La integración SCIM con Okta te permite gestionar usuarios, lectores y grupos de Document360 directamente desde Okta de forma automatizada y controlada centralmente.
Cuando se añade un nuevo usuario en Okta, su cuenta de Document360 se provisiona automáticamente. Cualquier actualización en su rol o pertenencia al grupo se sincroniza en tiempo real, y cuando un usuario es desactivado o eliminado en Okta, lo mismo se refleja en Document360 sin intervención manual. Esto elimina la necesidad de una gestión de cuentas separada en Document360 y garantiza que los datos de los usuarios sigan siendo precisos y actualizados en ambas plataformas.
¿Por qué gestionar usuarios y lectores a través de SCIM?
Gestionar manualmente a los usuarios en múltiples plataformas lleva mucho tiempo y genera riesgos. Sin SCIM, los administradores deben recordar añadir nuevos empleados a Document360 por separado y revocar manualmente el acceso cuando alguien se va. Los errores pueden resultar en acceso no autorizado o retraso en la incorporación.
Con SCIM activado entre Okta y Document360:
- Los nuevos empleados se aprovisionan automáticamente a Document360 al añadirse en Okta — sin necesidad de una configuración separada.
- Las asignaciones de roles son consistentes y están controladas a través de una única fuente de verdad en tu IDP.
- Cuando un usuario es desactivado o eliminado en Okta, su acceso a Document360 se revoca automáticamente.
- Los cambios en la membresía de grupos en Okta se reflejan en tiempo real en Document360.
- El acceso al contenido sigue siendo gestionable desde dentro de Document360 incluso cuando la identidad está controlada por Okta.
Antes de que empieces
La provisión SCIM en Document360 está configurada como parte de tu configuración SSO. Asegúrese de que se completen los siguientes documentos antes de continuar:
- SSO debe estar completamente configurado y funcionar entre Okta y Document360. Configura primero SSO usando una de las guías que aparecen a continuación.
- La provisión SCIM debe estar habilitada en Document360. Navega a Configuración () > Usuarios y permisos > Configuración SSO, abre tu configuración SSO y confirma que el interruptor Activar aprovisionamiento SCIM está activado.
SAML SSO con Okta
Configura SAML SSO y activa la provisión SCIM entre Okta y Document360.
Configurar SAML con Okta →OpenID Connect SSO con Okta
Configura OpenID Connect SSO y activa la provisión SCIM entre Okta y Document360.
Configura OpenID con Okta →Asignar asignación de atributos de usuario
SCIM utiliza este isTeamAccount atributo para determinar si una persona está provisionada como Usuario o como Lector en Document360.
isTeamAccount = True→ provisionado como UsuarioisTeamAccount = Falseo que no se coloca → se proporciona como Lector
Para añadir este atributo en Okta:
- En la Consola de Administración de Okta, amplía el desplegable Aplicaciones y selecciona Aplicaciones.
- Selecciona la aplicación que quieres configurar y navega a la pestaña de Provisionamiento .
- Desplázate hacia abajo hasta Mapear atributos y haz clic en Ir al Editor de perfiles.
- En la sección de Atributos , haz clic en Añadir Atributo y rellena los detalles como se muestra a continuación.
| Añadir Atributo | Valor |
|---|---|
| Tipo de datos | Booleano |
| Nombre de visualización | Cuenta del equipo |
| Nombre de la variable | isTeamAccount |
| Nombre externo | isTeamAccount |
| Espacio de nombres externo | urn:ietf:params:scim:schemas:extension:document360:2.0:User |
- Haz clic en Guardar.
Siempre establece el isTeamAccount atributo a nivel de usuario, no a nivel de grupo. Si se configura a nivel de grupo, los usuarios que pertenecen a varios grupos con valores en conflicto pueden recibir roles incorrectos en Document360. Configurarlo a nivel de usuario garantiza que cada usuario tenga un valor claro y consistente.
Utiliza Constructor de Expresiones para mapear roles
En lugar de establecer manualmente el isTeamAccount atributo para cada usuario, puedes usar el Constructor de Expresiones de Okta para determinar automáticamente si un usuario está provisionado como Usuario o Lector en Document360, basándose en un atributo existente en su perfil de Okta como Título del puesto, Departamento o membresía al grupo.
Cómo funciona:
isTeamAccount = True→ provisionado como usuarioisTeamAccount = False→ provisionado como lector
Una vez provisionado, los usuarios se añaden automáticamente a los respectivos grupos de usuarios o grupos de lectores en Document360.
Pasos para configurar:
- En la Consola de Administración de Okta, ve a Aplicaciones y selecciona tu aplicación SCIM.
