Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

Gestión de usuarios y lectores con SCIM en Okta

Prev Next

La integración SCIM con Okta te permite gestionar usuarios, lectores y grupos de Document360 directamente desde Okta de forma automatizada y controlada centralmente.

Cuando se añade un nuevo usuario en Okta, su cuenta de Document360 se provisiona automáticamente. Cualquier actualización en su rol o pertenencia al grupo se sincroniza en tiempo real, y cuando un usuario es desactivado o eliminado en Okta, lo mismo se refleja en Document360 sin intervención manual. Esto elimina la necesidad de una gestión de cuentas separada en Document360 y garantiza que los datos de los usuarios sigan siendo precisos y actualizados en ambas plataformas.


¿Por qué gestionar usuarios y lectores a través de SCIM?

Gestionar manualmente a los usuarios en múltiples plataformas lleva mucho tiempo y genera riesgos. Sin SCIM, los administradores deben recordar añadir nuevos empleados a Document360 por separado y revocar manualmente el acceso cuando alguien se va. Los errores pueden resultar en acceso no autorizado o retraso en la incorporación.

Con SCIM activado entre Okta y Document360:

  • Los nuevos empleados se aprovisionan automáticamente a Document360 al añadirse en Okta — sin necesidad de una configuración separada.
  • Las asignaciones de roles son consistentes y están controladas a través de una única fuente de verdad en tu IDP.
  • Cuando un usuario es desactivado o eliminado en Okta, su acceso a Document360 se revoca automáticamente.
  • Los cambios en la membresía de grupos en Okta se reflejan en tiempo real en Document360.
  • El acceso al contenido sigue siendo gestionable desde dentro de Document360 incluso cuando la identidad está controlada por Okta.

Antes de que empieces

La provisión SCIM en Document360 está configurada como parte de tu configuración SSO. Asegúrese de que se completen los siguientes documentos antes de continuar:

  • SSO debe estar completamente configurado y funcionar entre Okta y Document360. Configura primero SSO usando una de las guías que aparecen a continuación.
  • La provisión SCIM debe estar habilitada en Document360. Navega a Configuración () > Usuarios y permisos > Configuración SSO, abre tu configuración SSO y confirma que el interruptor Activar aprovisionamiento SCIM está activado.
 
   
     

SAML SSO con Okta

   
   

Configura SAML SSO y activa la provisión SCIM entre Okta y Document360.

   Configurar SAML con Okta →  
 
   
     

OpenID Connect SSO con Okta

   
   

Configura OpenID Connect SSO y activa la provisión SCIM entre Okta y Document360.

   Configura OpenID con Okta →  

Asignar asignación de atributos de usuario

SCIM utiliza este isTeamAccount atributo para determinar si una persona está provisionada como Usuario o como Lector en Document360.

  • isTeamAccount = True → provisionado como Usuario
  • isTeamAccount = False o que no se coloca → se proporciona como Lector

Para añadir este atributo en Okta:

  1. En la Consola de Administración de Okta, amplía el desplegable Aplicaciones y selecciona Aplicaciones.
  2. Selecciona la aplicación que quieres configurar y navega a la pestaña de Provisionamiento .
  3. Desplázate hacia abajo hasta Mapear atributos y haz clic en Ir al Editor de perfiles.
  4. En la sección de Atributos , haz clic en Añadir Atributo y rellena los detalles como se muestra a continuación.
Añadir Atributo Valor
Tipo de datos Booleano
Nombre de visualización Cuenta del equipo
Nombre de la variable isTeamAccount
Nombre externo isTeamAccount
Espacio de nombres externo urn:ietf:params:scim:schemas:extension:document360:2.0:User
Adding a boolean attribute named 'Team Account' in the Okta Profile Editor interface.
  1. Haz clic en Guardar.

PROPINA

Siempre establece el isTeamAccount atributo a nivel de usuario, no a nivel de grupo. Si se configura a nivel de grupo, los usuarios que pertenecen a varios grupos con valores en conflicto pueden recibir roles incorrectos en Document360. Configurarlo a nivel de usuario garantiza que cada usuario tenga un valor claro y consistente.


