Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

SAML SSO con ADFS

Prev Next

Active Directory Federation Services (ADFS) es el proveedor de identidad local de Microsoft que permite la identidad federada y el inicio de sesión único entre aplicaciones. Con el SSO SAML configurado entre ADFS y Document360, los miembros de tu equipo y lectores pueden iniciar sesión en Document360 usando sus credenciales de Active Directory existentes.

NOTA

Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.

Qué puedes hacer con ADFS como tu IDP

Capacidad Apoyado
Autenticación de miembro del equipo (portal)
Autenticación de lector (sitio de la base de conocimiento)
Inicio de sesión iniciado por IdP
Provisión SCIM Sí (solo a través de herramientas de terceros o integraciones personalizadas)
Herencia de configuración SSO (proyectos padre-hijo)

NOTA

ADFS no soporta de forma nativa la provisión SCIM. SCIM solo puede activarse usando herramientas de terceros o integraciones personalizadas.


Antes de que empieces

  • Tienes acceso administrativo tanto a Document360 como a tu servidor ADFS.
  • Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
  • Abre Document360 y ADFS en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.

Paso 1: Crear un fideicomiso de la parte de confianza en ADFS

Añadir la aplicación en ADFS

  1. Inicia sesión en la consola de gestión de ADFS en tu servidor ADFS.
  2. En la consola de gestión de ADFS, navega hasta Fideicomisos de Parte Confiable.
  3. Haz clic derecho en Fideicomisos de Parte Confiable y selecciona Añadir Fideicomiso de Parte Confiable.
  4. En el Asistente de Confianza de Parte Dependiendo de Añade, elige Conocimiento de Reclamaciones y haz clic en Iniciar.
  5. Selecciona Introducir datos sobre la parte de confianza manualmente y haz clic en Siguiente.
  6. Proporciona un nombre de usuario (por ejemplo, "Document360 SAML SSO") y haz clic en Siguiente.
  7. En el paso Configurar Certificado , haz clic en Siguiente (puedes saltarte esto si no usas un certificado).
  8. En Configurar URL, seleccione Habilitar soporte para el protocolo SAML 2.0 Web SSO.

Paso 2: Configurar ADFS con los parámetros del proveedor de servicios Document360

Obtén los parámetros SP de Document360

  1. Abre Document360 en una pestaña separada.
  2. Navega a Configuración () > Usuarios y permisos > Configuración SSO.
  3. Haz clic en Crear SSO.
Settings page showing SSO configuration options and user permissions for identity providers.
  1. Selecciona ADFS como tu Proveedor de Identidad (IdP) para navegar automáticamente a la página Configurar el Proveedor de Servicios (SP ).
Select an Identity Provider for SSO configuration, highlighting ADFS option prominently.
  1. En la página Configurar el proveedor de servicio (SP ), seleccione el botón de radio SAML como protocolo.
  2. Se mostrará un conjunto de parámetros para completar la configuración SAML en ADFS.
Configuration settings for SSO using SAML and ADFS management overview.

Introduce los parámetros de Document360 en ADFS

Introduce los parámetros de Document360 en los campos correspondientes de los pasos Configurar URL e Identificadores en ADFS usando el mapeo que aparece a continuación.

ADFS Document360
Confiando en el identificador de la parte ID de entidad del proveedor de servicios
URL de inicio de sesión Ruta de retrollamada
URL de cierre de sesión Ruta de devolución de llamada desconectada
Confiar en el identificador fiduciario de la parte Nombre de subdominio
URL de metadatos Ruta de metadatos
  1. Haz clic en Siguiente y completa los pasos restantes del asistente, como configurar la autenticación multifactor si es necesario y permitir que todos los usuarios accedan a la aplicación.
  2. Revisa tus ajustes y haz clic en Siguiente para añadir la confianza de la parte confiable.
  3. En la última pantalla, marca la casilla Abrir el cuadro de Editar Reglas de Reclamación y haz clic en Cerrar.

Paso 3: Configurar las reglas de reclamaciones en ADFS

Añadir reglas de reclamación

  1. En el cuadro de Editar Reglas de Reclamación , haz clic en Añadir regla.
  2. Selecciona Enviar Atributos LDAP como Reclamaciones como plantilla de regla y haz clic en Siguiente.
  3. Proporciona un nombre para la regla de reclamación (por ejemplo, "Enviar atributos LDAP").
  4. Configura lo siguiente:
    • Almacenamiento de atributos: Seleccione Active Directory.
    • Mapeo:
      • Atributo LDAP: Nombre-Principal-Usuario | Tipo de reclamación saliente: ID de nombre
      • Atributo LDAP: Direcciones de correo electrónico | Tipo de reclamación saliente: Direcciones de correo electrónico
      • Atributo LDAP: Nombre de visualización | Tipo de reclamación saliente: Nombre
  5. Haz clic en Terminar para añadir la regla.
  6. Haz clic en Aplicar para guardar tus cambios y cierra el diálogo.

