Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

SAML SSO con Okta

Prev Next

Okta es un Proveedor de Identidad (IdP) que gestiona el acceso de usuarios a través de múltiples aplicaciones desde una sola plataforma. Con el SSO SAML configurado entre Okta y Document360, tus usuarios y lectores pueden iniciar sesión en Document360 usando sus credenciales Okta existentes, sin necesidad de una contraseña separada.

NOTA

Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.

Qué puedes hacer con Okta como tu IDP

Capacidad Apoyado
Autenticación por usuarios (portales)
Autenticación de lector (sitio de la base de conocimiento)
Inicio de sesión iniciado por IdP
Provisión de usuarios SCIM
Provisión de lectores SCIM
Sincronización de grupo SCIM
Herencia de configuración SSO (proyectos padre-hijo)

Antes de que empieces

  • Tienes una cuenta activa de Okta con acceso de administrador. Si necesitas crear uno, apúntate en developer.okta.com/signup.
  • Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
  • Abre Document360 y Okta en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.

Paso 1: Crear una aplicación SAML en Okta

Crear la integración de la app

  1. Inicia sesión en tu cuenta de Okta y haz clic en Administrador en la esquina superior derecha para cambiar a la consola de administración.
  2. En la navegación izquierda, expande Aplicaciones y haz clic en Aplicaciones.
  3. Haz clic en Crear integración de app.
  4. En el cuadro de diálogo de integración Crear una nueva aplicación , selecciona SAML 2.0 como método de inicio de sesión y haz clic en Siguiente.
Creating a SAML 2.0 app integration in Okta

Configurar ajustes generales

  1. En la pestaña de Configuración General , introduce un nombre para tu aplicación en el campo de nombre de la aplicación (por ejemplo, "Document360 SSO").
  2. Opcionalmente, sube un logo y configura la configuración de visibilidad de la app.
  3. Haz clic en Siguiente para proceder a la pestaña Configurar SAML .
Okta general settings tab for the SAML app integration

Configurar configuraciones SAML usando parámetros de Document360

Necesitas los parámetros del Proveedor de Servicios (SP) de Document360 para completar este paso.

Obtén los parámetros de Document360:

  1. En Document360, navega a  Configuración () > Usuarios y permisos > Configuración SSO.
  2. Haz clic en Crear SSO y selecciona Okta como tu proveedor de identidad.
SSO configuration screen showing identity provider options and setup steps for integration.
  1. Document360 muestra la página Configurar el Proveedor de Servicios (SP) con los parámetros que necesitas.
Configuration settings for Okta SSO, highlighting callback paths and service provider entity ID.

Introduce los parámetros en Okta:

  1. Cambia a la pestaña Okta. En la pestaña Configurar SAML , introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
Document360 Okta
Ruta de retrollamada URL de inicio de sesión único
ID de entidad del proveedor de servicios URI de audiencia (ID de entidad SP)
  1. Configura el formato del ID de Nombre a Dirección de Correo Electrónico.
  2. Configura el nombre de usuario de la aplicación como Correo electrónico.

NOTA

Los parámetros del correo electrónico y del nombre son sensibles a mayúsculas y minúsculas.

SAML settings configuration with highlighted fields for single sign-on and audience URI.
  1. Haz clic en Siguiente para acceder a la página de Comentarios .

Completa la página de comentarios

La página de Comentarios es para proporcionar información a Okta sobre cómo configuras la aplicación.

  1. Selecciona Esta es una aplicación interna que hemos creado.
  2. Haz clic en Terminar.
Feedback section for Okta SAML integration with highlighted internal app description.

Tu aplicación Okta ya está creada.

Asignar sentencias de atributo de perfil

  1. En tu aplicación Okta, ve a la pestaña Iniciar sesión y desplázate hacia abajo hasta las sentencias de atributo.
  2. Expande Mostrar configuración heredada y haz clic en Editar en las sentencias de atributo del perfil.
Okta Admin Console displaying applications and attribute statements configuration options.
  1. Añade las siguientes declaraciones de atributo. Tendrás que añadir dos filas adicionales.
Nombre Formato del nombre Valor
urn:oasis:names:tc:SAML:2.0:nameid Referencia URI user.email
Nombre No especificado user.email
Correo electrónico No especificado user.email
  1. Haz clic en Guardar.

Paso 2: Completar la configuración SSO en Document360

Recuperar instrucciones de configuración SAML de Okta

  1. En el panel de control de Okta, haz clic en Aplicaciones y selecciona Aplicaciones.
  2. Selecciona la aplicación activa que quieres configurar en Document360.
  3. Haz clic en la pestaña Iniciar sesión.
  4. Haz clic en Ver instrucciones de configuración de SAML.
Viewing SAML setup instructions in Okta

Los parámetros necesarios para configurar Document360 se abrirán en una nueva página web.

