Active Directory Federation Services (ADFS) es el proveedor de identidad local de Microsoft que permite la identidad federada y el inicio de sesión único entre aplicaciones. Con OpenID Connect SSO configurado entre ADFS y Document360, tus usuarios y lectores pueden iniciar sesión en Document360 usando sus credenciales de Active Directory existentes.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con ADFS como tu IDP
| Capacidad | Apoyado |
|---|---|
| Autenticación por usuarios (portales) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Provisión SCIM | Sí (solo a través de herramientas de terceros o integraciones personalizadas) |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
Antes de que empieces
- Tienes acceso administrativo tanto a Document360 como a tu servidor ADFS.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Abre Document360 y ADFS en dos pestañas separadas antes de empezar.
Cómo configurar ADFS OpenID SSO en Document360
Paso 1: Añadir la solicitud en ADFS
- Inicia sesión en la consola de gestión de ADFS en tu servidor ADFS.
- En la consola de gestión de ADFS, navega hasta Fideicomisos de Parte Confiable.
- Haz clic derecho en Fideicomisos de Parte Confiable y selecciona Añadir Fideicomiso de Parte Confiable.
- En el Asistente de Confianza de Parte Dependiendo de Añade, elige Conocimiento de Reclamaciones y haz clic en Iniciar.
- Selecciona Introducir datos sobre la parte de confianza manualmente y haz clic en Siguiente.
- Proporciona un nombre de visualización (por ejemplo, "Document360 OpenID SSO") y haz clic en Siguiente.
- En el paso Configurar Certificado , haz clic en Siguiente (puedes saltarte esto si no usas un certificado).
Paso 2: Obtener los parámetros SP de Document360
- Abre Document360 en una pestaña separada.
- Navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO.
- Selecciona ADFS como tu proveedor de identidad para navegar automáticamente a la página Configurar el proveedor de servicios (SP ).
- En la página Configurar el proveedor de servicios (SP ), seleccione el botón de opción OpenID .
- Se mostrará un conjunto de parámetros.
Paso 3: Introduce los parámetros de Document360 en ADFS
- Cambia a la pestaña de la consola de gestión de ADFS e introduce los parámetros de Document360 en los campos correspondientes del paso Configurar URL usando el mapeo que aparece a continuación.
| ADFS | Document360 |
|---|---|
| Confiando en el identificador de la parte | Nombre de subdominio |
| URL de inicio de sesión | URL de redirección de inicio de sesión |
| URL de cierre de sesión | URL de redirección para cerrar sesión |
- Haz clic en Siguiente y completa los pasos restantes del asistente, como configurar la autenticación multifactor si es necesario y permitir que todos los usuarios accedan a la aplicación.
- Revisa tus ajustes y haz clic en Siguiente para añadir la confianza de la parte confiable.
- En la última pantalla, marca la casilla Abrir el cuadro de Editar Reglas de Reclamación y haz clic en Cerrar.
Paso 4: Añadir reglas de reclamación en ADFS
- En el cuadro de Editar Reglas de Reclamación , haz clic en Añadir regla.
- Selecciona Enviar Atributos LDAP como Reclamaciones como plantilla de regla y haz clic en Siguiente.
- Proporciona un nombre para la regla de reclamación (por ejemplo, "Enviar atributos LDAP").
- Configura lo siguiente:
- Almacenamiento de atributos: Seleccione Active Directory.
- Mapeo:
- Atributo LDAP: Nombre-Principal-Usuario | Tipo de reclamación saliente: ID de nombre
- Atributo LDAP: Direcciones de correo electrónico | Tipo de reclamación saliente: Correo electrónico
- Atributo LDAP: Nombre de visualización | Tipo de reclamación saliente: Nombre
- Haz clic en Terminar para añadir la regla.
- Haz clic en Aplicar para guardar tus cambios y cierra el diálogo.
Paso 5: Configurar el proveedor de identidad en Document360
- Vuelve a Document360 en la página Configurar el Proveedor de Servicios (SP) y haz clic en Siguiente para navegar a la página Configurar el Proveedor de Identidad (IdP ).
- Introduce los valores correspondientes de tu configuración ADFS usando el mapeo que aparece a continuación.
| ADFS | Document360 |
|---|---|
| Identificador de cliente (ID de cliente) | ID de cliente |
| Secreto del cliente | Secreto del cliente |
| URL del emisor | Autoridad (URL de autorización o punto final) |
Asegúrate de que el ID del cliente en Document360 coincida con el Identificador de Parte Confiable configurado en ADFS.
