¿Cómo configurar CORS personalizado en nuby?

Entendiendo CORS

CORS (Cross-Origin Resource Sharing) es una medida de seguridad que utilizan los navegadores web para proteger los datos. Cuando tu página web intenta conectarse a nuby desde un dominio diferente, el navegador verifica si esa conexión está autorizada.

🔹 ¿Por qué es importante?

• Protección de datos → Impide que sitios maliciosos accedan a los datos de tu inmobiliaria.

• Control de acceso → Tú decides qué plataformas externas pueden conectarse a nuby.

• Cumplimiento de estándares → Es una medida de seguridad estándar en la web moderna.

🔹 Ejemplos de situaciones donde necesitas CORS:

• Tu página web integrada con nuby → Si tu inmobiliaria tiene un portal propio que consulta datos de nuby.

• Herramientas de reportes externas → Si usas una plataforma de BI (inteligencia de negocios) que se conecta a nuby.

• Aplicaciones móviles → Si tienes una app que consume datos de la API de nuby.

• Integraciones personalizadas → Si desarrollas integraciones propias con sistemas externos.

🔹 ¿Para quién es útil esta guía?

• Administrador del sistema nuby → Para autorizar plataformas externas.

• Desarrollador o proveedor técnico → Si está integrando sistemas externos con nuby.

• Gerencia o Administrador de TI → Para entender la seguridad de las integraciones.

¿Qué pasa si NO configuro CORS?

Si dejas la configuración CORS vacía (sin agregar ningún origen), nuby actúa en modo abierto: cualquier plataforma externa puede intentar conectarse a la API, y nuby no bloqueará esas solicitudes.

🔹 Implicaciones del modo abierto (CORS deshabilitado):

• Mayor flexibilidad → Las plataformas externas pueden conectarse sin necesidad de configuración adicional.

• Menor control de seguridad → Cualquier dominio podría intentar acceder (aunque la autenticación via OAuth2 sigue siendo obligatoria).

• Recomendado solo en desarrollo → Para desarrollo local o pruebas donde no hay riesgos de seguridad.

¿Cuándo dejar CORS vacío?

Deja el campo de CORS vacío solo si:

• Estás en un entorno de desarrollo local sin acceso desde internet.
• No tienes ninguna plataforma externa conectada a nuby.
• No tienes una página web integrada con nuby.

Importante: Si tu inmobiliaria tiene una página web integrada con nuby o cualquier plataforma externa que consulta datos, debes configurar CORS especificando los orígenes autorizados. El modo abierto no es seguro para producción.

🔐 Paso 1. Inicia sesión en nuby

Abre nuby en tu navegador e inicia sesión con una cuenta que tenga permisos de administrador del sistema.

🔐 Paso 2. Dirígete a Configuraciones

1. En el menú lateral de nuby, busca la sección Configuraciones (generalmente en la parte inferior del menú).
2. Dentro de Configuraciones, busca la opción API o Clientes OAuth2.

🔐 Paso 3. Abre la sección de CORS

En la pantalla de Clientes OAuth2, busca y haz clic en el icono o enlace que diga "CORS" o "Plataformas autorizadas (CORS)". También pueden verlo así:

• Icono: Una nube con símbolo de API
• Texto: "Configurar CORS" o "Plataformas que pueden conectarse a nuby"

🔹 Requisitos de permisos:

Para acceder a esta configuración, tu usuario debe tener:

• Rol de Administrador del Sistema, o
• Permisos explícitos de actualización (update) en el módulo de Configuraciones → API.

Si no ves la opción de CORS, verifica con tu administrador que tengas los permisos necesarios.

📌 Paso 1. Abre el formulario de CORS

Una vez en la pantalla de CORS, verás un área lateral izquierda con información de ayuda y un formulario principal.

📌 Paso 2. Identifica el campo de texto principal

Localiza el campo llamado "Direcciones web autorizadas" o "Plataformas que pueden conectarse a nuby". Es un área de texto (textarea) donde escribirás los orígenes.

📌 Paso 3. Escribe los orígenes autorizados

En el campo de texto, escribe la dirección web (URL) de cada plataforma que necesita conectarse a nuby. Cada dirección debe ir en una línea separada.