Okta SAML setup instructions page showing IdP parameters

Configurar el proveedor de identidad en Document360

  1. Cambia a la pestaña Document360, que debería seguir mostrando la página Configurar el proveedor de servicios (SP ).
  2. En el campo Configurar una conexión existente , puedes heredar de una configuración SSO ya creada que tenga SCIM activado en el proyecto padre. Al seleccionar y heredar esta conexión, la configuración actual de SSO se establecerá como la configuración SSO heredada por hijo y heredará automáticamente la configuración SCIM del padre.

NOTA

Para más información sobre herencias, consulta Gestión de usuarios y lectores con SCIM en Okta.

  1. Completa los campos en la página Configurar el Proveedor de Identidad (IdP) usando las instrucciones de configuración de Okta.
  2. Descarga el certificado X.509 de Okta y adjunta el archivo descargado en el campo del certificado SAML en Document360.
Document360 Okta
URL de inicio de sesión URL de inicio de sesión único del proveedor de identidad
ID de entidad Proveedor de Identidad Emisor
Certificado SAML Certificado X.509
  1. Activa o desactiva el interruptor de Permitir inicio de sesión IdP según tus necesidades. Descubre más sobre el inicio de sesión iniciado por el IdP.
Configuration settings for Single Sign-On with highlighted URLs and entity ID.
  1. Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .

Paso 3: Configurar el aprovisionamiento SCIM

La provisión SCIM automatiza la gestión del ciclo de vida del usuario y del lector entre Okta y Document360. Cuando se habilita, los usuarios añadidos, actualizados o desactivados en Okta se sincronizan automáticamente con Document360.

Si no necesitas aprovisionamiento SCIM, haz clic en Siguiente y sigue las instrucciones del Paso 4: Más ajustes.

Activar SCIM en Document360

  1. En la página de aprovisionamiento SCIM , activa el interruptor Habilitar aprovisionamiento SCIM .
SCIM provisioning settings with steps to enable user synchronization.
  1. Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
  2. A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM en Okta.
Configuration settings for SCIM provisioning including tokens and user roles.

PRECAUCIÓN

Las fichas primaria y secundaria se generan una vez y solo se muestran en el momento de la creación. Asegúrate de copiarlos y almacenarlos en un lugar seguro antes de guardar la configuración. Una vez guardada la configuración SSO, los tokens aparecerán enmascarados y no podrán recuperarse. Generar un token invalida el existente, tendrás que actualizar el nuevo token en tu configuración de Okta para seguir sincronizando sin interrupciones.

Habilitar la provisión SCIM en Okta

  1. En la Consola de Administración de Okta, expande Aplicaciones y haz clic en Aplicaciones.
  2. Selecciona la aplicación donde quieres habilitar el aprovisionamiento SCIM.
  3. Navega a la pestaña General y haz clic en Editar en Configuración de la app.
  4. Selecciona el botón de opción de aprovisionamiento SCIM y haz clic en Guardar.
App settings interface showing provisioning options and highlighted SCIM selection.

Configurar la conexión SCIM en Okta

  1. Ve a la pestaña de Aprovisionamiento y, en la sección de Conexión SCIM , haz clic en Editar.
Okta Admin Console showing provisioning settings and SCIM connection details.
  1. Introduce la URL base SCIM de Document360 en el campo de URL base del conector SCIM de Okta usando el mapeo que aparece a continuación.
Okta Document360
URL base del conector SCIM SCIM Base URL
Autorización de cabecera HTTP Ficha secreta principal
  1. En el campo Identificador único para usuarios, introduzca Nombre de usuario.
  2. En Acciones de provisión soportadas, selecciona solo lo siguiente:
    • Impulsar nuevos usuarios
    • Actualizaciones de perfiles de Push
    • Grupos de empuje
  3. Desde el desplegable de modo de autenticación , elige Encabezado HTTP.
  4. En Document360, copia el token secreto principal de la página de provisión SCIM.
  5. Pega el token secreto principal en el campo de Autorización de la Cabecera HTTP .
SCIM connection settings including URL, user identifier, and provisioning actions options.

NOTA

No hagas clic en Probar Configuración del Conector todavía. En esta fase, la provisión SCIM no funcionará con Document360 ya que la configuración SSO en Document360 aún no está completada.

Establecer roles y grupos por defecto en Document360

  1. Ve a la página de aprovisionamiento SCIM en Document360 y activa el interruptor Habilitar sincronización de grupo si es necesario. Esto asigna automáticamente a usuarios y lectores según los mapeos de tu grupo IdP.
  2. En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
  3. En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
Configuration settings for SCIM provisioning with highlighted options for roles and group sync.
  1. Haz clic en Siguiente para navegar a la página de Más ajustes .