Paso 4: Completar la configuración SSO en Document360

Configurar el proveedor de identidad en Document360

  1. Vuelva a la pestaña Document360 que muestra la página Configurar el Proveedor de Servicios (SP) y haga clic en Siguiente para navegar a la página Configurar el Proveedor de Identidad (IdP ).
Configuration settings for Single Sign-On with highlighted fields for user input.
  1. El campo Configurar una conexión existente te permite heredar una configuración SSO que ya tenga SCIM activado desde un proyecto padre. Al seleccionar esta opción, la configuración actual del SSO se convierte en hija y hereda automáticamente la configuración SCIM del proyecto principal.
  2. Introduce los valores correspondientes de tu configuración ADFS usando el mapeo que aparece a continuación.
ADFS Document360
URL de inicio de sesión SAML URL de inicio de sesión único del proveedor de identidad
Identificador (ID de entidad) Proveedor de Identidad Emisor
Certificado X.509 Certificado SAML
  1. Descarga el Certificado X.509 de ADFS y súbelo al campo Certificado SAML en Document360.

NOTA

Al exportar el certificado X.509 desde ADFS, seleccione codificado Base-64 (. CER). El formato codificado por defecto en DER no es compatible con la configuración SAML de Document360.

  1. Activa o desactiva la opción Permitir inicio de sesión IdP según las necesidades de tu proyecto.
  2. Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .

Paso 5: Configurar el aprovisionamiento SCIM

La provisión SCIM permite automatizar la gestión del ciclo de vida del usuario y del lector entre ADFS y Document360. Como ADFS no soporta SCIM de forma nativa, esto requiere una herramienta de terceros o una integración personalizada.

Si no necesitas aprovisionamiento SCIM, salta al Paso 6: Más ajustes.

Activar SCIM en Document360

  1. Activa el interruptor Habilitar provisión SCIM .
Instructions for enabling SCIM provisioning in Document360 for user synchronization.
  1. Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
  2. A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM.

NOTA

La provisión SCIM en ADFS puede habilitarse solo usando herramientas de terceros o integraciones personalizadas. ADFS no soporta de forma nativa la provisión SCIM.

  1. Introduce los parámetros requeridos desde Document360 en los campos correspondientes de tu aplicación personalizada.
Configuration settings for SCIM provisioning and identity provider setup in a web interface.

Asignar roles y grupos por defecto en Document360

  1. En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
  2. En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
  3. Haz clic en Siguiente para navegar a la página de Más ajustes .

Paso 6: Más ajustes

Configurar el nombre del SSO y las opciones de inicio de sesión

  1. En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
  2. En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
  3. Asignación automática del grupo lector — esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos. Infártese más sobre el grupo de lectores de asignación automática.
  4. Activa la desconexión del usuario SSO inactivo si es necesario, y cambia el programa según tus necesidades.
Settings for creating a new SSO, including name and login button customization options.
  1. Haz clic en Crear para completar la configuración SAML SSO.

Gestión de usuarios en ADFS

Para ver los lectores añadidos a través de tu integración con ADFS:

Overview of reader management settings, highlighting user accounts and permissions synchronization.
  1. En Document360, navega a Configuración () > Usuarios y permisos > Lectores y grupos.
  2. Selecciona al lector para acceder a su perfil.

Los lectores provisionados mediante SCIM mostrarán una insignia SSO-SCIM junto a su nombre.

NOTA

Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360, ya que estas acciones deben gestionarse a través de tu IdP para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360. Eliminar un perfil en tu IdP no lo elimina de Document360 — el perfil permanecerá con un estado Inactivo.

Gestionar el acceso al contenido de lectores, usuarios y grupos

El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.

  1. Selecciona el lector deseado y haz clic en Gestionar acceso al contenido.
  2. Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.
Editing reader account settings, including content access and associated groups options.

NOTA

También puedes gestionar grupos para un lector haciendo clic en Gestionar grupos en la sección de Grupos de Lectores.


Mejores prácticas

  • Exporta el certificado en Base-64 codificado (. CER). El formato codificado por DER por defecto de ADFS no es compatible con Document360. Siempre selecciona codificación Base-64 al exportar el certificado X.509.
  • Utiliza una herramienta de terceros para SCIM. ADFS no soporta de forma nativa la provisión SCIM. Planifica tu enfoque de aprovisionamiento de usuarios antes de habilitar SCIM en Document360.
  • Configura cuidadosamente las reglas de reclamación. Asegúrate de que los tres asignados de atributos LDAP (ID de nombre, direcciones de correo electrónico y nombre) estén configurados correctamente. Las reclamaciones faltantes o incorrectas provocarán fallos en la autenticación.
  • Prueba primero con un solo usuario. Antes de desplegar SSO a todos los usuarios, prueba la configuración con un solo usuario para verificar que las reglas de reclamación, certificados y URLs funcionan correctamente.

Preguntas frecuentes

¿Por qué SCIM no está soportado de forma nativa en ADFS?

ADFS es un servicio de federación local construido sobre los protocolos SAML y WS-Federation. No incluye un endpoint SCIM integrado. Para usar SCIM con ADFS en Document360, necesitas una herramienta de aprovisionamiento de terceros o una integración personalizada que conecte ADFS con el protocolo SCIM.

¿Qué formato de certificado requiere Document360 para ADFS?

Document360 requiere el certificado X.509 codificado en Base-64 (. CER). Al exportar desde ADFS, asegúrate de seleccionar este formato. El formato codificado por defecto en DER no es compatible.

¿Qué ocurre con el perfil de un usuario en Document360 si lo borro en ADFS?

Eliminar un perfil de usuario en tu IdP no lo elimina de Document360. El perfil permanecerá en Document360 con un estado Inactivo.