OneLogin es un Proveedor de Identidad (IdP) que simplifica la gestión de accesos de usuario al permitir que los usuarios inicien sesión en múltiples aplicaciones con un único conjunto de credenciales. Con el SSO SAML configurado entre OneLogin y Document360, los miembros de tu equipo y lectores pueden acceder a Document360 usando sus credenciales OneLogin existentes.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con OneLogin como tu IDP
| Capacidad | Apoyado |
|---|---|
| Autenticación de miembro del equipo (portal) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Inicio de sesión iniciado por IdP | Sí |
| Provisión de lectores SCIM | Sí |
| Provisión de usuarios SCIM | No |
| Mapeo de grupos SCIM | No |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
Los atributos de usuario y el mapeo de grupos no son compatibles con OneLogin. Solo los lectores pueden gestionarse mediante SCIM desde OneLogin. No se pueden añadir usuarios ni grupos desde OneLogin.
Antes de que empieces
- Tienes una cuenta activa de OneLogin con acceso de administrador.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Abre Document360 y OneLogin en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.
Paso 1: Inicia la configuración SSO en Document360
Crear SSO en Document360
- En Document360, navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO.
- Selecciona OneLogin como tu proveedor de identidad en la página Elige tu proveedor de identidad (IdP ).
Paso 2: Crear una aplicación SAML en OneLogin
Añadir el SCIM Provisioner con la aplicación SAML
- Inicia sesión en tu Portal de Administración de OneLogin.
- En el menú superior, selecciona Aplicaciones.
- Haz clic en Añadir app.
- En la barra de búsqueda, escribe SCIM y selecciona SCIM Provisioner con SAML (SCIM v2 Enterprise, SCIM2 PATCH for Groups) desde la lista y haz clic en Guardar.
Descargar el certificado X.509
- En tu aplicación OneLogin, navega a la pestaña SSO .
- Haz clic en Ver detalles para descargar el certificado X.509.
Guarda este archivo de certificados. Tendrás que subirlo más adelante al configurar Document360 con OneLogin.
Paso 3: Configurar el proveedor de servicios en OneLogin
Copia los parámetros de SP de Document360 e introduce OneLogin
- En Document360, ve a la página Configurar el proveedor de servicios (SP) y copia los parámetros que necesitas.
- Ve a OneLogin y navega a la pestaña de Configuración . Introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| OneLogin | Document360 |
|---|---|
| URL de audiencia SAML | ID de entidad del proveedor de servicios |
| URL de consumidor SAML | Ruta de retrollamada |
Paso 4: Completar la configuración SSO en Document360
Configurar el proveedor de identidad en Document360
- En OneLogin, navega a la pestaña SSO y copia los parámetros que se muestran allí.
- En Document360, haz clic en Siguiente para ir a la página Configurar el Proveedor de Identidad (IdP ).
- En el campo Configurar una conexión existente , puedes heredar de una configuración SSO ya creada que tenga SCIM activado en un proyecto principal. Al seleccionar y heredar esta conexión, la configuración actual de SSO se establecerá como la configuración SSO heredada por hijo y heredará automáticamente la configuración SCIM del padre.
Para más información sobre la herencia, véase Heredar de otra aplicación.
- Introduce los parámetros de OneLogin en Document360 usando el mapeo que aparece a continuación.
| OneLogin | Document360 |
|---|---|
| URL del emisor | ID de entidad |
| Endpoint SAML 2.0 (HTTP) | URL de inicio de sesión |
| Certificado X.509 | Certificado SAML |
- Adjunta el certificado X.509 descargado previamente en el campo del certificado SAML en Document360.
- Activa o desactiva el interruptor de inicio de sesión iniciado por Permitir IdP según los requisitos de tu proyecto.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 5: Configurar el aprovisionamiento SCIM
La provisión SCIM automatiza la gestión del ciclo de vida del lector entre OneLogin y Document360. Cuando se habilita, los lectores añadidos o desactivados en OneLogin se sincronizan automáticamente con Document360.
Si no necesitas provisionamiento SCIM, haz clic en Siguiente y sigue los pasos del Paso 6: Más ajustes.
Los atributos de usuario ni el mapeo de grupos no son compatibles con OneLogin SCIM. Solo las cuentas de lector pueden ser provisionadas vía SCIM desde OneLogin.
