Cómo integrar Okta en el aprovisionamiento de usuarios

El aprovisionamiento de usuarios con Okta permite automatizar la gestión del ciclo de vida de los usuarios en DocuWare a través del protocolo SCIM. Cuando asigna o elimina usuarios y grupos en Okta, esos cambios se reflejan automáticamente en DocuWare, sin necesidad de crear ni desactivar usuarios manualmente.

Esta integración se configura en dos lugares: la consola de administración de Okta (donde se crea la integración de la aplicación SAML/SCIM) y Configuraciones de DocuWare > General > Aprovisionamiento de usuarios (donde se habilita SCIM y se registra la aplicación de Okta).

La versión actual de UserSync (v3) admite las siguientes funciones de aprovisionamiento:

• Creación automática de usuarios: los usuarios asignados a la aplicación de DocuWare en Okta se crean automáticamente en DocuWare.

• Sincronización de atributos: las modificaciones en los atributos de los usuarios (userName, correo electrónico, estado activo) en Okta se reflejan en DocuWare.

• Desactivación de usuarios: cuando se desactiva un usuario en Okta, también queda desactivado en DocuWare y no podrá iniciar sesión.

Configurar la aplicación de Okta

En esta sección se explica cómo crear una integración de aplicación SAML en Okta y habilitar el aprovisionamiento SCIM en ella. Okta exige el método de inicio de sesión SAML para desbloquear la pestaña de aprovisionamiento, pero este no se utiliza para la autenticación real.

1. Inicie sesión en su organización de Okta y abra la vista Admin.

2. Vaya a Applications > Applications.

3. Seleccione Create App Integration.

4. Elija SAML 2.0 como método de inicio de sesión y seleccione Next. Este método de inicio de sesión no se utiliza para la autenticación, pero es necesario para habilitar el aprovisionamiento SCIM.

5. En la pestaña General Settings, introduzca un nombre para la aplicación (por ejemplo, «DocuWare SCIM») y seleccione Next.

6. En la pestaña Configure SAML, introduzca una URL de marcador en los campos Single sign-on URL y Audience URI. Los valores reales no importan, ya que SAML no se utiliza. Puede introducir http://www.okta.com en ambos campos. Seleccione Next.

7. En la pestaña Feedback, seleccione This is an internal app that we have created y, a continuación, Finish.

8. Abra la aplicación recién creada. En la pestaña General, dentro de App Settings, seleccione Edit. Defina Provisioning como SCIM y seleccione Save.

9. Desplácese hasta App Embed Link y copie el segmento de ID que aparece después de /home/ en el enlace de inserción. Por ejemplo, si el enlace contiene /home/trial-5967756_oktascimintegration_1/, copie trial-5967756_oktascimintegration_1. Necesitará este valor para la configuración de DocuWare.

Mantenga abierta la configuración de Okta y continúe con la configuración de DocuWare.

Configurar el aprovisionamiento de usuarios en DocuWare

1. Vaya a Configuraciones de DocuWare > General > Aprovisionamiento de usuarios.

2. Active la opción Activar aprovisionamiento de usuarios.

3. En el menú desplegable Proveedor de identidad, seleccione Okta.

4. En el menú desplegable Registro de aplicación, seleccione un registro de aplicación creado anteriormente. Si no existe ninguno, seleccione Crear registro de aplicación.

5. Introduzca un nombre para el registro de aplicación y añada una URL de redireccionamiento con el siguiente formato:

   https://system-admin.okta.com/admin/app/cpc/<OktaAppID>/oauth/callback

   Sustituya <OktaAppID> por el ID copiado en el paso 9 de la configuración de Okta. Por ejemplo:
   https://system-admin.okta.com/admin/app/cpc/trial-5967756_oktascimintegration_1/oauth/callback

6. Seleccione Crear.

7. Del registro de aplicación recién creado, copie los siguientes valores:

   • ID de aplicación (cliente)

   • Secreto de cliente

8. Seleccione Guardar.

9. Copie las siguientes URL de punto de conexión desde la página Aprovisionamiento de usuarios. Las necesitará para la configuración del aprovisionamiento en Okta:

   • SCIM connector base URL

   • Punto de conexión de autorización

   • Access token endpoint URI

Completar la configuración del aprovisionamiento en Okta

1. Vuelva a la aplicación de Okta. En la pestaña Provisioning, vaya a Integration y seleccione Edit. Introduzca los siguientes valores:

   • SCIM connector base URL: pegue la SCIM connector base URL obtenida en DocuWare.