- Ve a la pestaña de Aprovisionamiento y haz clic en la pestaña Para la app en Configuración.
- Desplázate hacia abajo hasta Mapear atributos y haz clic en el icono de Editar junto al atributo
isTeamAccount.
- En el diálogo, configura el desplegable del valor del Atributo en Expresión.
- Introduce tu expresión en el cuadro de texto proporcionado.
- Para verificar la expresión, introduzca el nombre de un usuario en el campo Vista previa . El resultado se evalúa instantáneamente y se muestra en la barra verde debajo del cuadro de texto, mostrando si el usuario será provisionado como Usuario (
true) o como Lector (false). - En Aplicar en, selecciona Crear o Crear y actualiza dependiendo de si quieres que la expresión se aplique solo durante la creación del usuario o también en las actualizaciones.
- Haz clic en Guardar.
Haz clic en Referencia del lenguaje de expresión debajo del cuadro de expresión para explorar todas las funciones, operadores y sintaxis disponibles soportados en el lenguaje de expresión de Okta. Para más información, consulte la guía general de Lenguaje de Expresiones de Okta.
Basado en el título del puesto
Si tus usuarios tienen un atributo Título de Puesto en su perfil de Okta, puedes asignar roles según su título:
user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"
Los usuarios con los títulos de Gerente, Gerente Senior o Jefe de Equipo son asignados como Usuarios. Todos los demás títulos están provisionados como Readers.
El nombre de la variable de atributo (por ejemplo, user.title) debe coincidir exactamente con el nombre de variable definido en tu perfil de usuario de Okta. Puedes comprobarlo en Directory > Profile Editor.
Según la pertenencia al grupo
Si tus usuarios están organizados en grupos de Okta, puedes asignar roles según los grupos a los que pertenecen:
isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"
Los usuarios que son miembros de los grupos de Gerentes, Líderes de Equipo o Directores están asignados como Usuarios. Los usuarios que no pertenecen a ninguno de estos grupos se asignan como Lectores.
Puedes combinar o ampliar cualquiera de las dos expresiones para incluir títulos de puesto adicionales o nombres de grupos según las necesidades de tu organización.
Disposición Okta a Document360
Para vincular la creación, cambios y desactivación de usuarios en Okta con Document360:
- En la barra de navegación de la izquierda, amplía el desplegable Aplicaciones y haz clic en Aplicaciones.
- Selecciona tu aplicación SCIM y ve a la pestaña de Provisionamiento .
- Haz clic en Editar en Aprovisionamiento a la aplicación y selecciona las siguientes casillas:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
Crear usuarios, lectores y grupos
Crear un usuario
- En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
- Haz clic en Añadir persona, rellena los datos de usuario requeridos y haz clic en Guardar. Una vez que el usuario está provisionado, Document360 asigna automáticamente el rol según la regla configurada en el Constructor de Expresiones.
- Selecciona al usuario recién creado y haz clic en Asignar aplicaciones para vincularlas a una aplicación.
- Elige la aplicación a la que quieres asignar al usuario y haz clic en Aplicar. El usuario se crea con éxito.
Para verificar, ve a Document360 y navega a Configuración () > Usuarios y permisos > Usuarios y grupos. El usuario recién creado debería aparecer en la lista.
El número de usuarios que puedes añadir a Document360 a través de Okta depende de tu plan de suscripción.
Todos los usuarios provisionados a través de SCIM se cuentan inicialmente dentro de la cuota de usuario. Si se alcanza el límite de usuarios, SCIM no puede proporcionar usuarios adicionales, aunque algunos de ellos estén destinados a ser Revisores.
Solución alternativa:
- Provisiona usuarios desde Okta a través de SCIM como siempre. Se sincronizarán con Document360 con el rol predeterminado como Colaborador o Administrador.
- Una vez sincronizados los usuarios, cambia manualmente el rol de los usuarios requeridos a Revisor en Document360.
- Una vez que un usuario cambia a Revisor, se cuenta bajo la cuota de Revisores en lugar de la cuota de Usuario . Esto libera una ranura de Usuario.
Ejemplo: Si tu proyecto permite 10 usuarios y 10 revisores y quieres añadir más usuarios a través de SCIM tras alcanzar el límite de usuarios:
- Primero, provisionar 10 usuarios a través de SCIM.
- Luego, cambia los usuarios requeridos a Revisores en Document360.
- Esos usuarios pasarán a la cuota de Revisores, liberando espacios de usuario para usuarios adicionales.