Activar SCIM en Document360
- Activa el interruptor Habilitar provisión SCIM .
- Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
- A continuación, se mostrarán los parámetros necesarios para completar la configuración SCIM en OneLogin.
Configurar SCIM en OneLogin
- En OneLogin, ve a la pestaña de Configuración y desplázate hacia abajo hasta la sección de Conexión a la API .
- Introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| Document360 | OneLogin |
|---|---|
| SCIM Base URL | SCIM Base URL |
| Ficha secreta principal | Ficha portadora SCIM |
- Haz clic en Habilitar para habilitar la provisión SCIM en OneLogin.
- Haz clic en Guardar para crear correctamente la aplicación SAML con SCIM activado.
Habilitar la provisión SCIM en OneLogin
- En OneLogin, ve a la pestaña de Provisión .
- Selecciona la casilla Habilitar aprovisionamiento y haz clic en Guardar.
El SCIM Provisioner con aplicación SAML ha sido creado con éxito.
Desde la página de aprovisionamiento, puedes gestionar los usuarios realizando las siguientes acciones: Crear usuario, Eliminar usuario, Actualizar usuario. También puedes personalizar estas acciones aún más usando las opciones desplegables disponibles.
Asignar roles y grupos por defecto en Document360
- Vuelve a Document360. En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a Más ajustes.
Paso 6: Más ajustes
Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
- En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
- Asignación automática del grupo lector — esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos. Infártese más sobre el grupo de lectores de asignación automática.
- Activa la desconexión del usuario SSO inactivo si es necesario, y cambia el programa según tus necesidades.
- Elige si invitar a Todos los usuarios o solo a los usuarios seleccionados a SSO usando los botones de radio.
- Haz clic en Crear para completar la configuración del SSO.
El SSO SAML con SCIM se ha configurado con éxito. Ahora puedes gestionar los lectores directamente desde tu IdP de OneLogin.
Heredar de otra aplicación
Al crear una nueva configuración SSO en Document360, puedes heredar la configuración SCIM de una conexión SSO existente. Esto simplifica el proceso de configuración, evita repetir pasos de configuración y ayuda a los administradores a ahorrar tiempo asegurando la coherencia entre integraciones.
Configuración SSO heredada por hijo
En la página Configurar Proveedor de Identidad (IdP ), seleccione el campo Configurar una conexión existente y elija la aplicación principal habilitada para SSO SCIM de la que desea heredar. Seleccionar esta opción designa el proyecto actual como proyecto hijo, heredando todas las propiedades relevantes del proyecto padre.
Una vez creada la configuración SSO, la configuración de provisión SCIM se heredará de la aplicación principal y no podrá modificarse en la aplicación hija.
Configuración SSO heredada por padre
La aplicación principal mostrará una lista de todos los proyectos que han heredado su configuración. Cualquier cambio realizado en la aplicación principal se reflejará automáticamente en la aplicación hija.
- Si SCIM está habilitado en el proyecto padre después de que los proyectos hijos ya lo hayan heredado, los usuarios y grupos se aprovisionarán automáticamente a todos los proyectos hijos en segundo plano.
- Habilitar la herencia facilita la gestión de múltiples configuraciones SSO con SCIM activado, ya que todos los ajustes se controlan desde una sola aplicación principal. Esto ahorra tiempo y reduce el esfuerzo necesario para gestionar cada configuración individualmente.
Gestión de Document360 con OneLogin
Una vez que hayas configurado con éxito la aplicación SAML con SCIM en Document360 usando OneLogin, puedes gestionar los lectores directamente desde OneLogin, con todos los cambios reflejados automáticamente en Document360.
Añadir un lector
- En el menú superior de OneLogin, amplía el desplegable Usuarios y selecciona Usuarios.
- Haz clic en Nuevo usuario, introduce los datos de usuario requeridos y haz clic en Guardar.
Ahora se crea con éxito un nuevo usuario.
Asignar aplicación al usuario
- Después de crear al usuario, ve a Aplicación en el menú izquierdo.
- Haz clic en el icono + en la esquina superior derecha para añadir una aplicación.
- Selecciona la aplicación con SAML aprovisionado por SCIM activado y haz clic en Continuar.
- Introduce la dirección de correo electrónico del usuario en el campo de nombre de usuario SCIM y haz clic en Guardar.