Utiliza Constructor de Expresiones para mapear roles

En lugar de establecer manualmente el isTeamAccount atributo para cada usuario, puedes usar el Constructor de Expresiones de Okta para determinar automáticamente si un usuario está provisionado como Usuario o Lector en Document360, basándose en un atributo existente en su perfil de Okta como Título del puesto, Departamento o membresía al grupo.

Cómo funciona:

  • isTeamAccount = True → provisionado como usuario
  • isTeamAccount = False → provisionado como lector

Una vez provisionado, los usuarios se añaden automáticamente a los respectivos grupos de usuarios o grupos de lectores en Document360.

Pasos para configurar:

  1. En la Consola de Administración de Okta, ve a Aplicaciones y selecciona tu aplicación SCIM.
  2. Ve a la pestaña de Aprovisionamiento y haz clic en la pestaña Para la app en Configuración.
  3. Desplázate hacia abajo hasta Mapear atributos y haz clic en el icono de Editar junto al atributo isTeamAccount .
Okta Admin Console displaying user attributes and mapping options for applications.
  1. En el diálogo, configura el desplegable del valor del Atributo en Expresión.
  2. Introduce tu expresión en el cuadro de texto proporcionado.
  3. Para verificar la expresión, introduzca el nombre de un usuario en el campo Vista previa . El resultado se evalúa instantáneamente y se muestra en la barra verde debajo del cuadro de texto, mostrando si el usuario será provisionado como Usuario (true) o como Lector (false).
  4. En Aplicar en, selecciona Crear o Crear y actualiza dependiendo de si quieres que la expresión se aplique solo durante la creación del usuario o también en las actualizaciones.
  5. Haz clic en Guardar.
Admin console showing SCIM settings with highlighted expression and options for user roles.

NOTA

Haz clic en Referencia del lenguaje de expresión debajo del cuadro de expresión para explorar todas las funciones, operadores y sintaxis disponibles soportados en el lenguaje de expresión de Okta. Para más información, consulte la guía general de Lenguaje de Expresiones de Okta.

Basado en el título del puesto

Si tus usuarios tienen un atributo Título de Puesto en su perfil de Okta, puedes asignar roles según su título:

user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"

Los usuarios con los títulos de Gerente, Gerente Senior o Jefe de Equipo son asignados como Usuarios. Todos los demás títulos están provisionados como Readers.

NOTA

El nombre de la variable de atributo (por ejemplo, user.title) debe coincidir exactamente con el nombre de variable definido en tu perfil de usuario de Okta. Puedes comprobarlo en Directory > Profile Editor.

Según la pertenencia al grupo

Si tus usuarios están organizados en grupos de Okta, puedes asignar roles según los grupos a los que pertenecen:

isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"

Los usuarios que son miembros de los grupos de Gerentes, Líderes de Equipo o Directores están asignados como Usuarios. Los usuarios que no pertenecen a ninguno de estos grupos se asignan como Lectores.

NOTA

Puedes combinar o ampliar cualquiera de las dos expresiones para incluir títulos de puesto adicionales o nombres de grupos según las necesidades de tu organización.


Disposición Okta a Document360

Para vincular la creación, cambios y desactivación de usuarios en Okta con Document360:

  1. En la barra de navegación de la izquierda, amplía el desplegable Aplicaciones y haz clic en Aplicaciones.
  2. Selecciona tu aplicación SCIM y ve a la pestaña de Provisionamiento .
  3. Haz clic en Editar en Aprovisionamiento a la aplicación y selecciona las siguientes casillas:
    • Crear usuarios
    • Actualizar atributos de usuario
    • Desactivar usuarios
Okta Admin Console showing provisioning settings for user management and application integration.

Crear usuarios, lectores y grupos

Crear un usuario

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
  2. Haz clic en Añadir persona, rellena los datos de usuario requeridos y haz clic en Guardar. Una vez que el usuario está provisionado, Document360 asigna automáticamente el rol según la regla configurada en el Constructor de Expresiones.
Okta Admin Console displaying user directory with options to add or reset passwords.
  1. Selecciona al usuario recién creado y haz clic en Asignar aplicaciones para vincularlas a una aplicación.
  2. Elige la aplicación a la que quieres asignar al usuario y haz clic en Aplicar. El usuario se crea con éxito.

