Active Directory Federation Services (ADFS) es el proveedor de identidad local de Microsoft que permite la identidad federada y el inicio de sesión único entre aplicaciones. Con el SSO SAML configurado entre ADFS y Document360, los miembros de tu equipo y lectores pueden iniciar sesión en Document360 usando sus credenciales de Active Directory existentes.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con ADFS como tu IDP
| Capacidad | Apoyado |
|---|---|
| Autenticación de miembro del equipo (portal) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Inicio de sesión iniciado por IdP | Sí |
| Provisión SCIM | Sí (solo a través de herramientas de terceros o integraciones personalizadas) |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
ADFS no soporta de forma nativa la provisión SCIM. SCIM solo puede activarse usando herramientas de terceros o integraciones personalizadas.
Antes de que empieces
- Tienes acceso administrativo tanto a Document360 como a tu servidor ADFS.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Abre Document360 y ADFS en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.
Paso 1: Crear un fideicomiso de la parte de confianza en ADFS
Añadir la aplicación en ADFS
- Inicia sesión en la consola de gestión de ADFS en tu servidor ADFS.
- En la consola de gestión de ADFS, navega hasta Fideicomisos de Parte Confiable.
- Haz clic derecho en Fideicomisos de Parte Confiable y selecciona Añadir Fideicomiso de Parte Confiable.
- En el Asistente de Confianza de Parte Dependiendo de Añade, elige Conocimiento de Reclamaciones y haz clic en Iniciar.
- Selecciona Introducir datos sobre la parte de confianza manualmente y haz clic en Siguiente.
- Proporciona un nombre de usuario (por ejemplo, "Document360 SAML SSO") y haz clic en Siguiente.
- En el paso Configurar Certificado , haz clic en Siguiente (puedes saltarte esto si no usas un certificado).
- En Configurar URL, seleccione Habilitar soporte para el protocolo SAML 2.0 Web SSO.
Paso 2: Configurar ADFS con los parámetros del proveedor de servicios Document360
Obtén los parámetros SP de Document360
- Abre Document360 en una pestaña separada.
- Navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO.
- Selecciona ADFS como tu Proveedor de Identidad (IdP) para navegar automáticamente a la página Configurar el Proveedor de Servicios (SP ).
- En la página Configurar el proveedor de servicio (SP ), seleccione el botón de radio SAML como protocolo.
- Se mostrará un conjunto de parámetros para completar la configuración SAML en ADFS.
Introduce los parámetros de Document360 en ADFS
Introduce los parámetros de Document360 en los campos correspondientes de los pasos Configurar URL e Identificadores en ADFS usando el mapeo que aparece a continuación.
| ADFS | Document360 |
|---|---|
| Confiando en el identificador de la parte | ID de entidad del proveedor de servicios |
| URL de inicio de sesión | Ruta de retrollamada |
| URL de cierre de sesión | Ruta de devolución de llamada desconectada |
| Confiar en el identificador fiduciario de la parte | Nombre de subdominio |
| URL de metadatos | Ruta de metadatos |
- Haz clic en Siguiente y completa los pasos restantes del asistente, como configurar la autenticación multifactor si es necesario y permitir que todos los usuarios accedan a la aplicación.
- Revisa tus ajustes y haz clic en Siguiente para añadir la confianza de la parte confiable.
- En la última pantalla, marca la casilla Abrir el cuadro de Editar Reglas de Reclamación y haz clic en Cerrar.
Paso 3: Configurar las reglas de reclamaciones en ADFS
Añadir reglas de reclamación
- En el cuadro de Editar Reglas de Reclamación , haz clic en Añadir regla.
- Selecciona Enviar Atributos LDAP como Reclamaciones como plantilla de regla y haz clic en Siguiente.
- Proporciona un nombre para la regla de reclamación (por ejemplo, "Enviar atributos LDAP").
- Configura lo siguiente:
- Almacenamiento de atributos: Seleccione Active Directory.
- Mapeo:
- Atributo LDAP: Nombre-Principal-Usuario | Tipo de reclamación saliente: ID de nombre
- Atributo LDAP: Direcciones de correo electrónico | Tipo de reclamación saliente: Direcciones de correo electrónico
- Atributo LDAP: Nombre de visualización | Tipo de reclamación saliente: Nombre
- Haz clic en Terminar para añadir la regla.
- Haz clic en Aplicar para guardar tus cambios y cierra el diálogo.
Paso 4: Completar la configuración SSO en Document360
Configurar el proveedor de identidad en Document360
- Vuelva a la pestaña Document360 que muestra la página Configurar el Proveedor de Servicios (SP) y haga clic en Siguiente para navegar a la página Configurar el Proveedor de Identidad (IdP ).