El usuario ahora se asigna correctamente a la aplicación.
Aprobar estado de usuario
- En el menú superior de OneLogin, haz clic en Aplicaciones y selecciona Aplicaciones.
- Elige la aplicación SAML provisionada por SCIM y abre la pestaña Usuarios .
- Haz clic en el estado del usuario, que aparece como Pendiente, y luego selecciona Aprobar en el cuadro de confirmación.
El usuario ahora está aprobado y se ha añadido con éxito a Document360.
Verificar en Document360
Para verificar que el usuario ha sido añadido correctamente a Document360:
- En Document360, navega a Configuración () > Usuarios y permisos > Lectores y grupos.
El lector se añade automáticamente en Document360. La insignia SSO-SCIM junto a su nombre indica que SCIM está activado.
Los atributos de usuario y el mapeo de grupos no son compatibles con OneLogin. Solo puedes gestionar lectores mediante SCIM. No se pueden añadir usuarios ni grupos desde OneLogin.
Gestionar usuarios en Document360
Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360. Estas acciones deben gestionarse a través de tu IdP para mantener ambas plataformas sincronizadas.
Sin embargo, aún puedes gestionar el acceso al contenido dentro de Document360.
Gestionar el acceso al contenido
- En Document360, navega a Configuración () > Usuarios y permisos > Lectores y grupos.
- Selecciona al usuario deseado y haz clic en Gestionar acceso al contenido.
- Asigna el nivel de acceso al contenido desde el desplegable y haz clic en Actualizar.
El acceso al contenido ahora se asigna correctamente al usuario.
Eliminar un usuario
- En el menú superior de OneLogin, haz clic en Usuarios y selecciona el usuario que quieres eliminar.
- Amplía el desplegable Más acciones y haz clic en Eliminar.
- En el cuadro de confirmación, haz clic en Borrar de nuevo.
El usuario es eliminado con éxito y dejará de aparecer en OneLogin.
Cuando eliminas a un usuario en OneLogin, el usuario no será eliminado de Document360. En su lugar, el estado del usuario cambiará de Activo a Inactivo.
Mejores prácticas
- Usa la app SCIM correcta en OneLogin. Busca y selecciona específicamente SCIM Provisioner con SAML (SCIM v2 Enterprise, SCIM2 PATCH for Groups ). Usar una aplicación diferente no funcionará con Document360.
- Gestiona solo lectores a través de OneLogin SCIM. No se admiten atributos de usuario ni mapeo de grupos. Planifica tu flujo de trabajo de gestión de usuarios en consecuencia.
- Aprobar a los usuarios provisionados rápidamente. Los usuarios añadidos en OneLogin aparecen en Document360 con un estado Pendiente. Apruébalos en OneLogin para activar el acceso.
- No elimines usuarios en Document360 cuando SCIM esté activado. Eliminar a un usuario directamente en Document360 está deshabilitado cuando SCIM está activo. Gestionar las eliminaciones de OneLogin. Ten en cuenta que los usuarios eliminados en OneLogin se vuelven inactivos en Document360, no eliminados.
- Usa herencia para configuraciones de varios proyectos. Si tienes varios proyectos de Document360 que comparten la misma configuración SSO, usa la herencia padre-hijo para gestionar todos los ajustes desde un solo lugar.
Preguntas frecuentes
¿Por qué no puedo añadir usuarios y grupos desde OneLogin?
No se soportan atributos de usuario ni mapeados de grupos en la integración SCIM de OneLogin con Document360. Solo las cuentas de lector pueden ser provisionadas vía SCIM desde OneLogin. Si necesitas gestionar usuarios y grupos mediante SCIM, considera usar Okta o Microsoft Entra como tu proveedor de identidad.
¿Qué ocurre cuando elimino a un usuario en OneLogin?
Cuando eliminas a un usuario en OneLogin, el usuario no se elimina de Document360. En su lugar, su estado cambia de Activo a Inactivo en Document360.
¿Puedo heredar la configuración SCIM de un proyecto padre?
Sí. Al crear una nueva configuración SSO en Document360, puedes seleccionar una configuración SSO ya habilitada con SCIM como padre. El proyecto actual heredará todos los ajustes relevantes. Una vez creadas, las configuraciones SCIM heredadas no pueden modificarse en la aplicación hija.