Okta es un Proveedor de Identidad (IdP) que gestiona el acceso de usuarios a través de múltiples aplicaciones desde una sola plataforma. Con OpenID Connect SSO configurado entre Okta y Document360, tus usuarios y lectores pueden iniciar sesión en Document360 usando sus credenciales Okta existentes.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con Okta como tu IDP
| Capacidad | Apoyado |
|---|---|
| Autenticación por usuarios (portales) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Provisión de usuarios SCIM | Sí |
| Provisión de lectores SCIM | Sí |
| Sincronización de grupo SCIM | Sí |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
Al usar Okta con OpenID Connect, la provisión SCIM requiere una aplicación OAuth Bearer Token separada del catálogo de aplicaciones de Okta. A diferencia de la configuración SAML, SCIM no puede activarse dentro de la misma aplicación OIDC.
Antes de que empieces
- Tienes una cuenta activa de Okta con acceso de administrador. Si necesitas crear uno, regístrate en developer.okta.com/signup.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Abre Document360 y Okta en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.
Paso 1: Crear una aplicación OpenID Connect en Okta
- Inicia sesión en tu cuenta de Okta y haz clic en Administrador en la esquina superior derecha para cambiar a la consola de administración.
- En la navegación izquierda, expande Aplicaciones y haz clic en Aplicaciones.
- Haz clic en Crear integración de app.
- Selecciona OIDC - OpenID Connect como método de inicio de sesión.
- Elige Aplicación Web como tipo de aplicación y haz clic en Siguiente.
- En la página de Integración de Nueva Aplicación Web , introduce un nombre para tu aplicación en el campo de nombre de Integración de Aplicaciones .
Paso 2: Obtener los parámetros SP de Document360
- Abre Document360 en una pestaña separada.
- Navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO.
- Selecciona Okta como tu proveedor de identidad para navegar automáticamente a la página Configurar el Proveedor de Servicios (SP ).
- En la página Configurar el proveedor de servicios (SP ), seleccione el botón de opción OpenID .
- Se mostrará un conjunto de parámetros.
Paso 3: Introduce los parámetros de Document360 en Okta
- Cambia a la pestaña Okta en la página de Integración de Nueva App Web.
- Introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| Document360 | Okta |
|---|---|
| URIs de redirección de inicio de sesión | URI de redirección de inicio de sesión |
| URIs de redirección de cierre de sesión | Cerrar sesión con el URI de redirección |
- Desplázate hacia abajo hasta Asignaciones y selecciona la opción de acceso controlado deseada.
- Haz clic en Guardar. Serás redirigido a la página General de la solicitud.
Paso 4: Configurar el proveedor de identidad en Document360
- Vuelve a Document360 en la página Configurar el Proveedor de Servicios (SP) y haz clic en Siguiente para navegar a la página Configurar el Proveedor de Identidad (IdP ).
- Introduce los valores correspondientes de tu aplicación Okta usando el mapeo que aparece a continuación.
| Okta | Document360 |
|---|---|
| ID de cliente | ID de cliente |
| Secreto del cliente | Secreto del cliente |
| URI del emisor | Autoridad |
Para encontrar el URI del emisor en Okta, navega a Security > API.
- En el campo Scope (opcional), escribe un valor de scope y haz clic en + para añadirlo como chip. Esto define qué información o permisos de usuario solicita Document360 a Okta. Puedes sumar hasta 3 miras.
- Asegúrate de que el ID del cliente y el secreto del cliente coincidan con los valores generados en Okta.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 5: Configurar el aprovisionamiento SCIM
La provisión SCIM automatiza la gestión del ciclo de vida del usuario y del lector entre Okta y Document360. Al usar OpenID Connect, SCIM requiere una aplicación separada de OAuth Bearer Token en el catálogo Okta. No puede activarse dentro de la misma aplicación OIDC.
Si no necesitas aprovisionamiento SCIM, salta al paso 6: Configura el nombre del SSO y las opciones de acceso.
Activar SCIM en Document360
- Activa el interruptor Habilitar provisión SCIM .
- Aparece un diálogo de confirmación. Revisa los términos y haz clic en Aceptar.
- A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM en Okta.
Añadir la aplicación SCIM OAuth Bearer Token en Okta
- En Okta, expande Aplicaciones en la navegación izquierda y haz clic en Aplicaciones.
- Haz clic en Explorar catálogo de aplicaciones y busca SCIM 2.0 (OAuth Bearer Token), luego selecciona Ver todos los resultados.
