Document360 soporta SAML SSO con cualquier Proveedor de Identidad (IdP) que soporte el protocolo SAML 2.0, incluso si no está listado explícitamente en las opciones IdP de Document360. Este artículo te guía en la configuración de SSO entre Document360 y un proveedor de identidad personalizado o no listado.
Solo los usuarios con los roles de proyecto Propietario o Administrador pueden configurar SSO en Document360.
Qué puedes hacer con un IdP personalizado
| Capacidad | Apoyado |
|---|---|
| Autenticación por usuarios (portales) | Sí |
| Autenticación de lector (sitio de la base de conocimiento) | Sí |
| Inicio de sesión iniciado por IdP | Sí |
| Provisión SCIM | Sí (si tu IDP lo respalda) |
| Herencia de configuración SSO (proyectos padre-hijo) | Sí |
Antes de que empieces
- Tienes las credenciales necesarias y acceso administrativo tanto a Document360 como al proveedor de identidad que elijas.
- Tienes acceso de Propietario o Administrador en tu proyecto de Document360.
- Tu proveedor de identidad es compatible con SAML 2.0.
- Abre Document360 y tu proveedor de identidad en dos pestañas separadas del navegador. Tendrás que cambiar entre ellos varias veces durante la configuración.
Paso 1: Crea una aplicación SAML en tu proveedor de identidad
Añade una nueva aplicación en tu IdP
- Inicia sesión en la consola de administración de tu proveedor de identidad.
- Localiza la sección donde puedes crear o gestionar aplicaciones (a menudo etiquetada como Aplicaciones, Aplicaciones Empresariales o similares).
- Selecciona la opción para crear una nueva aplicación.
- Configura los ajustes básicos para la nueva aplicación:
- Nombre de la aplicación: Introduce un nombre, por ejemplo "Document360 SSO".
- Tipo de aplicación: Selecciona SAML 2.0 como método de inicio de sesión.
- Guarda la configuración de tu aplicación.
Paso 2: Configura SAML en tu IdP usando parámetros de Document360
Obtén los parámetros del proveedor de servicios en Document360
- Abre Document360 en una pestaña separada.
- Navega a Configuración () > Usuarios y permisos > Configuración SSO.
- Haz clic en Crear SSO.
- Selecciona Otros como tu Proveedor de Identidad (IdP) para navegar automáticamente a la página Configurar el Proveedor de Servicios (SP ).
- La página Configurar el Proveedor de Servicios (SP) muestra los parámetros que necesitas para configurar SAML en tu Proveedor de Identidad.
Introduce los parámetros de Document360 en tu IdP
En la configuración SAML de tu proveedor de identidad, introduce los parámetros de Document360 usando el mapeo que aparece a continuación.
| Tu IDP | Document360 |
|---|---|
| URL de inicio de sesión único | Ruta de retrollamada |
| ID de entidad | ID de entidad del proveedor de servicios |
| URI del público | ID de entidad del proveedor de servicios o URL de inicio de sesión único |
Configura el mapeo de atributos en tu IdP
Puede que necesites configurar las sentencias de atributo en tu Proveedor de Identidad. Añade los siguientes atributos.
| Nombre del atributo | Valor |
|---|---|
| NameID | user.email o ID de usuario |
| Correo electrónico | user.email |
| Nombre | user.name |
Los nombres de atributos son sensibles a mayúsculas y minúsculas.
Completa cualquier configuración adicional en tu IdP
- Proporciona cualquier detalle adicional de configuración que requiera tu proveedor de identidad.
- Revisa tus ajustes y guarda la configuración SAML.
- Haz clic en Siguiente en Document360 para acceder a la página Configurar el Proveedor de Identidad (IdP ).
Paso 3: Completar la configuración SSO en Document360
Configurar el proveedor de identidad en Document360
- Vuelve a la pestaña Document360 que muestra la página Configurar el Proveedor de Identidad (IdP ).
- El campo Configurar una conexión existente te permite heredar una configuración SSO que ya ha sido creada. Al seleccionar esta opción, la configuración actual de SSO se establecerá como hija y no se podrán hacer cambios.
Para más información sobre la herencia, véase Heredar de otra aplicación.
- Introduce los valores correspondientes de tu proveedor de identidad usando el mapeo que aparece a continuación.
| Proveedor de identidad | Document360 |
|---|---|
| URL de inicio de sesión único | URL de inicio de sesión |
| Proveedor de Identidad Emisor | ID de entidad |
| Certificado SAML (X.509) | Certificado SAML |
- Descarga el Certificado X.509 de tu proveedor de identidad y súbelo al campo Certificado SAML en Document360.
- Activa o desactiva la opción Permitir inicio de sesión iniciado por el IDP según los requisitos de tu proyecto.
- Haz clic en Siguiente para acceder a la página de aprovisionamiento SCIM .
Paso 4: Configurar el aprovisionamiento SCIM
La provisión SCIM automatiza la gestión del ciclo de vida del usuario y del lector entre tu proveedor de identidad y Document360. Esto está disponible si tu IDP soporta SCIM.
Si no necesitas aprovisionamiento SCIM, salta al paso 5: Más ajustes.
Activar SCIM en Document360
- Activa el interruptor Habilitar provisión SCIM .
- Aparece un diálogo de confirmación. Revisa los términos, selecciona la casilla y haz clic en Aceptar.
