Okta es un Proveedor de Identidad (IdP) que gestiona el acceso de usuarios a través de múltiples aplicaciones desde una sola plataforma. Con el SSO SAML configurado entre Okta y Document360, tus usuarios y lectores pueden iniciar sesión en Document360 usando sus credenciales Okta existentes, sin necesidad de una contraseña separada.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con Okta como tu IDP
| Capacidad | Apoyado |
|---|---|
| Autenticación por usuarios (portales) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Inicio de sesión iniciado por IdP | Sí |
| Provisión de usuarios SCIM | Sí |
| Provisión de lectores SCIM | Sí |
| Sincronización de grupo SCIM | Sí |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
Antes de que empieces
- Tienes una cuenta activa de Okta con acceso de administrador. Si necesitas crear uno, apúntate en developer.okta.com/signup.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Abre Document360 y Okta en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.
Paso 1: Crear una aplicación SAML en Okta
Crear la integración de la app
- Inicia sesión en tu cuenta de Okta y haz clic en Administrador en la esquina superior derecha para cambiar a la consola de administración.
- En la navegación izquierda, expande Aplicaciones y haz clic en Aplicaciones.
- Haz clic en Crear integración de app.
- En el cuadro de diálogo de integración Crear una nueva aplicación , selecciona SAML 2.0 como método de inicio de sesión y haz clic en Siguiente.
Configurar ajustes generales
- En la pestaña de Configuración General , introduce un nombre para tu aplicación en el campo de nombre de la aplicación (por ejemplo, "Document360 SSO").
- Opcionalmente, sube un logo y configura la configuración de visibilidad de la app.
- Haz clic en Siguiente para proceder a la pestaña Configurar SAML .
Configurar configuraciones SAML usando parámetros de Document360
Necesitas los parámetros del Proveedor de Servicios (SP) de Document360 para completar este paso.
Obtén los parámetros de Document360:
- En Document360, navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO y selecciona Okta como tu proveedor de identidad.
- Document360 muestra la página Configurar el Proveedor de Servicios (SP) con los parámetros que necesitas.
Introduce los parámetros en Okta:
- Cambia a la pestaña Okta. En la pestaña Configurar SAML , introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| Document360 | Okta |
|---|---|
| Ruta de retrollamada | URL de inicio de sesión único |
| ID de entidad del proveedor de servicios | URI de audiencia (ID de entidad SP) |
- Configura el formato del ID de Nombre a Dirección de Correo Electrónico.
- Configura el nombre de usuario de la aplicación como Correo electrónico.
Los parámetros del correo electrónico y del nombre son sensibles a mayúsculas y minúsculas.
- Haz clic en Siguiente para acceder a la página de Comentarios .
Completa la página de comentarios
La página de Comentarios es para proporcionar información a Okta sobre cómo configuras la aplicación.
- Selecciona Esta es una aplicación interna que hemos creado.
- Haz clic en Terminar.
Tu aplicación Okta ya está creada.
Asignar sentencias de atributo de perfil
- En tu aplicación Okta, ve a la pestaña Iniciar sesión y desplázate hacia abajo hasta las sentencias de atributo.
- Expande Mostrar configuración heredada y haz clic en Editar en las sentencias de atributo del perfil.
- Añade las siguientes declaraciones de atributo. Tendrás que añadir dos filas adicionales.
| Nombre | Formato del nombre | Valor |
|---|---|---|
| urn:oasis:names:tc:SAML:2.0:nameid | Referencia URI | user.email |
| Nombre | No especificado | user.email |
| Correo electrónico | No especificado | user.email |
- Haz clic en Guardar.
Paso 2: Completar la configuración SSO en Document360
Recuperar instrucciones de configuración SAML de Okta
- En el panel de control de Okta, haz clic en Aplicaciones y selecciona Aplicaciones.
- Selecciona la aplicación activa que quieres configurar en Document360.
- Haz clic en la pestaña Iniciar sesión.
- Haz clic en Ver instrucciones de configuración de SAML.
Los parámetros necesarios para configurar Document360 se abrirán en una nueva página web.