Crea un lector
- En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
- En la página Personas , haz clic en Añadir Persona, rellena los datos del lector requeridos y haz clic en Guardar. Esto confirma que el lector ha sido añadido con éxito al Proveedor de Identidad (Okta).
Una vez provisionado el lector, Document360 asigna automáticamente el rol según la regla configurada en el Constructor de Expresións.
- Para integrar el lector con Document360, selecciona el lector recién creado y haz clic en Asignar aplicaciones.
- En el cuadro de diálogo Asignar aplicación , selecciona el proyecto al que quieres asignar el lector y luego haz clic en Asignar > Guardar y volver > Hecho.
- El lector recién creado se sincronizará automáticamente con Document360. Para verificar, ve a Document360 y navega a Configuración () > Usuarios y permisos > Lectores y grupos.
El lector se añadirá con el acceso predeterminado al contenido que se aplicó durante la configuración de SSO.
Crear un grupo
- En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Grupos.
- Haz clic en Añadir grupo, introduce el nombre deseado y haz clic en Guardar.
Asignar aplicación al grupo
- Amplía el desplegable Aplicaciones y selecciona Aplicaciones.
- Selecciona la aplicación deseada, navega a la pestaña Asignaciones y haz clic en Asignar > Asignar a Grupos.
- Haz clic en Asignar junto al grupo creado y luego haz clic en Guardar para completar la tarea.
Grupos push
A diferencia de los usuarios, los grupos no se sincronizan automáticamente con Document360 y deben ser enviados manualmente.
- Después de asignar el grupo a la aplicación, navega a la pestaña Grupos de Empuje y haz clic en Grupos de Empuje.
- Selecciona Buscar grupos por nombre e introduce el nombre del grupo.
- Selecciona el grupo en los resultados y haz clic en Guardar para enviar correctamente el grupo a Document360.
- Para verificar, navega a Document360 > Configuración () > Usuarios y permisos > Lectores y grupos > grupos de lectores.
El grupo de lectores recién creado debería aparecer en tu portal.
Cuando Okta envía un grupo a través de SCIM, Document360 siempre crea un grupo nuevo en lugar de vincularlo a un grupo existente. Esto ayuda a prevenir problemas cuando el mismo grupo está conectado a varios proveedores SSO. Por ejemplo, si un proveedor elimina usuarios del grupo, podría afectar accidentalmente a usuarios gestionados por otro proveedor. Crear grupos separados evita este conflicto. Por eso, gestiona siempre los grupos SCIM y los miembros del grupo desde Okta, no directamente en Document360.
Añadir un usuario o lector a un grupo
- En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
- Ve a la pestaña Grupos , busca el grupo al que quieres añadir al usuario o lector en el campo Grupos y seleccionalo.
- El usuario o lector será añadido con éxito al grupo seleccionado.
- Para confirmarlo, navega a Document360 y selecciona el grupo de usuarios o lectores correspondiente. El miembro añadido debe aparecer dentro del grupo.
Si un grupo contiene tanto usuarios como lectores, aparecerá tanto en grupos de usuarios como en grupos de lectores en Document360.
Gestión de usuarios, lectores y grupos en Document360
Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360. Estas acciones deben gestionarse a través de Okta para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360.
La insignia SSO-SCIM indica si el usuario tiene SCIM activado.
Gestionar el acceso al contenido
El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.
- Para gestionar el acceso al contenido, selecciona el lector deseado y haz clic en Gestionar el acceso al contenido.
- Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.
Gestión de usuarios existentes durante la provisión SCIM
Si una persona ya tiene una cuenta en Document360, SCIM no cambiará su rol actual durante la primera sincronización. Esta es una medida de seguridad para evitar cambios accidentales de rol.
Ejemplo: Un usuario ya existe en Document360 como Lector. Si SCIM intenta aprovisionar al mismo usuario que un Usuario (isTeamAccount = True), la solicitud puede fallar porque el rol existente no coincide.
Cómo resolver los conflictos de rol:
- Abre Document360 y localiza la cuenta de usuario.
- Actualiza manualmente el rol del usuario para que coincida con el rol que quieres provisionar.
- Vuelve a intentar la sincronización SCIM.
Una vez que el usuario ha sido vinculado y aprovisionado correctamente mediante SCIM, los futuros cambios de rol pueden gestionarse usando el isTeamAccount atributo.
Desactivar usuarios y lectores
Desactivar a un usuario en Okta no elimina su perfil de Document360. El usuario será marcado como inactivo y perderá la capacidad de iniciar sesión en Okta y acceder a sus aplicaciones. Puedes reactivar la cuenta en cualquier momento, aunque el usuario tendrá que restablecer su contraseña al reactivarla.