- El campo Configurar una conexión existente te permite heredar una configuración SSO que ya tenga SCIM activado desde un proyecto padre. Al seleccionar esta opción, la configuración actual del SSO se convierte en hija y hereda automáticamente la configuración SCIM del proyecto principal.
- Introduce los valores correspondientes de tu configuración ADFS usando el mapeo que aparece a continuación.
| ADFS | Document360 |
|---|---|
| URL de inicio de sesión SAML | URL de inicio de sesión único del proveedor de identidad |
| Identificador (ID de entidad) | Proveedor de Identidad Emisor |
| Certificado X.509 | Certificado SAML |
- Descarga el Certificado X.509 de ADFS y súbelo al campo Certificado SAML en Document360.
Al exportar el certificado X.509 desde ADFS, seleccione codificado Base-64 (. CER). El formato codificado por defecto en DER no es compatible con la configuración SAML de Document360.
- Activa o desactiva la opción Permitir inicio de sesión IdP según las necesidades de tu proyecto.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 5: Configurar el aprovisionamiento SCIM
La provisión SCIM permite automatizar la gestión del ciclo de vida del usuario y del lector entre ADFS y Document360. Como ADFS no soporta SCIM de forma nativa, esto requiere una herramienta de terceros o una integración personalizada.
Si no necesitas aprovisionamiento SCIM, salta al Paso 6: Más ajustes.
Activar SCIM en Document360
- Activa el interruptor Habilitar provisión SCIM .
- Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
- A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM.
La provisión SCIM en ADFS puede habilitarse solo usando herramientas de terceros o integraciones personalizadas. ADFS no soporta de forma nativa la provisión SCIM.
- Introduce los parámetros requeridos desde Document360 en los campos correspondientes de tu aplicación personalizada.
Asignar roles y grupos por defecto en Document360
- En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a la página de Más ajustes .
Paso 6: Más ajustes
Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
- En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
- Asignación automática del grupo lector — esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos. Infártese más sobre el grupo de lectores de asignación automática.
- Activa la desconexión del usuario SSO inactivo si es necesario, y cambia el programa según tus necesidades.
- Haz clic en Crear para completar la configuración SAML SSO.
Gestión de usuarios en ADFS
Para ver los lectores añadidos a través de tu integración con ADFS:
- En Document360, navega a Configuración () > Usuarios y permisos > Lectores y grupos.
- Selecciona al lector para acceder a su perfil.
Los lectores provisionados mediante SCIM mostrarán una insignia SSO-SCIM junto a su nombre.
Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360, ya que estas acciones deben gestionarse a través de tu IdP para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360. Eliminar un perfil en tu IdP no lo elimina de Document360 — el perfil permanecerá con un estado Inactivo.
Gestionar el acceso al contenido de lectores, usuarios y grupos
El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.
- Selecciona el lector deseado y haz clic en Gestionar acceso al contenido.
- Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.
También puedes gestionar grupos para un lector haciendo clic en Gestionar grupos en la sección de Grupos de Lectores.
Mejores prácticas
- Exporta el certificado en Base-64 codificado (. CER). El formato codificado por DER por defecto de ADFS no es compatible con Document360. Siempre selecciona codificación Base-64 al exportar el certificado X.509.
- Utiliza una herramienta de terceros para SCIM. ADFS no soporta de forma nativa la provisión SCIM. Planifica tu enfoque de aprovisionamiento de usuarios antes de habilitar SCIM en Document360.
- Configura cuidadosamente las reglas de reclamación. Asegúrate de que los tres asignados de atributos LDAP (ID de nombre, direcciones de correo electrónico y nombre) estén configurados correctamente. Las reclamaciones faltantes o incorrectas provocarán fallos en la autenticación.
- Prueba primero con un solo usuario. Antes de desplegar SSO a todos los usuarios, prueba la configuración con un solo usuario para verificar que las reglas de reclamación, certificados y URLs funcionan correctamente.
Preguntas frecuentes
¿Por qué SCIM no está soportado de forma nativa en ADFS?
ADFS es un servicio de federación local construido sobre los protocolos SAML y WS-Federation. No incluye un endpoint SCIM integrado. Para usar SCIM con ADFS en Document360, necesitas una herramienta de aprovisionamiento de terceros o una integración personalizada que conecte ADFS con el protocolo SCIM.
¿Qué formato de certificado requiere Document360 para ADFS?
Document360 requiere el certificado X.509 codificado en Base-64 (. CER). Al exportar desde ADFS, asegúrate de seleccionar este formato. El formato codificado por defecto en DER no es compatible.
¿Qué ocurre con el perfil de un usuario en Document360 si lo borro en ADFS?
Eliminar un perfil de usuario en tu IdP no lo elimina de Document360. El perfil permanecerá en Document360 con un estado Inactivo.