Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

Gestión de usuarios y lectores con SCIM en Okta

  • Publicado el May 7, 2026
  • 13 minuto(s) leído(s)
Prev Next

La integración SCIM con Okta permite a los administradores gestionar los usuarios y grupos de Document360 directamente desde Okta de forma automatizada y controlada centralmente.

Cuando se añade un nuevo usuario en Okta, su cuenta de Document360 se provisiona automáticamente. Cualquier actualización en su rol o pertenencia al grupo se sincroniza en tiempo real, y cuando un usuario es desactivado o eliminado en Okta, lo mismo se refleja en Document360 sin intervención manual. Esto elimina la necesidad de una gestión de cuentas separada en Document360 y garantiza que los datos de los usuarios sigan siendo precisos y actualizados en ambas plataformas.

Asignar asignación de atributos de usuario

  1. En la Consola de Administración de Okta, amplía el desplegable Aplicaciones y selecciona Aplicaciones.

  2. Selecciona la aplicación que quieres configurar y navega a la pestaña de Provisionamiento .

  3. Desplázate hacia abajo hasta Mapear atributos y haz clic en Ir al Editor de perfiles.

  4. En la sección de Atributos , haz clic en Añadir Atributo y rellena los detalles especificados en la tabla siguiente.

Añadir Atributo

Valor

Tipo de datos

Booleano

Nombre de visualización

Cuenta del equipo

Nombre de la variable

isTeamAccount

Nombre externo

isTeamAccount

Espacio de nombres externo

urn:ietf:params:scim:schemas:extension:document360:2.0:User

Adding a boolean attribute named 'Team Account' in the Okta Profile Editor interface.

  1. Cuando termines, haz clic en Guardar.

Mejores prácticas para el mapeo de atributos

Al configurar el isTeamAccount atributo en tu Proveedor de Identidad (IdP), configúralo siempre a nivel de usuario, no a nivel de grupo.

Si el atributo se establece a nivel de grupo, los usuarios que pertenecen a varios grupos con valores diferentes pueden recibir roles incorrectos en Document360. Por ejemplo, un grupo puede establecer isTeamAccount como True mientras otro lo establece en False, creando un conflicto durante la provisión.

Establecer el atributo a nivel de usuario garantiza que cada usuario tenga un valor claro, haciendo que la provisión SCIM sea más fiable y consistente.

Uso de Constructor de Expresiones para mapear roles

En lugar de configurar manualmente el isTeamAccount atributo para cada usuario, puedes usar el Constructor de Expresiones de Okta para determinar automáticamente si un usuario está provisionado como Usuario o Lector en Document360, basándote en un atributo existente en su perfil de Okta, como Título del puesto, Departamento o cualquier otro atributo común entre tus usuarios.

Cómo funciona

La expresión evalúa el atributo del perfil Okta de cada usuario y devuelve Verdadero o Falso, lo que corresponde directamente a su rol en Document360:

  • isTeamAccount = True → provisionado como Usuario.

  • isTeamAccount = False → provisionado como lector.

Una vez provisionado, los usuarios se añaden automáticamente a los respectivos grupos de usuarios o grupos de lectores en Document360.

Pasos para configurar

  1. En la Consola de Administración de Okta, ve a Aplicaciones y selecciona tu aplicación SCIM.

  2. Ve a la pestaña de Aprovisionamiento y haz clic en la pestaña A la app en Configuración.

  3. Desplázate hacia abajo hasta Mapear atributos y haz clic en el icono de Editar junto al atributo isTeamAccount .

Okta Admin Console displaying user attributes and mapping options for applications.

  1. En el diálogo, configura el desplegable del valor del Atributo en Expresión.

  2. Introduce tu expresión en el cuadro de texto proporcionado.

  3. Para verificar la expresión, introduzca el nombre de un usuario en el campo Vista previa . El resultado se evalúa instantáneamente y se muestra en la barra verde debajo del cuadro de texto, mostrando si el usuario será provisionado como Usuario (true) o como Lector (false) en función de la expresión.

