> ## Documentation Index
> Fetch the complete documentation index at: https://mintlify-mintlify-b25c6564.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Inicio de sesión único (SSO)

> Configura el inicio de sesión único con proveedores de identidad SAML u OIDC como Okta, Azure AD y Google Workspace para una autenticación segura del equipo.

<Info>
  SSO está disponible en los [planes Enterprise](https://mintlify.com/pricing?ref=sso).
</Info>

Los administradores de planes Enterprise pueden configurar SAML SSO para Okta o Microsoft Entra directamente desde el dashboard de Mintlify. Para otros proveedores como Google Workspace u Okta OIDC, [contáctanos](mailto:support@mintlify.com) para configurar SSO.

<div id="configure-sso">
  ## Configurar SSO
</div>

<div id="okta">
  ### Okta
</div>

<Steps>
  <Step title="Configurar Okta SSO en tu dashboard de Mintlify">
    1. En tu dashboard de Mintlify, ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso).
    2. Haz clic en **Configure**.
    3. Selecciona **Okta SAML**.
    4. Copia la **Single sign on URL** y la **Audience URI**.
  </Step>

  <Step title="Crear una aplicación SAML en Okta">
    1. En Okta, en **Applications**, crea una nueva integración de aplicación usando SAML 2.0.

    2. Ingresa lo siguiente desde Mintlify:
       * **Single sign on URL**: la URL que copiaste desde tu dashboard de Mintlify
       * **Audience URI**: la URI que copiaste desde tu dashboard de Mintlify
       * **Name ID Format**: `EmailAddress`

    3. Añade estas declaraciones de atributos:

       | Name        | Name format | Value            |
       | ----------- | ----------- | ---------------- |
       | `firstName` | Basic       | `user.firstName` |
       | `lastName`  | Basic       | `user.lastName`  |
  </Step>

  <Step title="Copiar la URL de metadatos de Okta">
    En Okta, ve a la pestaña **Sign On** de tu aplicación y copia la URL de metadatos.
  </Step>

  <Step title="Guardar en Mintlify">
    De vuelta en el dashboard de Mintlify, pega la URL de metadatos y haz clic en **Save changes**.
  </Step>
</Steps>

<div id="microsoft-entra">
  ### Microsoft Entra
</div>

<Steps>
  <Step title="Configurar Microsoft Entra SSO en tu dashboard de Mintlify">
    1. En tu dashboard de Mintlify, ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso).
    2. Haz clic en **Configure**.
    3. Selecciona **Microsoft Entra ID SAML**.
    4. Copia la **Single sign on URL** y la **Audience URI**.
  </Step>

  <Step title="Crear una aplicación empresarial en Microsoft Entra">
    1. En Microsoft Entra, ve a **Enterprise applications**.
    2. Haz clic en **New application**.
    3. Haz clic en **Create your own application**.
    4. Selecciona "Integrate any other application you don't find in the gallery (Non-gallery)."
  </Step>

  <Step title="Configurar SAML en Microsoft Entra">
    1. En Microsoft Entra, ve a **Single Sign-On**.
    2. Haz clic en **SAML**.
    3. En **Basic SAML Configuration**, introduce lo siguiente:
       * **Identifier (Entity ID)**: la Audience URI de Mintlify
       * **Reply URL (Assertion Consumer Service URL)**: la Single sign on URL de Mintlify

    Deja los demás valores en blanco y haz clic en **Save**.
  </Step>

  <Step title="Configurar Attributes & Claims en Microsoft Entra">
    1. En Microsoft Entra, ve a **Attributes & Claims**.
    2. Selecciona **Unique User Identifier (Name ID)** en "Required Claim."
    3. Cambia el atributo Source a `user.primaryauthoritativeemail`.
    4. En **Additional claims**, crea lo siguiente:
       | Name        | Value            |
       | ----------- | ---------------- |
       | `firstName` | `user.givenname` |
       | `lastName`  | `user.surname`   |
  </Step>