Configurar el proveedor de identidad en Document360
- Cambia a la pestaña Document360, que debería seguir mostrando la página Configurar el proveedor de servicios (SP ).
- En el campo Configurar una conexión existente , puedes heredar de una configuración SSO ya creada que tenga SCIM activado en el proyecto padre. Al seleccionar y heredar esta conexión, la configuración actual de SSO se establecerá como la configuración SSO heredada por hijo y heredará automáticamente la configuración SCIM del padre.
Para más información sobre herencias, consulta Gestión de usuarios y lectores con SCIM en Okta.
- Completa los campos en la página Configurar el Proveedor de Identidad (IdP) usando las instrucciones de configuración de Okta.
- Descarga el certificado X.509 de Okta y adjunta el archivo descargado en el campo del certificado SAML en Document360.
| Document360 | Okta |
|---|---|
| URL de inicio de sesión | URL de inicio de sesión único del proveedor de identidad |
| ID de entidad | Proveedor de Identidad Emisor |
| Certificado SAML | Certificado X.509 |
- Activa o desactiva el interruptor de Permitir inicio de sesión IdP según tus necesidades. Descubre más sobre el inicio de sesión iniciado por el IdP.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 3: Configurar el aprovisionamiento SCIM
La provisión SCIM automatiza la gestión del ciclo de vida del usuario y del lector entre Okta y Document360. Cuando se habilita, los usuarios añadidos, actualizados o desactivados en Okta se sincronizan automáticamente con Document360.
Si no necesitas aprovisionamiento SCIM, haz clic en Siguiente y sigue las instrucciones del Paso 4: Más ajustes.
Activar SCIM en Document360
- En la página de aprovisionamiento SCIM , activa el interruptor Habilitar aprovisionamiento SCIM .
- Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
- A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM en Okta.
Las fichas primaria y secundaria se generan una vez y solo se muestran en el momento de la creación. Asegúrate de copiarlos y almacenarlos en un lugar seguro antes de guardar la configuración. Una vez guardada la configuración SSO, los tokens aparecerán enmascarados y no podrán recuperarse. Generar un token invalida el existente, tendrás que actualizar el nuevo token en tu configuración de Okta para seguir sincronizando sin interrupciones.
Habilitar la provisión SCIM en Okta
- En la Consola de Administración de Okta, expande Aplicaciones y haz clic en Aplicaciones.
- Selecciona la aplicación donde quieres habilitar el aprovisionamiento SCIM.
- Navega a la pestaña General y haz clic en Editar en Configuración de la app.
- Selecciona el botón de opción de aprovisionamiento SCIM y haz clic en Guardar.
Configurar la conexión SCIM en Okta
- Ve a la pestaña de Aprovisionamiento y, en la sección de Conexión SCIM , haz clic en Editar.
- Introduce la URL base SCIM de Document360 en el campo de URL base del conector SCIM de Okta usando el mapeo que aparece a continuación.
| Okta | Document360 |
|---|---|
| URL base del conector SCIM | SCIM Base URL |
| Autorización de cabecera HTTP | Ficha secreta principal |
- En el campo Identificador único para usuarios, introduzca Nombre de usuario.
- En Acciones de provisión soportadas, selecciona solo lo siguiente:
- Impulsar nuevos usuarios
- Actualizaciones de perfiles de Push
- Grupos de empuje
- Desde el desplegable de modo de autenticación , elige Encabezado HTTP.
- En Document360, copia el token secreto principal de la página de provisión SCIM.
- Pega el token secreto principal en el campo de Autorización de la Cabecera HTTP .
No hagas clic en Probar Configuración del Conector todavía. En esta fase, la provisión SCIM no funcionará con Document360 ya que la configuración SSO en Document360 aún no está completada.
Establecer roles y grupos por defecto en Document360
- Ve a la página de aprovisionamiento SCIM en Document360 y activa el interruptor Habilitar sincronización de grupo si es necesario. Esto asigna automáticamente a usuarios y lectores según los mapeos de tu grupo IdP.
- En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a la página de Más ajustes .