Para verificar, ve a Document360 y navega a Configuración () > Usuarios y permisos > Usuarios y grupos. El usuario recién creado debería aparecer en la lista.

NOTA

El número de usuarios que puedes añadir a Document360 a través de Okta depende de tu plan de suscripción.

Todos los usuarios provisionados a través de SCIM se cuentan inicialmente dentro de la cuota de usuario. Si se alcanza el límite de usuarios, SCIM no puede proporcionar usuarios adicionales, aunque algunos de ellos estén destinados a ser Revisores.

Solución alternativa:

  1. Provisiona usuarios desde Okta a través de SCIM como siempre. Se sincronizarán con Document360 con el rol predeterminado como Colaborador o Administrador.
  2. Una vez sincronizados los usuarios, cambia manualmente el rol de los usuarios requeridos a Revisor en Document360.
  3. Una vez que un usuario cambia a Revisor, se cuenta bajo la cuota de Revisores en lugar de la cuota de Usuario . Esto libera una ranura de Usuario.

Ejemplo: Si tu proyecto permite 10 usuarios y 10 revisores y quieres añadir más usuarios a través de SCIM tras alcanzar el límite de usuarios:

  1. Primero, provisionar 10 usuarios a través de SCIM.
  2. Luego, cambia los usuarios requeridos a Revisores en Document360.
  3. Esos usuarios pasarán a la cuota de Revisores, liberando espacios de usuario para usuarios adicionales.

Crea un lector

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
  2. En la página Personas , haz clic en Añadir Persona, rellena los datos del lector requeridos y haz clic en Guardar. Esto confirma que el lector ha sido añadido con éxito al Proveedor de Identidad (Okta).
Okta Admin Console displaying user directory with options to add or reset passwords.

Una vez provisionado el lector, Document360 asigna automáticamente el rol según la regla configurada en el Constructor de Expresións.

  1. Para integrar el lector con Document360, selecciona el lector recién creado y haz clic en Asignar aplicaciones.
  2. En el cuadro de diálogo Asignar aplicación , selecciona el proyecto al que quieres asignar el lector y luego haz clic en Asignar > Guardar y volver > Hecho.
Assigning an application to a reader in Okta.
  1. El lector recién creado se sincronizará automáticamente con Document360. Para verificar, ve a Document360 y navega a Configuración () > Usuarios y permisos > Lectores y grupos.
User management interface displaying reader accounts and their access statuses.

El lector se añadirá con el acceso predeterminado al contenido que se aplicó durante la configuración de SSO.

Crear un grupo

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Grupos.
  2. Haz clic en Añadir grupo, introduce el nombre deseado y haz clic en Guardar.
Okta Admin Console displaying group management options and user statistics.

Asignar aplicación al grupo

  1. Amplía el desplegable Aplicaciones y selecciona Aplicaciones.
  2. Selecciona la aplicación deseada, navega a la pestaña Asignaciones y haz clic en Asignar > Asignar a Grupos.
  3. Haz clic en Asignar junto al grupo creado y luego haz clic en Guardar para completar la tarea.
Assigning a group to an application in Okta.

Grupos push

A diferencia de los usuarios, los grupos no se sincronizan automáticamente con Document360 y deben ser enviados manualmente.

  1. Después de asignar el grupo a la aplicación, navega a la pestaña Grupos de Empuje y haz clic en Grupos de Empuje.
  2. Selecciona Buscar grupos por nombre e introduce el nombre del grupo.
  3. Selecciona el grupo en los resultados y haz clic en Guardar para enviar correctamente el grupo a Document360.
Pushing a group to Document360 from Okta.
  1. Para verificar, navega a Document360 > Configuración () > Usuarios y permisos > Lectores y grupos > grupos de lectores.
User permissions management interface showing reader groups and access settings.

El grupo de lectores recién creado debería aparecer en tu portal.

