El acceso a GTm Extranet desde un puesto conectado a la red interna de La Poste no sigue el mismo recorrido que una conexión externa. Desde la implementación del portal marh.legroupelaposte.fr y el cambio a un proveedor de identidad único (IdP), varios agentes se encuentran con redirecciones en bucle o fallos silenciosos de autenticación. Comprender el mecanismo de federación SSO y los ajustes de red que lo rodean permite identificar rápidamente el origen del bloqueo.
Federación SSO e IdP único: lo que cambia para la conexión a la red interna
El esquema de autenticación del grupo para las aplicaciones RH, incluyendo MaBoxRH y GTm Extranet, se basa ahora en una federación de identidad a través de un IdP único. Concretamente, cualquier intento de conexión desde maboxrh.laposte.fr o marh.legroupelaposte.fr desencadena una redirección hacia una URL del tipo autenticacion.groupe.net.extra.laposte.fr.
Ver también : Cómo tener éxito en tu formación digital y potenciar tu carrera en el ámbito digital
En la red interna, esta redirección pasa por el proxy de la empresa. Si el navegador o el puesto de trabajo no están configurados para permitir esta cadena de redirecciones, la página de autenticación nunca se carga. El síntoma típico: una pantalla en blanco o un error de certificado, sin mensaje explícito.
Lograr la autenticación en el extranet GTM La Poste desde la red interna supone verificar que el dominio del IdP está correctamente incluido en las excepciones del proxy local. Los agentes que utilizan un navegador no referenciado (Firefox instalado manualmente, por ejemplo) encuentran este problema con más frecuencia que aquellos que permanecen en el navegador desplegado por la DSI.
Lectura complementaria : ¿Cuáles son los principales competidores de Lacoste y cómo destacar en el mercado?
| Escenario de conexión | Redirección IdP | Resultado habitual |
|---|---|---|
| Red interna, navegador DSI, proxy configurado | Automática a través de SSO | Acceso directo sin reintroducción de identificador |
| Red interna, navegador no referenciado | Bloqueada por el proxy | Página en blanco o error de certificado |
| Red externa (hogar, 4G) | A través de marh.legroupelaposte.fr | Ingreso de identificador RH + contraseña + 2FA |
| Red interna, VPN activo simultáneamente | Conflicto de enrutamiento | Bucle de redirección infinita |
El caso del VPN activo en paralelo merece atención. Algunos agentes activan el VPN por reflejo cuando ya están en la red de la empresa. El enrutamiento entre el túnel VPN y el proxy local entra en conflicto, lo que impide la resolución correcta de la URL del IdP.
Doble autenticación por aplicación: fin del SMS y consecuencias en GTm Extranet
La Poste ha iniciado desde noviembre de 2025 una migración progresiva de la 2FA por SMS a la 2FA por aplicación (tipo TOTP o notificación push). Para los agentes que accedían a GTm Extranet desde la red interna con un código SMS como segundo factor, el cambio tiene un impacto directo: el SMS ya no llega, y la interfaz no ofrece ningún mensaje de error claro.
Desde la red interna, la doble autenticación no siempre se activa gracias al SSO. Sin embargo, tan pronto como la sesión expira o el agente cambia de puesto físico, el sistema solicita nuevamente una validación 2FA. Sin una aplicación configurada, la conexión falla en esta etapa.
Configurar la 2FA por aplicación antes de necesitarla
El error frecuente consiste en descubrir la obligación de 2FA por aplicación en el momento en que se intenta conectar. La configuración debe realizarse por adelantado, idealmente desde un acceso externo donde el recorrido guiado sea más explícito.
- Instalar una aplicación TOTP compatible (la recomendada por la DSI o una aplicación estándar como Google Authenticator, Microsoft Authenticator) en el teléfono personal o profesional
- Conectarse una primera vez desde el exterior de la red a través de marh.legroupelaposte.fr para activar la asociación entre la cuenta RH y la aplicación
- Verificar que el código TOTP generado funciona antes de intentar la conexión desde la red interna, ya que un fallo repetido puede provocar un bloqueo temporal de la cuenta
Una vez asociada la aplicación, la conexión desde la red interna se vuelve fluida: el SSO toma el relevo para la mayoría de las sesiones, y la 2FA por aplicación solo interviene durante las reautenticaciones puntuales.
Teclado virtual MaBoxRH e identificador RH: dos fuentes de bloqueo distintas
El portal MaBoxRH utiliza un teclado virtual para la entrada de la contraseña. Este mecanismo de seguridad, diseñado para contrarrestar los keyloggers, plantea problemas específicos en la red interna. Los puestos equipados con software de seguridad endpoint a veces bloquean el JavaScript necesario para renderizar el teclado. El resultado: un campo de contraseña vacío, sin teclado clicable, y ninguna posibilidad de ingresar nada.
La solución pasa por verificar los parámetros de seguridad del navegador. Los scripts provenientes del dominio maboxrh.laposte.fr deben ser autorizados. En algunos puestos, es necesario añadir manualmente el dominio a la lista blanca del filtro de contenido.
Identificador RH: ni email ni número de nómina
La otra fuente de confusión se refiere al identificador en sí. El campo de conexión espera el identificador RH específico del grupo, no la dirección de correo electrónico profesional ni el número de nómina utilizado en las nóminas. Estos tres datos son diferentes. Un agente que introduce su correo electrónico recibe un rechazo sin explicación, lo que a menudo lo lleva a iniciar una restablecimiento de contraseña innecesario.
- El identificador RH aparece en las cartas de la DRH y en el primer documento de acceso entregado al ser contratado
- Se puede recuperar contactando al soporte en la dirección [email protected]
- El responsable RH de proximidad también tiene esta información
Resolución de bucles de redirección en la red La Poste
Los bucles de redirección constituyen el problema más frecuente y menos documentado. Se producen cuando el navegador oscila entre el portal MaBoxRH y el IdP sin nunca finalizar la autenticación. Dos causas predominan.
La primera: un caché de cookies corruptas relacionado con una sesión anterior. El SSO se basa en cookies de sesión establecidas por el IdP. Si una sesión anterior se interrumpe bruscamente (cierre del navegador durante la autenticación, corte de red), la cookie residual impide que la nueva autenticación se inicie correctamente. Eliminar las cookies del dominio autenticacion.groupe.net.extra.laposte.fr resuelve la mayoría de estos casos.
La segunda: una incoherencia de reloj entre el puesto de trabajo y el servidor de autenticación. El protocolo SAML utilizado por la federación de identidad valida una marca de tiempo en la solicitud. Un desfase de unos minutos es suficiente para provocar un rechazo silencioso. En los puestos gestionados por la DSI, la sincronización NTP es normalmente automática, pero algunos puestos antiguos pierden su sincronización después de un modo de suspensión prolongado.
Vaciar la caché, reiniciar el navegador y verificar la hora del sistema son tres acciones simples que resuelven la gran mayoría de los fallos de conexión SSO desde la red interna, sin necesidad de intervención del soporte.