NOTA

Para detalles completos sobre la gestión de usuarios, lectores y grupos a través de SCIM, incluyendo mapeo de atributos, constructor de expresiones, flujos de aprovisionamiento y desaprovisionamiento, véase Gestión de usuarios y lectores con SCIM en Okta.


Paso 4: Más ajustes

Configurar el nombre del SSO y las opciones de inicio de sesión

  1. En el campo de nombre SSO , introduce un nombre para tu configuración SSO.
  2. En el texto del botón Personalizar inicio de sesión, introduce el texto que quieres que se muestre en el botón de inicio de sesión.
  3. Activa la salida de sesión del usuario SSO inactivo si es necesario, y establece la duración tras la cual un usuario SSO inactivo será cerrado automáticamente sesión.
  4. Elige si invitar a todos los usuarios o a los usuarios seleccionados usando el botón Convertir cuentas existentes del equipo y lectores a botones de radio SSO .
Settings for creating a new SSO with options for timeout and user management.
  1. Haz clic en Crear para completar la configuración de la SSO.

Paso 5: Completar la configuración SCIM en Okta

Si activaste la provisión SCIM en el 3, complétalo ahora que la configuración de Document360 está guardada.

Prueba y guarda la conexión SCIM

Una vez creada con éxito la configuración SSO en Document360, la provisión SCIM ahora puede completarse en Okta.

  1. Vuelve a la Consola de Administración de Okta y asegúrate de que todos los detalles necesarios estén cubiertos.
SCIM connection settings including URL, user identifier, and provisioning actions options.
  1. Haz clic en Configuración del Conector de Prueba para verificar la conexión entre Okta y Document360.
  2. Aparecerá un cuadro de confirmación que indicará que la prueba ha sido exitosa.
Successful connector configuration with detected provisioning features listed below.
  1. Haz clic en Guardar para finalizar la configuración.

La configuración SSO basada en el protocolo SAML se ha configurado con éxito usando Okta.

NOTA

Para más detalles sobre cómo añadir usuarios, lectores y grupos de usuarios y lectores, véase Gestión de usuarios y lectores con SCIM en Okta.


Mejores prácticas

  • Guarda ambos tokens secretos de forma segura. Trata los tokens SCIM primarios y secundarios como contraseñas. Guárdalos en un gestor de secretos o en una bóveda de contraseñas, no en archivos de texto plano o repositorios de código.
  • Usa la ficha secundaria para una rotación segura. Si el token principal alguna vez se expone, cambia Okta primero al token secundario y luego regenera el primario. Esto evita cualquier interrupción en la sincronización del usuario.
  • Prueba primero en un entorno no productivo. Antes de desplegar SSO a todos los usuarios, configura y prueba la integración con un pequeño grupo para detectar cualquier problema de mapeo de atributos o acceso.
  • Alinea el tiempo de espera de reposo con tu política de seguridad. Activa la salida de sesión de usuarios SSO inactivos y configura la duración para que se ajuste a los requisitos de gestión de sesiones de tu organización.
  • No pruebes el conector SCIM antes de guardar la configuración de Document360. La prueba suspenderá en esa fase. Siempre completa y guarda primero la configuración SSO de Document360, luego vuelve a Okta para probar.

Preguntas frecuentes

¿Cuál es el propósito de tener tanto un token secreto principal como uno secundario?

Tener tanto un token principal como uno secundario te permite rotar tokens de forma segura sin interrumpir tu integración SCIM. Si el token principal se expone accidentalmente, no necesitas revocarlo inmediatamente y arriesgarte a romper la sincronización de usuario. En su lugar, cambia tu integración con Okta para usar primero el token secundario y luego regenera el token principal en segundo plano. Esto garantiza que la provisión de usuarios continúe sin interrupciones mientras se reemplaza el token comprometido.

¿Puedo usar la misma aplicación Okta tanto para el aprovisionamiento SAML SSO como SCIM?

Sí. Para SAML, el aprovisionamiento SCIM se habilita dentro de la misma aplicación Okta activando la opción de aprovisionamiento SCIM en Configuración de la App. Esto difiere de la configuración de OpenID Connect, donde SCIM requiere una aplicación separada de Token Portador OAuth en el catálogo de Okta.

¿Qué ocurre con los usuarios existentes de Document360 cuando configuro SSO?

Los usuarios existentes no se convierten automáticamente. Durante el paso de Más configuraciones, puedes elegir invitar a todos los usuarios existentes o seleccionados a cambiar a inicio de sesión SSO. Los usuarios convertidos conservan todos sus roles y permisos existentes.