  4. En Aplicar en, selecciona Crear o Crear y actualiza dependiendo de si quieres que la expresión se aplique solo durante la creación del usuario o también en las actualizaciones.

  5. Haz clic en Guardar.

Admin console showing SCIM settings with highlighted expression and options for user roles.

 NOTA

Haz clic en Referencia del lenguaje de expresión debajo del cuadro de expresión para explorar todas las funciones, operadores y sintaxis disponibles soportados en el lenguaje de expresión de Okta. Para más información, consulte la guía general de Lenguaje de Expresiones de Okta.

Ejemplo

Supongamos que tu organización quiere proporcionar usuarios como Usuarios o Lectores basándose en su Título de Puesto o pertenencia al Grupo en Okta. Puedes usar cualquiera de las siguientes expresiones según lo que mejor se adapte a tu configuración.

  • Basado en el título del puesto

Si tus usuarios tienen un atributo Título de Puesto en su perfil de Okta, puedes asignar roles según su título:

user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"

Los usuarios con el título: Gerente, Gerente Senior o Líder de equipo se asignan como Usuarios. Todos los demás títulos están provisionados como Readers.

 NOTA

El nombre de la variable de atributo (por ejemplo, user.title) debe coincidir exactamente con el nombre de variable definido en tu perfil de usuario de Okta. Puedes comprobarlo en Directory > Profile Editor.

  • Según la pertenencia al grupo

Si tus usuarios están organizados en grupos de Okta, puedes asignar roles según los grupos a los que pertenecen:

isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"

Los usuarios que son miembros de los grupos de Gerentes, Líderes de Equipo o Directores están asignados como Usuarios. Los usuarios que no pertenecen a ninguno de estos grupos se asignan como Lectores.

 NOTA

Puedes combinar o ampliar cualquiera de las dos expresiones para incluir títulos de puesto adicionales o nombres de grupos según las necesidades de tu organización.

Disposición Okta a Document360

Para vincular la creación de usuarios, cambios y desactivación en Okta con Document360,

  1. En la barra de navegación izquierda, expande el desplegable Aplicaciones y haz clic en Aplicaciones.

  2. Selecciona tu aplicación SCIM y ve a la pestaña de Provisionamiento .

  3. Haz clic en Editar en Aprovisionamiento a la aplicación y selecciona las siguientes casillas:

    1. Crear usuarios

    2. Actualizar atributos de usuario

    3. Desactivar usuarios

Okta Admin Console showing provisioning settings for user management and application integration.

Crea un lector

Para añadir un nuevo lector en Document360 usando Okta con SCIM, sigue los pasos siguientes.

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.

  2. En la página Personas , haz clic en Añadir Persona, rellena los datos del lector requeridos y haz clic en Guardar. Esto confirma que el lector ha sido añadido con éxito al Proveedor de Identidad (Okta).

Okta Admin Console displaying user directory with options to add or reset passwords.

Una vez que el Reader está provisionado, Document360 asigna automáticamente el rol según la regla configurada en el Constructor de Exposiciones.

  1. Para integrar al usuario con Document360, selecciona el lector recién creado y haz clic en Asignar aplicaciones.

  2. En el cuadro de diálogo Asignar aplicación , selecciona el proyecto al que quieres asignar el lector y luego haz clic en Asignar > guardar y volver > listo.

  1. El lector recién creado se sincronizará automáticamente con Document360. Para comprobarlo, ve a Document360 y navega a Configuración > Usuarios y permisos > Lectores y grupos.

User management interface displaying reader accounts and their access statuses.

El lector se añadirá con el acceso predeterminado al contenido que se aplicó durante la configuración de SSO.

Crear un usuario

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.

  2. Haz clic en Añadir persona, rellena los datos de usuario requeridos y haz clic en Guardar. Una vez que el usuario está provisionado, Document360 asigna automáticamente el rol en función de la regla configurada en el Constructor de Expresiones.

Okta Admin Console displaying user directory with options to add or reset passwords.