🔹 Formato correcto:

https://www.tuinmobiliaria.com
https://reportes.tuinmobiliaria.com
https://portal.tuinmobiliaria.com

🔹 Reglas importantes al escribir orígenes:

• Incluye el protocolo (https://) → Siempre comienza con https:// o http:// (aunque https es obligatorio en producción).

• Incluye el dominio completo → Por ejemplo, https://www.tuinmobiliaria.com, no solo tuinmobiliaria.com.

• Incluye el subdominio si aplica → Si tu página está en portal.tuinmobiliaria.com, debe ir así, no como tuinmobiliaria.com.

• NO incluyas rutas (paths) → Solo el protocolo + dominio. Correcto: https://tuinmobiliaria.com. Incorrecto: https://tuinmobiliaria.com/portal.

• NO incluyas puerto a menos que sea necesario → Si usas un puerto diferente del 443 (HTTPS), sí debes incluirlo. Ej: https://tuinmobiliaria.com:8443.

• Una dirección por línea → Presiona Enter para pasar a la siguiente línea.

📌 Paso 4. Revisa antes de guardar

Antes de hacer clic en guardar, verifica que:

• Todas las direcciones comienzan con https://
• No hay espacios en blanco extras al inicio o final de cada línea
• Cada dirección está en una línea separada
• Has incluido todos los orígenes que necesitan conectarse a nuby

📌 Paso 5. Haz clic en "Guardar cambios"

Una vez verificado, haz clic en el botón "Guardar cambios" o "Guardar".

📌 Paso 6. Confirma que se guardó

Después de hacer clic, deberías ver un mensaje en la parte superior de la pantalla que diga algo como:

• ✓ "¡Listo! Los cambios se han guardado. Las plataformas autorizadas ya pueden conectarse a nuby." (mensaje de éxito)

¡Los cambios se activan de inmediato! Una vez que haces clic en guardar, la configuración está activa y las plataformas autorizadas pueden conectarse inmediatamente en la próxima solicitud que realicen.

Ejemplo 1: Tu inmobiliaria tiene una página web integrada con nuby

Situación: Tu inmobiliaria tiene un portal web en https://www.tuinmobiliaria.com donde los propietarios y arrendatarios pueden ver información de sus propiedades y contratos. Este portal consulta datos de nuby mediante la API.

¿Qué debes configurar?

• Abre la configuración de CORS en nuby
• Escribe en el campo de texto: https://www.tuinmobiliaria.com
• Haz clic en guardar

Resultado: Tu página web ya puede conectarse a la API de nuby y mostrar información a los usuarios.

Ejemplo 2: Tu inmobiliaria usa múltiples plataformas externas

Situación: Además del portal web principal, usas:

• Un portal de reportes: https://reportes.tuinmobiliaria.com
• Una herramienta de BI externa: https://bi.tunubyprovider.com
• Un portal administrativo: https://admin.tuinmobiliaria.com

¿Qué debes configurar?

Escribe las tres direcciones en el campo de texto, una por línea:

        https://reportes.tuinmobiliaria.com
https://bi.tunubyprovider.com
https://admin.tuinmobiliaria.com
        

Resultado: Las tres plataformas pueden conectarse a nuby simultáneamente.

Ejemplo 3: Cambias el dominio de tu página web

Situación: Tenías configurado https://tuinmobiliaria.com, pero ahora migraste a https://www.nuevodominio.com.

¿Qué debes hacer?

• Abre la configuración de CORS
• Elimina la entrada anterior: https://tuinmobiliaria.com
• Escribe la nueva: https://www.nuevodominio.com
• Haz clic en guardar

Resultado: La página antigua deja de funcionar, y la nueva comienza a funcionar inmediatamente.

¿Por qué es importante esta sección?

Si tu inmobiliaria tiene una página web propia que está integrada con nuby (un portal donde los clientes ven sus propiedades, contratos, estado de pagos, etc.), DEBES incluir esa dirección web en la configuración de CORS.

🔹 ¿Qué significa "página web integrada con nuby"?