- En los resultados de búsqueda, selecciona (OAuth Bearer Token) Gobernanza con SCIM 2.0 y haz clic en Añadir integración.
Asegúrate de seleccionar la aplicación correcta. No selecciones la versión de la app de prueba.
- En la página de Configuración General , puedes cambiar la etiqueta de la Aplicación si lo necesitas y hacer clic en Siguiente.
- Haz clic en Terminado en la página de opciones de Inicio de sesión.
No se necesita ninguna configuración en la página de opciones de Inicio de Sesión. Esta aplicación está creada únicamente para el aprovisionamiento SCIM — la configuración SSO de OpenID ya se había completado en los pasos anteriores.
Configurar la conexión de la API SCIM en Okta
- En la app SCIM, ve a la pestaña de Aprovisionamiento y selecciona Configurar integración con la API.
- Seleccione la casilla de verificación Habilitar integración de API . Se mostrará un conjunto de campos.
- Introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| Document360 | Okta |
|---|---|
| SCIM Base URL | Base URL |
| Ficha secreta principal | Ficha portadora OAuth |
No hagas clic en Probar Configuración del Conector todavía. En esta fase, el provisionamiento SCIM no funcionará con Document360 porque la configuración SSO aún no está completada en Document360.
- Una vez terminado, vuelve a Document360 para completar la configuración.
Asignar roles y grupos por defecto en Document360
- Activa el interruptor de Activar sincronización de grupo si es necesario.
- En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a la página de Más ajustes .
Paso 6: Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
- En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
- Asignación automática del grupo lector — esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos. Infártese más sobre el grupo de lectores de asignación automática.
- Activa la desconexión del usuario SSO inactivo si es necesario, y cambia el programa según tus necesidades.
- Elige si invitas a cuentas de usuarios y lectores existentes a SSO.
- Haz clic en Crear para completar la configuración de OpenID SSO.
Paso 7: Completa la integración de SCIM en Okta
- Vuelve a la app Okta SCIM.
- Haz clic en Probar credenciales de API. Aparecerá un mensaje de éxito confirmando que la aplicación SCIM está integrada correctamente.
- Haz clic en Guardar.
- Ve a la pestaña de Provisionamiento , selecciona Para la aplicación y haz clic en Editar en la sección Aprovisionamiento en la App .
- Selecciona solo las siguientes acciones compatibles:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
- Haz clic en Guardar.
La provisión SCIM con Okta OpenID Connect ya está configurada con éxito.
La configuración SSO basada en el protocolo OpenID se ha configurado con éxito usando Okta.
Para más detalles sobre cómo gestionar usuarios, lectores y grupos, consulta Gestión de usuarios y lectores con SCIM en Okta.
Mejores prácticas
- Usa una app SCIM separada para el provisionamiento. Al usar OpenID Connect con Okta, SCIM requiere su propia aplicación OAuth Bearer Token del catálogo de Okta. No intentes activar SCIM dentro de la aplicación OIDC.
- Selecciona la aplicación SCIM correcta. Busca (OAuth Bearer Token) Gobernanza con SCIM 2.0 específicamente. No selecciones la versión de la app de prueba.
- Completa la configuración SSO de Document360 antes de probar SCIM. Hacer clic en Configuración del Conector de Prueba antes de guardar la configuración de Document360 fallará. Guarda siempre primero la configuración de Document360 y luego vuelve a Okta para probar.
- Selecciona solo las tres acciones de aprovisionamiento soportadas. Habilitar acciones no soportadas puede causar errores de provisionamiento. Limita la selección para crear usuarios, actualizar atributos de usuario y desactivar usuarios.
Preguntas frecuentes
¿Por qué necesito una app separada para SCIM cuando uso OpenID Connect con Okta?
La integración de la app OIDC en Okta solo gestiona la autenticación. No soporta la provisión SCIM de forma nativa. Se necesita una aplicación separada de OAuth Bearer Token para establecer la conexión SCIM entre Okta y Document360. Esto es diferente de la configuración SAML, donde SCIM puede activarse dentro de la misma aplicación Okta.
¿Dónde encuentro el URI del Emisor en Okta?
En Okta, navega a Security > API. El URI del Emisor está listado allí y corresponde al campo Autoridad en la página de configuración IdP de Document360.
¿Qué son los endoscopios y necesito añadirlos?
Los ámbitos definen qué información o permisos de usuario solicita Document360 a Okta durante la autenticación. El campo Scope es opcional: puedes añadir hasta 3 telescopios escribiendo un valor y pulsando el botón + . Si no tienes claro si se necesitan los endoscopios, consulta con el administrador de tu Okta.