- A continuación, se mostrará un conjunto de parámetros — úsalos para habilitar la provisión SCIM en tu IdP.
Asignar roles y grupos por defecto en Document360
- Activa Activar la sincronización de grupo si es necesario. Esto asigna automáticamente a usuarios y lectores según los mapeos de tu grupo IdP.
- En el campo de rol por defecto , el rol está configurado como Contribuyente por defecto. Puedes cambiar esto desde el desplegable si es necesario.
- En los campos de grupos de usuarios y grupos de lectores , selecciona los grupos que quieres añadir. Se pueden añadir varios grupos, y heredarán el rol predeterminado que seleccionaste antes.
- Haz clic en Siguiente para navegar a la página de Más ajustes .
Paso 5: Más ajustes
Configurar el nombre del SSO y las opciones de inicio de sesión
- En el campo de nombre de SSO , introduce un nombre para la configuración SSO.
- En el botón Personalizar inicio de sesión, introduce el texto del botón de inicio de sesión que se muestra a los usuarios.
- Asignación automática del grupo lector — esta opción solo está disponible para configuraciones SSO existentes. Para configuraciones SSO recién creadas, este interruptor no se mostrará porque SCIM provisiona automáticamente usuarios y grupos. Infártese más sobre el grupo de lectores de asignación automática.
- Activa la desconexión del usuario SSO inactivo si es necesario, y cambia el programa según tus necesidades.
- Elige si invitas a cuentas de usuarios y lectores existentes a SSO.
- Haz clic en Crear para completar la configuración del SSO.
La configuración SSO ahora se configurará en Document360 usando el proveedor de identidad que hayas seleccionado.
Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360, ya que estas acciones deben gestionarse a través de tu IdP para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360. Eliminar un perfil en tu IdP no lo elimina de Document360 — el perfil permanecerá con un estado Inactivo .
Heredar de otra aplicación
Al crear una nueva configuración SSO en Document360, puedes heredar la configuración SCIM de una conexión SSO existente. Esto simplifica el proceso de configuración, evita repetir pasos de configuración y ayuda a los administradores a ahorrar tiempo asegurando la coherencia entre integraciones.
Configuración SSO heredada por hijo
En la página Configurar Proveedor de Identidad (IdP ), seleccione el campo Configurar una conexión existente y elija la aplicación principal habilitada para SSO SCIM de la que desea heredar. Seleccionar esta opción designa el proyecto actual como proyecto hijo, heredando todas las propiedades relevantes del proyecto padre.
Una vez creada la configuración SSO, la configuración de provisión SCIM se heredará de la aplicación principal y no podrá modificarse en la aplicación hija.
Configuración SSO heredada por padre
La aplicación principal mostrará una lista de todos los proyectos que han heredado su configuración. Cualquier cambio realizado en la aplicación principal se reflejará automáticamente en la aplicación hija.
- Si SCIM está habilitado en el proyecto padre después de que los proyectos hijos ya lo hayan heredado, los usuarios y grupos se aprovisionarán automáticamente a todos los proyectos hijos en segundo plano.
- Habilitar la herencia facilita la gestión de múltiples configuraciones SSO con SCIM activado, ya que todos los ajustes se controlan desde una sola aplicación principal. Esto ahorra tiempo y reduce el esfuerzo necesario para gestionar cada configuración individualmente.
Mejores prácticas
- Verifica el soporte de SAML 2.0 antes de empezar. Confirma que tu proveedor de identidad soporta el protocolo SAML 2.0. Document360 no soporta SAML 1.x ni protocolos SSO propietarios.
- Revisa bien la casula de los nombres de los atributos. Los nombres
emailde atributos ynameson sensibles a mayúsculas y mayúsculas. Asegúrate de que se introducen exactamente como se muestra en la tabla de mapeo de atributos. - Descarga y almacena el certificado X.509 antes de completar la configuración. Tendrás que subir este archivo a Document360. Guarda una copia en un lugar seguro por si necesitas reconfigurar.
- Prueba primero con un solo usuario. Antes de implementar SSO a todos los usuarios, verifica la configuración con una sola cuenta de prueba para confirmar que el mapeo de atributos, los certificados y las URLs funcionan correctamente.
Preguntas frecuentes
¿Qué proveedores de identidad puedo usar con la opción "Otras configuraciones"?
Puedes usar cualquier proveedor de identidad que soporte el protocolo SAML 2.0. Esto incluye proveedores como PingIdentity, Shibboleth, JumpCloud, Centrify y otros que no están listados explícitamente en el selector IdP de Document360. Si tu proveedor está listado explícitamente (Okta, Entra, Google, OneLogin, ADFS), utiliza ese artículo dedicado para orientaciones específicas de cada proveedor.
¿Qué ocurre con el perfil de un usuario en Document360 si lo borro en mi IdP?
Eliminar un perfil de usuario en tu IdP no lo elimina de Document360. El perfil permanecerá en Document360 con un estado Inactivo. Solo puedes gestionar el acceso al contenido directamente desde Document360.
¿Puedo usar la provisión SCIM con cualquier proveedor de identidad?
La provisión SCIM está disponible si tu proveedor de identidad soporta nativamente el protocolo SCIM 2.0. Si tu IdP no soporta SCIM de forma nativa, puede que puedas habilitarlo a través de una herramienta de aprovisionamiento de terceros o una integración personalizada.