  1. Selecciona al usuario recién creado y haz clic en Asignar aplicaciones para vincularlas a una aplicación.

  2. Elige la aplicación a la que quieres asignar al usuario y haz clic en Aplicar. El usuario se crea con éxito.

Para verificar, ve a Document360 y navega a Configuración > Usuarios y permisos > Usuarios y grupos. El usuario recién creado debería aparecer en la lista.

    NOTA

  • El número de usuarios que puedes añadir a Document360 a través de Okta depende de tu plan de suscripción.

  • Todos los usuarios provisionados a través de SCIM se cuentan inicialmente dentro de la cuota de usuario. Si se alcanza el límite de usuarios, SCIM no puede proporcionar usuarios adicionales, aunque algunos de ellos estén destinados a ser Revisores.

Solución alternativa

  1. Provisiona usuarios desde Okta a través de SCIM como siempre. Se sincronizarán con Document360 con el rol predeterminado, como Colaborador o Administrador.

  2. Una vez sincronizados los usuarios, cambia manualmente el rol de los usuarios requeridos a Revisor en Document360.

  3. Una vez que un usuario cambia a Revisor, se cuenta bajo la cuota de Revisores en lugar de la cuota de Usuario . Esto libera una ranura de Usuario.

Ejemplo: Si tu proyecto permite 10 usuarios y 10 revisores y quieres añadir más usuarios a través de SCIM tras alcanzar el límite de usuarios:

  1. Primero, provisionar 10 usuarios a través de SCIM.

  2. Luego, cambia los usuarios requeridos a Revisores en Document360.

  3. Esos usuarios pasarán a la cuota de Revisores, liberando espacios de usuario para usuarios adicionales.

Crear grupo en Okta

Para crear un grupo en Okta,

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Grupos.

  2. Haz clic en Añadir grupo, introduce el nombre deseado y haz clic en Guardar.

Okta Admin Console displaying group management options and user statistics.

Asignar aplicación al grupo

Para asignar el grupo a una aplicación,

  1. Amplía el desplegable Aplicaciones y selecciona Aplicaciones.

  2. Selecciona la aplicación deseada, navega a la pestaña Asignaciones y haz clic en Asignar > Asignar a Grupos.

  3. Haz clic en Asignar junto al grupo creado y luego haz clic en Guardar para completar la tarea.

Grupos push

A diferencia de los usuarios, los grupos no se sincronizan automáticamente con Document360 y deben ser enviados manualmente. Para ello,

  1. Después de asignar el grupo a la aplicación, navega a la pestaña Grupos de Empuje y haz clic en Grupos de Empuje.

  2. Selecciona Buscar grupos por nombre e introduce el nombre del grupo.

  3. Selecciona el grupo en los resultados y haz clic en Guardar para enviar correctamente el grupo a Document360.

  1. Para verificar, navega a Document360 > Configuración > Usuarios y permisos > Lectores y grupos > grupos de Lectores.

User permissions management interface showing reader groups and access settings.

El grupo de lectores recién creado debería aparecer en tu portal.

 NOTA

  • Cuando Okta envía un grupo a través de SCIM, Document360 siempre crea un grupo nuevo en lugar de vincularlo a un grupo existente.

  • Esto ayuda a prevenir problemas cuando el mismo grupo está conectado a varios proveedores SSO.

  • Por ejemplo, si un proveedor elimina usuarios del grupo, podría afectar accidentalmente a usuarios gestionados por otro proveedor. Crear grupos separados evita este conflicto.

  • Por eso, gestiona siempre los grupos SCIM y los miembros del grupo desde Okta, no directamente en Document360.

Gestión de usuarios existentes durante la provisión SCIM

Si una persona ya tiene una cuenta en Document360, SCIM no cambiará su rol actual durante la primera sincronización. Esta es una medida de seguridad para evitar cambios accidentales de rol.

Ejemplo
Un usuario ya existe en Document360 como Lector.