- En el campo Scope (opcional), escribe un valor de scope y haz clic en + para añadirlo como chip. Esto define qué información o permisos de usuario solicita Document360 a ADFS. Puedes sumar hasta 3 miras.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 6: Configurar el aprovisionamiento SCIM
La provisión SCIM permite automatizar la gestión del ciclo de vida del usuario y del lector entre ADFS y Document360. Como ADFS no soporta SCIM de forma nativa, esto requiere una herramienta de terceros o una integración personalizada.
Si no necesitas provisionamiento SCIM, salta al paso 7: Configura el nombre del SSO y las opciones de acceso.
- Activa el interruptor Habilitar provisión SCIM .
- Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
- A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM.
La provisión SCIM en ADFS puede habilitarse solo usando herramientas de terceros o integraciones personalizadas. ADFS no soporta de forma nativa la provisión SCIM.
- Introduce los parámetros requeridos desde Document360 en los campos correspondientes de tu aplicación personalizada.
- En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a la página de Más ajustes .
Paso 7: Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
- En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
- Asignación automática del grupo lector: Esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos.
- Activa o desactiva la opción de desactivar la desconexión de usuario SSO inactivo según tus necesidades.
- Elige si invitas a cuentas de usuarios y lectores existentes a SSO.
- Haz clic en Crear para completar la configuración de OpenID SSO.
La configuración SSO usando ADFS y el protocolo OpenID Connect está ahora activa en Document360.
Gestión de usuarios en ADFS
Para ver los lectores añadidos a través de tu integración con ADFS:
- En Document360, navega a Configuración () > Usuarios y permisos > Lectores y grupos.
- Selecciona al lector para acceder a su perfil.
Los lectores provisionados mediante SCIM mostrarán una insignia SSO-SCIM junto a su nombre.
Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360, ya que estas acciones deben gestionarse a través de tu IdP para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360. Eliminar un perfil en tu IdP no lo elimina de Document360 — el perfil permanecerá con un estado Inactivo.
Gestionar el acceso al contenido de lectores, usuarios y grupos
El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.
- Selecciona el lector deseado y haz clic en Gestionar acceso al contenido.
- Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.
Mejores prácticas
- Verifica que el ID del cliente coincida con el identificador de la parte confiable. El ID del cliente introducido en Document360 debe coincidir exactamente con el Identificador de Parte Confiable configurado en ADFS. Una discrepancia causará fallos en la autenticación.
- Utiliza el tipo correcto de reclamación saliente para el correo electrónico. Para OpenID Connect ADFS, el tipo de reclamación saliente para correo electrónico es Correo electrónico, no Direcciones de correo electrónico como se usa en la configuración SAML. Usar el tipo de reclamación incorrecto causará errores de identidad de usuario.
- Utiliza una herramienta de terceros para SCIM. ADFS no soporta de forma nativa la provisión SCIM. Planifica tu enfoque de aprovisionamiento de usuarios antes de habilitar SCIM en Document360.
- Rota los secretos del cliente antes de que expiren. El secreto del cliente configurado en ADFS tiene una fecha de caducidad. Cuando expire, la autenticación SSO fallará. Controla el caducidad y rota los secretos con antelación.
Preguntas frecuentes
¿Por qué SCIM no está soportado de forma nativa en ADFS?
ADFS es un servicio de federación local construido sobre los protocolos SAML y WS-Federation. No incluye un endpoint SCIM integrado. Para usar SCIM con ADFS en Document360, necesitas una herramienta de aprovisionamiento de terceros o una integración personalizada que conecte ADFS con el protocolo SCIM.
¿Qué ocurre con el perfil de un usuario en Document360 si lo borro en ADFS?
Eliminar un perfil de usuario en tu IdP no lo elimina de Document360. El perfil permanecerá en Document360 con un estado Inactivo.
¿En qué se diferencia el mapeo de reglas de reclamaciones de ADFS OpenID del mapeo de reglas de reclamaciones de SAML?
El mapeo de reglas de reclamación para OpenID Connect ADFS utiliza Email como tipo de reclamación saliente para direcciones de correo, mientras que la configuración SAML utiliza Email-Addresses. Asegúrate de usar el tipo de reclamación correcto para el protocolo que estés configurando.