NOTA

Cuando Okta envía un grupo a través de SCIM, Document360 siempre crea un grupo nuevo en lugar de vincularlo a un grupo existente. Esto ayuda a prevenir problemas cuando el mismo grupo está conectado a varios proveedores SSO. Por ejemplo, si un proveedor elimina usuarios del grupo, podría afectar accidentalmente a usuarios gestionados por otro proveedor. Crear grupos separados evita este conflicto. Por eso, gestiona siempre los grupos SCIM y los miembros del grupo desde Okta, no directamente en Document360.


Añadir un usuario o lector a un grupo

  1. En la Consola de Administración de Okta, amplía el desplegable del Directorio y selecciona Personas.
  2. Ve a la pestaña Grupos , busca el grupo al que quieres añadir al usuario o lector en el campo Grupos y seleccionalo.
Okta Admin Console showing user details and group management options for Jane Doe.
  1. El usuario o lector será añadido con éxito al grupo seleccionado.
  2. Para confirmarlo, navega a Document360 y selecciona el grupo de usuarios o lectores correspondiente. El miembro añadido debe aparecer dentro del grupo.
User permissions interface showing associated reader accounts and content access details.

NOTA

Si un grupo contiene tanto usuarios como lectores, aparecerá tanto en grupos de usuarios como en grupos de lectores en Document360.


Gestión de usuarios, lectores y grupos en Document360

Cuando SCIM está habilitado, se desactiva editar el nombre de un usuario o eliminar directamente a un usuario en Document360. Estas acciones deben gestionarse a través de Okta para mantener ambas plataformas sincronizadas. Solo puedes gestionar el acceso al contenido desde Document360.

Overview of reader management settings and user details in Document360 interface.

La insignia SSO-SCIM indica si el usuario tiene SCIM activado.

Gestionar el acceso al contenido

El rol de contenido predeterminado asignado a cualquier nuevo usuario, lector o grupo se basa en lo que se configuró durante la configuración del aprovisionamiento SCIM. Los permisos se configurarán como Ninguno por defecto, pero pueden actualizarse en cualquier momento.

  1. Para gestionar el acceso al contenido, selecciona el lector deseado y haz clic en Gestionar el acceso al contenido.
  2. Elige el nivel de acceso deseado en el desplegable y haz clic en Actualizar.
Managing content access in Document360.

Gestión de usuarios existentes durante la provisión SCIM

Si una persona ya tiene una cuenta en Document360, SCIM no cambiará su rol actual durante la primera sincronización. Esta es una medida de seguridad para evitar cambios accidentales de rol.

Ejemplo: Un usuario ya existe en Document360 como Lector. Si SCIM intenta aprovisionar al mismo usuario que un Usuario (isTeamAccount = True), la solicitud puede fallar porque el rol existente no coincide.

Cómo resolver los conflictos de rol:

  1. Abre Document360 y localiza la cuenta de usuario.
  2. Actualiza manualmente el rol del usuario para que coincida con el rol que quieres provisionar.
  3. Vuelve a intentar la sincronización SCIM.

Una vez que el usuario ha sido vinculado y aprovisionado correctamente mediante SCIM, los futuros cambios de rol pueden gestionarse usando el isTeamAccount atributo.


Desactivar usuarios y lectores

NOTA

Desactivar a un usuario en Okta no elimina su perfil de Document360. El usuario será marcado como inactivo y perderá la capacidad de iniciar sesión en Okta y acceder a sus aplicaciones. Puedes reactivar la cuenta en cualquier momento, aunque el usuario tendrá que restablecer su contraseña al reactivarla.

Para desactivar usuarios o lectores de Okta:

  1. Amplía el desplegable del Directorio y selecciona Personas.
  2. Selecciona al usuario que quieres desactivar para acceder a su perfil.
  3. Haz clic en Más acciones y selecciona Desactivar.
Admin console showing user details and options to deactivate or manage applications.

El usuario será desactivado con éxito. Una vez desactivado, el estado del usuario en Document360 cambiará de Activo a Inactivo.

List of readers with their statuses, highlighting one inactive account for review.

Eliminar a un usuario o lector

Para eliminar permanentemente el perfil de un usuario o lector de Okta:

  1. En Okta, haz clic en Eliminar en el perfil de usuario o lector.
  2. Aparecerá un cuadro de confirmación. Haz clic en Eliminar.
Confirmation dialog for deleting user Mark Jacobs with warning message displayed.