   • Unique identifier field for users: introduzca «userName».

   • Supported provisioning actions: seleccione Import New Users and Profile Updates, Push New Users, Push Profile Updates y Push Groups.

   • Authentication Mode: seleccione OAuth 2.

   • Authorization endpoint URI: pegue el punto de conexión de autorización obtenido en DocuWare.

   • Access token endpoint URI: pegue el Access token endpoint URI obtenido en DocuWare.

   • Client ID: pegue el ID de aplicación (cliente) obtenido en DocuWare.

   • Client Secret: pegue el secreto de cliente obtenido en DocuWare.

2. Seleccione Save. A continuación, vuelva a la pestaña Integration y seleccione el botón de autenticación situado al final de la página para generar un token. Cuando se le solicite, introduzca sus credenciales de administrador de DocuWare. Aparecerá un mensaje de confirmación cuando el token se haya generado correctamente.

3. En la pestaña Provisioning aparece una nueva sección To App. En Provisioning to App, seleccione Edit y active Create Users, Update User Attributes y Deactivate Users. Seleccione Save.

4. Desplácese hasta Attribute Mappings y seleccione Go to Profile Editor.

5. En el Profile Editor, seleccione Mappings.

6. Configure las siguientes asignaciones de perfil de usuario. Establezca el resto de asignaciones como Do not map:

   • appuser.givenName → firstName

   • appuser.familyName → lastName

   • appuser.email → email

   Una vez eliminadas todas las asignaciones innecesarias, seleccione Save Mappings.

7. Cambie a la pestaña Okta User to App y repita el mismo proceso de limpieza de asignaciones.

8. Elimine en el Profile Editor todos los atributos restantes, excepto Username, Given name, Family name y Primary email.

La configuración del aprovisionamiento ha finalizado.

Aprovisionar usuarios

Para aprovisionar usuarios individuales:

1. Abra la aplicación de Okta y vaya a la pestaña Assignments.

2. Seleccione Assign > Assign to People y asigne los usuarios que desea aprovisionar.

3. Compruebe que los usuarios aprovisionados aparecen en Configuraciones de DocuWare > Administración de usuarios.

Aprovisionar grupos y sus miembros

Para aprovisionar un grupo completo, incluidos sus miembros:

1. Abra la aplicación de Okta y vaya a la pestaña Assignments.

2. Seleccione Assign > Assign to Groups y asigne el grupo que desea aprovisionar. Todos los miembros del grupo se incluyen automáticamente.

3. Vaya a la pestaña Push Groups. Seleccione Push Groups > Find groups by name, introduzca el nombre del grupo, mantenga la opción Push group membership immediately activada y elija Create Group.

4. Compruebe el grupo y sus miembros en DocuWare.

Cómo funciona el aprovisionamiento de grupos

Entender el comportamiento de sincronización de los grupos le ayudará a prever lo que ocurre cuando se crean, renombran o actualizan grupos en Okta.

• Coincidencia de grupos: el sistema busca un grupo existente en DocuWare por nombre para mostrar. Si encuentra una coincidencia, el grupo se actualiza. De lo contrario, se crea un grupo nuevo.

• Conservación de miembros: al actualizar un grupo existente, se añaden los miembros nuevos y se conservan los miembros existentes. Los miembros duplicados se evitan automáticamente.

• Asignación basada en ID tras la primera sincronización: a partir de la primera sincronización, los grupos se asignan por su ID interno en lugar de por su nombre para mostrar. Si renombra un grupo en Okta, se asocia con el grupo existente en DocuWare a través del ID y el nombre se actualiza en consecuencia. Los miembros existentes se mantienen.