Tu página web está integrada si:

• Consulta datos de nuby → Muestra información como propiedades, contratos, facturas, pagos, etc., que vienen de nuby.

• Se conecta via API → Usa la API de nuby (OAuth2) para obtener esos datos.

• Está en un dominio diferente → La página web está en www.tuinmobiliaria.com y nuby está en otro servidor.

Lo que DEBES hacer si tienes página web integrada

Atención: Si configuras CORS pero NO incluyes tu página web integrada, tu página web NO PODRÁ conectarse a nuby y los usuarios verán errores de CORS bloqueando la conexión.

🔹 Pasos:

1. Identifica la URL completa de tu página web → Por ejemplo: https://www.tuinmobiliaria.com
2. Abre la configuración de CORS en nuby (según los pasos de la sección anterior)
3. Escribe la URL de tu página web en el campo
4. Si usas también otras plataformas (reportes, BI, etc.), agrégalas también en líneas separadas
5. Haz clic en guardar

Ejemplo: Página web + otras plataformas

Si tu inmobiliaria tiene:

• Página web principal: https://www.miinmobiliaria.com
• Herramienta de reportes: https://reportes.miinmobiliaria.com

Debes escribir en CORS:

        https://www.miinmobiliaria.com
https://reportes.miinmobiliaria.com

🔹 Información adicional sobre tu página web:

¿Qué pasa si escribo un origen incorrecto?

Si escribes una URL con errores (por ejemplo, http://www.tuinmobiliaria.com en lugar de https://www.tuinmobiliaria.com), esa plataforma no podrá conectarse. El usuario verá un error de CORS en el navegador.

Solución: Verifica la URL, corrígela y guarda nuevamente. Los cambios se activan de inmediato.

¿Necesito incluir "http://" o "https://" ?

Sí, siempre. CORS es sensible al protocolo. Si tu página usa https://, debes escribir exactamente https://. Si usas http:// (solo en desarrollo local), debes escribir http://.

Diferencias reconocidas por CORS:

• https://tuinmobiliaria.com (diferente de)
• http://tuinmobiliaria.com (diferente de)
• https://www.tuinmobiliaria.com (diferente de)
• https://tuinmobiliaria.com

¿Puedo usar comodines como "https://*.tuinmobiliaria.com"?

No. nuby no permite comodines. Debes escribir cada origen de forma completa y exacta.

Si tienes múltiples subdominios: agrégalos todos en líneas separadas.

        https://www.tuinmobiliaria.com

        https://portal.tuinmobiliaria.com

        https://reportes.tuinmobiliaria.com
https://bi.tunubyprovider.com
https://admin.tuinmobiliaria.com
        

¿Cuánto tiempo tarda en activarse la configuración?

Inmediatamente. Una vez que haces clic en guardar, la configuración se activa en la próxima solicitud que realice la plataforma externa a la API de nuby (dentro de segundos).

¿Qué pasa si borro accidentalmente un origen?

Si borro un origen que estaba configurado, esa plataforma dejarará de poder conectarse inmediatamente. Simplemente vuelve a agregarlo y guarda.

¿Puedo dejar CORS vacío si tengo página web integrada?

No recomendado en producción. Si dejas CORS vacío (modo abierto), cualquier dominio podría intentar conectarse. Es mejor especificar únicamente los orígenes que realmente necesitan acceder.

Importante: Si tienes una página web integrada y quieres activar CORS personalizado, SIEMPRE debes incluir la dirección de tu página web en la lista. De lo contrario, tu página web quedará bloqueada por CORS.

Problema: "No tienes permisos para modificar"

Síntoma: Al intentar guardar cambios, ves un mensaje que dice "No tienes permisos para modificar las plataformas autorizadas".

Causa: Tu usuario no tiene permisos de administrador del sistema.

Solución:

1. Contacta a tu administrador del sistema.
2. Pídele que te otorgue permisos de actualización (update) en el módulo Configuraciones → API.
3. O solicita que un administrador realice la configuración por ti.