Si SCIM intenta aprovisionar al mismo usuario que un Usuario (isTeamAccount = True), la solicitud puede fallar porque el rol existente no coincide.

Cómo resolver conflictos de roles

  1. Abre Document360 y localiza la cuenta de usuario.

  2. Actualiza manualmente el rol del usuario para que coincida con el rol que quieres provisionar.

  3. Vuelve a intentar la sincronización SCIM.

Una vez que el usuario ha sido vinculado y aprovisionado correctamente mediante SCIM, los futuros cambios de rol pueden gestionarse usando el isTeamAccount atributo.

Añadir usuario/lector al grupo

Una vez que hayas creado un grupo, sigue los pasos siguientes para añadir lectores al grupo.

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.

  2. Ve a la pestaña Grupos , busca el grupo al que quieres añadir al usuario/lector en el campo Grupos y seleccionalo.

Okta Admin Console showing user details and group management options for Jane Doe.

  1. El usuario/lector será añadido con éxito al grupo seleccionado.

  2. Para confirmarlo, navega a Document360 y selecciona el grupo de usuarios/lectores correspondiente. El lector añadido debe aparecer dentro del grupo.

    User permissions interface showing associated reader accounts and content access details.

 NOTA

Si un grupo contiene tanto usuarios como lectores, aparecerá tanto en grupos de usuarios como en grupos de lectores en Document360.

Gestión de usuarios, lectores y grupos en Document360

Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360, ya que estas acciones deben gestionarse a través de Okta para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360.

Overview of reader management settings and user details in Document360 interface.

La insignia SSO-SCIM indica si el usuario tiene SCIM activado o no.

Gestionar el acceso al contenido de lectores, usuarios y grupos

El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.

  1. Para gestionar el acceso al contenido, selecciona el lector deseado y haz clic en Gestionar el acceso al contenido.

  2. Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.

Desactivar usuarios/lectores

 NOTA

Desactivar a un usuario en Okta no elimina su perfil de Document360. El usuario será marcado como inactivo y perderá la capacidad de iniciar sesión en Okta y acceder a sus aplicaciones. Puedes reactivar la cuenta en cualquier momento, aunque el usuario tendrá que restablecer su contraseña al reactivarla.

Para desactivar usuarios o lectores de Okta,

  1. Expande el desplegable del Directorio y selecciona Personas.

  2. Selecciona el usuario que quieres desactivar para acceder a su perfil de usuario.

  3. Haz clic en Más acciones y selecciona Desactivar.

Admin console showing user details and options to deactivate or manage applications.

El usuario será desactivado con éxito. Una vez desactivado, el estado del usuario en Document360 cambiará de Activo a Inactivo.

List of readers with their statuses, highlighting one inactive account for review.

Eliminar usuario/lector

Para eliminar permanentemente un perfil de usuario/lector de Okta,

  1. En Okta, haz clic en Borrar en el perfil de usuario/lector.

  2. Aparecerá un cuadro de confirmación, haz clic en Eliminar.

Confirmation dialog for deleting user Mark Jacobs with warning message displayed.

El perfil será eliminado permanentemente de Okta.

 NOTA

Eliminar un perfil en Okta no lo elimina de Document360, el perfil permanecerá con el estado de Inactivo .

Heredar de otra aplicación

Al crear una nueva configuración SSO en Document360, puedes heredar la configuración SCIM de una conexión SSO existente. Este enfoque simplifica el proceso de configuración, evita repetir pasos de configuración y ayuda a los administradores a ahorrar tiempo asegurando la coherencia entre integraciones.

Configuración SSO heredada por hijo

En la página Configurar Proveedor de Identidad (IdP ), seleccione el campo Configurar una conexión existente y elija la aplicación principal habilitada para SSO SCIM de la que desea heredar. Seleccionar esta opción designará el proyecto actual como proyecto hijo, heredando todas las propiedades relevantes del proyecto padre.

Configuring the Identity Provider settings for SSO in Okta Admin Dashboard.

 NOTA

Una vez creada la configuración SSO, la configuración de provisión SCIM se heredará de la aplicación principal y no podrá modificarse en la aplicación hija.