Para desactivar usuarios o lectores de Okta:
- Amplía el desplegable del Directorio y selecciona Personas.
- Selecciona al usuario que quieres desactivar para acceder a su perfil.
- Haz clic en Más acciones y selecciona Desactivar.
El usuario será desactivado con éxito. Una vez desactivado, el estado del usuario en Document360 cambiará de Activo a Inactivo.
Eliminar a un usuario o lector
Para eliminar permanentemente el perfil de un usuario o lector de Okta:
- En Okta, haz clic en Eliminar en el perfil de usuario o lector.
- Aparecerá un cuadro de confirmación. Haz clic en Eliminar.
El perfil será eliminado permanentemente de Okta.
Eliminar un perfil en Okta no lo elimina de Document360. El perfil permanecerá con un estado Inactivo .
Heredar de otra aplicación
Al crear una nueva configuración SSO en Document360, puedes heredar la configuración SCIM de una conexión SSO existente. Este enfoque simplifica el proceso de configuración, evita repetir pasos de configuración y ayuda a los administradores a ahorrar tiempo asegurando la coherencia entre integraciones.
Configuración SSO heredada por hijo
En la página Configurar Proveedor de Identidad (IdP ), seleccione el campo Configurar una conexión existente y elija la aplicación principal habilitada para SSO SCIM de la que desea heredar. Seleccionar esta opción designa el proyecto actual como proyecto hijo, heredando todas las propiedades relevantes del proyecto padre.
Una vez creada la configuración SSO, la configuración de provisión SCIM se heredará de la aplicación principal y no podrá modificarse en la aplicación hija.
Configuración SSO heredada por padre
La aplicación principal mostrará una lista de todos los proyectos que han heredado su configuración. Cualquier cambio realizado en la aplicación principal se reflejará automáticamente en la aplicación hija.
- Si SCIM está habilitado en el proyecto padre después de que los proyectos hijos ya lo hayan heredado, los usuarios y grupos se aprovisionarán automáticamente a todos los proyectos hijos en segundo plano.
- Habilitar la herencia facilita la gestión de múltiples configuraciones SSO con SCIM activado, ya que todos los ajustes se controlan desde una sola aplicación principal. Esto ahorra tiempo y reduce el esfuerzo necesario para gestionar cada configuración individualmente.
Mejores prácticas
- Siempre configurado
isTeamAccounta nivel de usuario, no a nivel de grupo. Los usuarios que pertenecen a varios grupos con valores en conflicto pueden recibir roles incorrectos en Document360. Configurarlo a nivel de usuario garantiza que cada usuario tenga un valor claro y consistente. - No pruebes el conector SCIM antes de que se guarde la configuración de Document360. La prueba suspenderá en esa fase. Siempre completa y guarda primero la configuración SSO de Document360, luego vuelve a Okta para probar.
- Guarda tus tokens secretos primarios y secundarios de forma segura. Las fichas se muestran solo una vez en el momento de la creación. Guárdalos en un gestor de secretos o en una cámara fuerte de contraseñas. Si un token está comprometido, regéneralo inmediatamente y actualiza tu configuración de Okta sin demora.
- Usa la ficha secundaria para una rotación segura. Si el token primario necesita ser reemplazado, cambia primero Okta al token secundario y luego regenera el primario. Esto garantiza que el aprovisionamiento por parte del usuario continúe sin interrupciones durante la transición.
- Resuelve conflictos de roles antes de ejecutar la sincronización SCIM para los usuarios existentes. Si un usuario ya existe en Document360 con un rol diferente, actualiza manualmente su rol en Document360 antes de intentar de nuevo la sincronización.
- Gestiona los grupos SCIM desde Okta, no desde Document360. Document360 siempre crea un nuevo grupo cuando Okta lo pasa por SCIM. Gestiona siempre la membresía de grupos SCIM desde Okta para evitar conflictos.
- Supervisa tu cuota de usuarios antes de hacer provisiones a gran escala. Si se alcanza el límite de usuario, SCIM no puede aprovisionar usuarios adicionales. Convierte usuarios en revisores en Document360 cuando sea necesario para liberar huecos de usuario.
Preguntas frecuentes
¿Cómo funciona el isTeamAccount atributo en el provisión SCIM?
isTeamAccount atributo en el provisión SCIM?El isTeamAccount atributo determina el rol asignado a un usuario cuando se aprovisiona en Document360. Cuando isTeamAccount está configurado en Verdadero, el usuario se aprovisiona como Usuario. Cuando isTeamAccount se configura como Falso o se deja sin activar, el usuario se aprovisiona como Lector.