Problema: Mi página web sigue sin conectarse (error CORS en consola)

Síntoma: Tu página web intenta acceder a nuby y en la consola del navegador (F12) ves un error como:

Access to XMLHttpRequest... has been blocked by CORS policy

Causas posibles:

1. La URL en CORS no coincide exactamente con la de tu página web → Verifica que sea igual en protocolo, dominio y todo lo demás. Por ejemplo, si tu página es https://www.tuinmobiliaria.com, debes escribir exactamente eso en CORS, no https://tuinmobiliaria.com (sin www).

2. Aún no has guardado la configuración → Verifica que hayas hecho clic en "Guardar cambios" y que haya aparecido el mensaje de éxito.

3. El navegador tiene caché antiguo → Presiona Ctrl+F5 (o Cmd+Shift+R en Mac) para recargar sin caché.

4. La URL de tu página tiene un puerto personalizado → Si usas https://www.tuinmobiliaria.com:8443, debes incluir el puerto en CORS: https://www.tuinmobiliaria.com:8443.

Pasos para verificar:

1. Abre la configuración de CORS nuevamente.
2. Copia exactamente la URL de tu página web tal como aparece en la barra de direcciones del navegador.
3. Pégala en el campo de CORS en nuby.
4. Haz clic en guardar.
5. Recarga tu página web (Ctrl+F5).

Problema: Configuré CORS pero ahora mi página no funciona

Síntoma: Tenía CORS en modo abierto (vacío) y funcionaba, pero ahora que configuré orígenes específicos, mi página no funciona.

Causa: Probablemente no incluiste la URL de tu página web en la lista de orígenes configurados.

Solución:

1. Abre la configuración de CORS.
2. Identifica la URL completa de tu página web (cópiala de la barra de direcciones).
3. Verifica que esté en el campo de CORS.
4. Si no está, agrégala.
5. Haz clic en guardar.
6. Recarga tu página (Ctrl+F5).

Problema: No encuentro la opción de CORS en Configuraciones

Síntoma: Abriste Configuraciones pero no ves ningún enlace o botón para CORS.

Causas posibles:

1. No tienes permisos de acceso → Solo administradores del sistema ven esta sección. Verifica con tu administrador.

2. Estás buscando en el lugar incorrecto → La opción de CORS está en Configuraciones → API (no en otras secciones de Configuraciones).

3. El módulo no está habilitado → Contacta a tu proveedor de nuby si crees que el módulo de API está deshabilitado.

Solución: Verifica la ruta exacta: Menú principal → Configuraciones → API → CORS.

Mejores prácticas para mantener tu nuby seguro

🔹 1. Usa solo HTTPS

Siempre configura CORS con direcciones que usen https://, nunca http:// en producción. HTTPS encripta la comunicación entre tu página y nuby.

🔹 2. Especifica solo los orígenes que necesitas

No dejes CORS en blanco si tienes una página web integrada. Especifica exactamente los orígenes autorizados. No uses comodines ni direcciones genéricas.

🔹 3. Revisa regularmente la configuración

Si una plataforma externa deja de ser usada, elimina su origen de la configuración de CORS. Esto reduce los puntos de acceso a tu data.

🔹 4. Usa OAuth2 en la API

CORS solo controla qué navegadores/dominios pueden conectarse. La autenticación real de la API sigue siendo mediante OAuth2 con credenciales seguras (client_id y client_secret). Asegúrate de mantener tus credenciales OAuth2 seguras y en secreto.

🔹 5. Comunica cambios de dominio

Si cambias el dominio de tu página web, actualiza CORS inmediatamente. Esto evita que versiones antiguas de tu página intenten conectarse.

Documentación relacionada

Para aprender más sobre cómo crear y gestionar clientes OAuth2 en nuby (necesarios para que las plataformas externas se autentiquen), consulta la guía de Gestión de Clientes OAuth2 (si está disponible en la documentación de nuby).

Términos clave para recordar

¿Necesitas ayuda?

Si después de seguir esta guía aún tienes problemas:

1. Verifica la sección "Solución de problemas" arriba.
2. Revisa las "Preguntas frecuentes".
3. Contacta al equipo de soporte de nuby con detalles de lo que intentaste hacer y el error exacto que recibiste.