SCIM provisioning settings with a warning about inherited configurations from the parent project.

Configuración SSO heredada por el padre

La aplicación principal mostrará una lista de todos los proyectos que han heredado su configuración. Cualquier cambio realizado en la aplicación principal se reflejará automáticamente en la aplicación hija.

SCIM provisioning settings in Okta with project details and configuration instructions displayed.

  • Si SCIM está habilitado en el proyecto padre después de que los proyectos hijos ya lo hayan heredado, los usuarios y grupos se aprovisionarán automáticamente a todos los proyectos hijos en segundo plano.

  • Habilitar la herencia facilita la gestión de múltiples configuraciones SSO con SCIM activado, ya que todos los ajustes se controlan desde una sola aplicación principal. Esto ahorra tiempo y reduce el esfuerzo necesario para gestionar cada configuración individualmente.

Resolución de problemas

La sincronización falló debido a un error del servidor SCIM.

Al añadir nuevos usuarios desde Okta, este error indica que uno o más usuarios no pudieron sincronizarse con Document360. Esto puede deberse a:

  • Aprovisionamiento de usuarios duplicados

  • Límite de usuarios alcanzado según tu plan de suscripción actual

  • Otros errores de validación o procesamiento.

Haz clic en Ver detalles para ver qué usuarios no sincronizaron.

User management interface displaying sync error and user account details.

Usuario ya disponible en el proyecto

Si SCIM devuelve un error de "usuario ya disponible en el proyecto", significa que la dirección de correo electrónico ya está registrada como Usuario en Document360. Si tu intención es convertirlos en lectores, sigue estos pasos:

  1. En tu IdP, localiza el perfil del usuario y navega hasta el isTeamAccount atributo.

  2. Establezca isTeamAccount = True, esto permite al sistema reconocer el correo electrónico existente como Usuario.

  3. Guarda los cambios y deja que la sincronización se complete. Una vez sincronizado, vuelve al perfil del usuario en tu IdP.

  4. Establece isTeamAccount = False, esto los convierte automáticamente en un lector.

  5. Guarda los cambios y deja que la sincronización se complete.

  6. Para verificar, navega a Document360 > Configuración > Usuarios y permisos > Lectores y grupos y confirma que el usuario ahora aparece como Lector.

¿Qué hacer cuando un grupo SCIM se elimina manualmente en Document360?

Si un grupo provisionado por SCIM se elimina manualmente en Document360, volver a enviar el mismo grupo desde tu IdP fallará porque el grupo ya no existe en el lado de la aplicación.

Para resolver esto:

  1. Elimina o desvincula el grupo afectado de tu IDP.

  2. Sincroniza el grupo de nuevo desde el IdP para crearlo de nuevo en Document360.

Evita eliminar grupos gestionados por SCIM directamente en Document360. Gestiona siempre los grupos SCIM desde tu IdP para evitar problemas de sincronización.

Desactivar y volver a activar SCIM no restaura automáticamente grupos que estaban sincronizados anteriormente. Si algún grupo gestionado por SCIM fue eliminado mientras SCIM estaba deshabilitado, debes volver a enviar esos grupos desde tu IDP.

 NOTA

Si ya se ha alcanzado el límite de tu licencia de usuario, la resincronización o el re-push de grupos puede fallar porque el enlace de grupos depende de un aprovisionamiento exitoso por parte del usuario. Antes de volver a sincronizar grupos, asegúrate de que el límite de usuarios tenga capacidad disponible.

Preguntas frecuentes

¿Cómo lo hace el isTeamAccount ¿trabajo de atributos en la provisión SCIM?

El isTeamAccount atributo determina el rol asignado a un usuario cuando se aprovisiona en Document360.

  • Cuando isTeamAccount está configurado en Verdadero, el usuario se aprovisiona como Usuario.

  • Cuando isTeamAccount se configura en Falso o Dejado sin ajustar, el usuario se provisiona como Lector.

Artículos relacionados