordar la URL con el parámetro ?ignoreLoginURL=1 es suficiente en la mayoría de los casos para eludir el bloqueo SPNEGO y recuperar su bandeja de entrada en pocos segundos.