El perfil será eliminado permanentemente de Okta.

NOTA

Eliminar un perfil en Okta no lo elimina de Document360. El perfil permanecerá con un estado Inactivo .


Heredar de otra aplicación

Al crear una nueva configuración SSO en Document360, puedes heredar la configuración SCIM de una conexión SSO existente. Este enfoque simplifica el proceso de configuración, evita repetir pasos de configuración y ayuda a los administradores a ahorrar tiempo asegurando la coherencia entre integraciones.

Configuración SSO heredada por hijo

En la página Configurar Proveedor de Identidad (IdP ), seleccione el campo Configurar una conexión existente y elija la aplicación principal habilitada para SSO SCIM de la que desea heredar. Seleccionar esta opción designa el proyecto actual como proyecto hijo, heredando todas las propiedades relevantes del proyecto padre.

Configuring the Identity Provider settings for SSO in Okta Admin Dashboard.

NOTA

Una vez creada la configuración SSO, la configuración de provisión SCIM se heredará de la aplicación principal y no podrá modificarse en la aplicación hija.

SCIM provisioning settings with a warning about inherited configurations from the parent project.

Configuración SSO heredada por padre

La aplicación principal mostrará una lista de todos los proyectos que han heredado su configuración. Cualquier cambio realizado en la aplicación principal se reflejará automáticamente en la aplicación hija.

SCIM provisioning settings in Okta with project details and configuration instructions displayed.
  • Si SCIM está habilitado en el proyecto padre después de que los proyectos hijos ya lo hayan heredado, los usuarios y grupos se aprovisionarán automáticamente a todos los proyectos hijos en segundo plano.
  • Habilitar la herencia facilita la gestión de múltiples configuraciones SSO con SCIM activado, ya que todos los ajustes se controlan desde una sola aplicación principal. Esto ahorra tiempo y reduce el esfuerzo necesario para gestionar cada configuración individualmente.

Mejores prácticas

  • Siempre configurado isTeamAccount a nivel de usuario, no a nivel de grupo. Los usuarios que pertenecen a varios grupos con valores en conflicto pueden recibir roles incorrectos en Document360. Configurarlo a nivel de usuario garantiza que cada usuario tenga un valor claro y consistente.
  • No pruebes el conector SCIM antes de que se guarde la configuración de Document360. La prueba suspenderá en esa fase. Siempre completa y guarda primero la configuración SSO de Document360, luego vuelve a Okta para probar.
  • Guarda tus tokens secretos primarios y secundarios de forma segura. Las fichas se muestran solo una vez en el momento de la creación. Guárdalos en un gestor de secretos o en una cámara fuerte de contraseñas. Si un token está comprometido, regéneralo inmediatamente y actualiza tu configuración de Okta sin demora.
  • Usa la ficha secundaria para una rotación segura. Si el token primario necesita ser reemplazado, cambia primero Okta al token secundario y luego regenera el primario. Esto garantiza que el aprovisionamiento por parte del usuario continúe sin interrupciones durante la transición.
  • Resuelve conflictos de roles antes de ejecutar la sincronización SCIM para los usuarios existentes. Si un usuario ya existe en Document360 con un rol diferente, actualiza manualmente su rol en Document360 antes de intentar de nuevo la sincronización.
  • Gestiona los grupos SCIM desde Okta, no desde Document360. Document360 siempre crea un nuevo grupo cuando Okta lo pasa por SCIM. Gestiona siempre la membresía de grupos SCIM desde Okta para evitar conflictos.
  • Supervisa tu cuota de usuarios antes de hacer provisiones a gran escala. Si se alcanza el límite de usuario, SCIM no puede aprovisionar usuarios adicionales. Convierte usuarios en revisores en Document360 cuando sea necesario para liberar huecos de usuario.

Preguntas frecuentes

¿Cómo funciona el isTeamAccount atributo en el provisión SCIM?

El isTeamAccount atributo determina el rol asignado a un usuario cuando se aprovisiona en Document360. Cuando isTeamAccount está configurado en Verdadero, el usuario se aprovisiona como Usuario. Cuando isTeamAccount se configura como Falso o se deja sin activar, el usuario se aprovisiona como Lector.