El Lenguaje de Marcado de Aserción de Seguridad (SAML) es un estándar abierto para el intercambio de datos de autenticación y autorización entre un Proveedor de Identidad (IdP) y un Proveedor de Servicios (SP). En términos sencillos, SAML permite a un usuario iniciar sesión una vez a través del sistema de identidad de su organización y acceder a Document360 sin necesidad de un nombre de usuario y contraseña separados.
Document360 actúa como proveedor de servicios (SP). La plataforma de identidad que elijas, como Okta, Microsoft Entra o Google Workspace, actúa como el Proveedor de Identidad (IdP). Cuando un usuario inicia sesión, el IdP verifica su identidad y envía una afirmación firmada digitalmente a Document360, que concede acceso.
¿Por qué usar SAML SSO?
- Control de acceso centralizado. Gestiona quién puede acceder a Document360 desde tu plataforma de identidad existente sin crear cuentas separadas.
- Seguridad mejorada. La autenticación se realiza a través de tu IdP, que puede hacer cumplir MFA, políticas de acceso condicional y controles de sesión.
- Mejor experiencia de usuario. Los usuarios inician sesión una vez a través del portal de su organización y acceden directamente a Document360, sin iniciar sesión adicionales.
- Fuera de bordo simplificado. Desactivar un usuario en tu IdP impide inmediatamente el acceso a Document360.
Cómo funciona la configuración SAML SSO en Document360
Configurar SAML SSO en Document360 siempre sigue el mismo patrón de tres etapas, independientemente del proveedor de identidad que utilices:
- Crea una aplicación SAML en tu proveedor de identidad usando los parámetros de proveedor de servicios (SP) de Document360.
- Completa la configuración SSO en Document360 usando los parámetros de tu proveedor de identidad, incluyendo la URL de inicio de sesión, el ID de la entidad y el certificado X.509.
- Configura ajustes opcionales como aprovisionamiento SCIM, nombre SSO, personalización de botones de inicio de sesión y opciones de invitación de usuario.
Selecciona tu proveedor de identidad a continuación para seguir la guía paso a paso de configuración.
Proveedores de Identidad Soportados
Document360 soporta SAML SSO con los siguientes Proveedores de Identidad. Selecciona tu proveedor para empezar.
Google Workspace
Configura SAML SSO con Google Workspace. Nota: SCIM no es compatible.
Configura Google →Otros proveedores
Configura un SSO SAML con cualquier proveedor de identidad compatible con SAML 2.0.
Configura otros → de IDPsCapacidades SAML por proveedor
| Proveedor de identidad | Autenticación de miembros del equipo | Autenticación lectora | Inicio de sesión iniciado por IdP | Provisión SCIM |
|---|---|---|---|---|
| Okta | Sí | Sí | Sí | Sí (usuarios y lectores) |
| Microsoft Entra | Sí | Sí | Sí | Sí (usuarios y lectores) |
| Google Workspace | Sí | Sí | Sí | No |
| OneLogin | Sí | Sí | Sí | Sí (solo lectores) |
| ADFS | Sí | Sí | Sí | Sí (a través de herramientas de terceros) |
| Otros proveedores | Sí | Sí | Sí | Sí (si IdP soporta SCIM) |
Inicio de sesión iniciado por IdP
Por defecto, los usuarios inician el flujo de inicio de sesión desde la página de inicio de sesión de Document360 (inicio de sesión iniciado por SP). Cuando se habilita el inicio de sesión iniciado por IdP , los usuarios pueden iniciar sesión directamente desde el panel de su proveedor de identidad y acceder a Document360 sin necesidad de visitar primero la página de inicio de sesión de Document360.
Los siguientes proveedores de identidad soportan inicio de sesión mediante IdP con Document360: Okta, Microsoft Entra, Google Workspace, OneLogin y ADFS.
Cómo funciona:
- Una vez activada la opción de iniciar sesión iniciada por IdP , se obtiene una URL exclusiva de inicio de sesión iniciada por IdP desde el IdP y se comparte con los usuarios de SSO.
- Los usuarios utilizan este enlace para iniciar sesión en el panel de control de su Proveedor de Identidad.
- El usuario selecciona el proyecto configurado y accede directamente a Document360.
Para habilitar el inicio de sesión iniciado por IdP durante la configuración inicial del SSO, activa el interruptor Permitir inicio de sesión iniciado por IdP en la página Configurar el Proveedor de Identidad (IdP ).
Para habilitarlo en una configuración SSO existente:
- Navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Pasa el cursor sobre la configuración existente del SSO y haz clic en el icono Editar ().
- Ve a la pestaña de configuraciones de IdP .
- Activa el interruptor de inicio de sesión iniciado en Permitir IdP .
- Haz clic en Guardar.
Si recibes un error al intentar acceder a Document360 desde tu panel de control de IdP, probablemente sea porque el interruptor Permitir inicio de sesión iniciado en IdP no está activado. Sigue los pasos anteriores para habilitarlo.
Gestión del certificado SSO
Document360 utiliza un certificado X.509 para validar las afirmaciones SAML de tu proveedor de identidad. Los certificados tienen fechas de caducidad. Cuando un certificado expira, la autenticación SSO fallará para todos los usuarios.
Un banner de Aviso de Rotación de Certificado SAML aparece en la página de Configuración SSO 15 días antes de la expiración, permitiéndote descargar el certificado actualizado y renovarlo en tu proveedor de identidad antes de que el acceso se interrumpa.
Infórmate más sobre la gestión de certificados SSO →
Otros recursos SAML
Provisión SCIM
Automatiza la gestión del ciclo de vida de usuarios y lectores usando SCIM con Okta o Entra.
Aprende sobre SCIM →Eliminar una configuración SAML SSO
Aprende qué ocurre cuando eliminas un SSO SAML configurado y cómo hacerlo de forma segura.
Eliminar el SAML SSO →Preguntas frecuentes
¿Puedo usar SAML y JWT al mismo tiempo?
Sí. SAML y JWT pueden coexistir en Document360. SAML gestiona la autenticación de usuarios y lectores a través de un Proveedor de Identidad, mientras que JWT suele ser utilizado por desarrolladores para autenticar lectores de forma programática a través de su propia aplicación. Ambos pueden estar activos en el mismo proyecto al mismo tiempo.
¿Puedo configurar más de un SSO SAML en un solo proyecto de Document360?
Sí. Puedes configurar varias configuraciones SAML SSO en el mismo proyecto, cada una con un proveedor de identidad diferente. Por ejemplo, puedes tener configuraciones separadas para Okta, Microsoft Entra y Google Workspace activas al mismo tiempo.