Para detalles completos sobre la gestión de usuarios, lectores y grupos a través de SCIM, incluyendo mapeo de atributos, constructor de expresiones, flujos de aprovisionamiento y desaprovisionamiento, véase Gestión de usuarios y lectores con SCIM en Okta.
Paso 4: Más ajustes
Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre SSO , introduce un nombre para tu configuración SSO.
- En el texto del botón Personalizar inicio de sesión, introduce el texto que quieres que se muestre en el botón de inicio de sesión.
- Activa la salida de sesión del usuario SSO inactivo si es necesario, y establece la duración tras la cual un usuario SSO inactivo será cerrado automáticamente sesión.
- Elige si invitar a todos los usuarios o a los usuarios seleccionados usando el botón Convertir cuentas existentes del equipo y lectores a botones de radio SSO .
- Haz clic en Crear para completar la configuración de la SSO.
Paso 5: Completar la configuración SCIM en Okta
Si activaste la provisión SCIM en el 3, complétalo ahora que la configuración de Document360 está guardada.
Prueba y guarda la conexión SCIM
Una vez creada con éxito la configuración SSO en Document360, la provisión SCIM ahora puede completarse en Okta.
- Vuelve a la Consola de Administración de Okta y asegúrate de que todos los detalles necesarios estén cubiertos.
- Haz clic en Configuración del Conector de Prueba para verificar la conexión entre Okta y Document360.
- Aparecerá un cuadro de confirmación que indicará que la prueba ha sido exitosa.
- Haz clic en Guardar para finalizar la configuración.
La configuración SSO basada en el protocolo SAML se ha configurado con éxito usando Okta.
Para más detalles sobre cómo añadir usuarios, lectores y grupos de usuarios y lectores, véase Gestión de usuarios y lectores con SCIM en Okta.
Mejores prácticas
- Guarda ambos tokens secretos de forma segura. Trata los tokens SCIM primarios y secundarios como contraseñas. Guárdalos en un gestor de secretos o en una bóveda de contraseñas, no en archivos de texto plano o repositorios de código.
- Usa la ficha secundaria para una rotación segura. Si el token principal alguna vez se expone, cambia Okta primero al token secundario y luego regenera el primario. Esto evita cualquier interrupción en la sincronización del usuario.
- Prueba primero en un entorno no productivo. Antes de desplegar SSO a todos los usuarios, configura y prueba la integración con un pequeño grupo para detectar cualquier problema de mapeo de atributos o acceso.
- Alinea el tiempo de espera de reposo con tu política de seguridad. Activa la salida de sesión de usuarios SSO inactivos y configura la duración para que se ajuste a los requisitos de gestión de sesiones de tu organización.
- No pruebes el conector SCIM antes de guardar la configuración de Document360. La prueba suspenderá en esa fase. Siempre completa y guarda primero la configuración SSO de Document360, luego vuelve a Okta para probar.
Preguntas frecuentes
¿Cuál es el propósito de tener tanto un token secreto principal como uno secundario?
Tener tanto un token principal como uno secundario te permite rotar tokens de forma segura sin interrumpir tu integración SCIM. Si el token principal se expone accidentalmente, no necesitas revocarlo inmediatamente y arriesgarte a romper la sincronización de usuario. En su lugar, cambia tu integración con Okta para usar primero el token secundario y luego regenera el token principal en segundo plano. Esto garantiza que la provisión de usuarios continúe sin interrupciones mientras se reemplaza el token comprometido.
¿Puedo usar la misma aplicación Okta tanto para el aprovisionamiento SAML SSO como SCIM?
Sí. Para SAML, el aprovisionamiento SCIM se habilita dentro de la misma aplicación Okta activando la opción de aprovisionamiento SCIM en Configuración de la App. Esto difiere de la configuración de OpenID Connect, donde SCIM requiere una aplicación separada de Token Portador OAuth en el catálogo de Okta.
¿Qué ocurre con los usuarios existentes de Document360 cuando configuro SSO?
Los usuarios existentes no se convierten automáticamente. Durante el paso de Más configuraciones, puedes elegir invitar a todos los usuarios existentes o seleccionados a cambiar a inicio de sesión SSO. Los usuarios convertidos conservan todos sus roles y permisos existentes.