  <Step title="Copiar la URL de metadatos de Microsoft Entra">
    En **SAML Certificates**, copia la **App Federation Metadata URL**.
  </Step>

  <Step title="Guardar en Mintlify">
    De vuelta en el dashboard de Mintlify, pega la URL de metadatos y haz clic en **Save changes**.
  </Step>

  <Step title="Asignar usuarios">
    En Microsoft Entra, ve a **Users and groups**. Asigna los usuarios que deben tener acceso a tu dashboard de Mintlify.
  </Step>
</Steps>

<div id="jit-provisioning">
  ## Aprovisionamiento JIT
</div>

Cuando habilitas el aprovisionamiento JIT (just-in-time), los usuarios que inician sesión a través de tu proveedor de identidad se agregan automáticamente a tu organización de Mintlify.

<Note>
  El aprovisionamiento JIT solo funciona para inicios de sesión iniciados por el IdP. Los usuarios deben iniciar sesión desde tu proveedor de identidad (dashboard de Okta o portal de Microsoft Entra) en lugar de hacerlo desde la página de inicio de sesión de Mintlify.
</Note>

Para habilitar el aprovisionamiento JIT, debes tener SSO habilitado. Ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso) en tu dashboard, configura el SSO y luego habilita el aprovisionamiento JIT.

<div id="verified-domains">
  ## Dominios verificados
</div>

Verifica la propiedad de tus dominios de correo electrónico para que Mintlify pueda limitar el SSO y el aprovisionamiento de miembros a personas con direcciones de correo coincidentes. Cuando alguien inicia sesión con una dirección de correo en un dominio verificado, Mintlify lo enruta automáticamente a tu proveedor de identidad. El enrutamiento automático funciona tengas o no activada la exigencia de SSO, siempre que tu organización tenga una conexión SSO activa.

Puedes añadir hasta cinco dominios verificados por organización.

1. Ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso) en tu dashboard.
2. En la pestaña **SSO**, en la sección **Verified domains**, introduce el dominio (por ejemplo, `example.com`) y haz clic en **Add**.
3. Mintlify genera un token de verificación. En tu proveedor de DNS, crea un registro TXT con el nombre `_mintlify-verification.example.com` y el token como valor. Algunos proveedores de DNS agregan el dominio automáticamente. Si el tuyo lo hace, introduce solo `_mintlify-verification` como nombre del registro.
4. Vuelve al dashboard y haz clic en **Verify**. El estado cambia de **Pending** a **Verified** una vez que el registro se propaga.

Para eliminar un dominio, haz clic en el botón de eliminar <Icon icon="trash" /> junto a él.

<div id="require-sso">
  ## Requerir SSO
</div>

Los administradores de la organización pueden requerir que todos los miembros de la organización inicien sesión a través de tu proveedor de identidad. Cuando Require SSO (Requerir SSO) está activado, Mintlify rechaza los inicios de sesión con contraseña, enlace mágico y Google OAuth.

1. Ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso) en tu dashboard.
2. Confirma que el SSO funciona de extremo a extremo. En una ventana de navegación privada, inicia sesión en tu dashboard de Mintlify desde el catálogo de aplicaciones de tu proveedor de identidad (iniciado por el IdP) y desde la [página de inicio de sesión de Mintlify](https://app.mintlify.com/login) con un correo electrónico de un dominio verificado (iniciado por el SP). Ambos flujos deben redirigirte a través de tu proveedor de identidad y llevarte al dashboard.
3. En la pestaña **SSO**, en la sección **Sign-in policy**, activa **Require SSO**.

<Warning>
  Solo puedes requerir SSO después de configurar una conexión SSO. Requerir SSO no comprueba si los miembros pueden seguir iniciando sesión, así que añade acceso de emergencia (break-glass) para al menos un administrador antes de activarlo.
</Warning>

Para dejar de requerir SSO, desactiva la opción. Los demás métodos de inicio de sesión vuelven a estar disponibles de inmediato.

<div id="break-glass-access">
  ## Acceso de emergencia (break-glass)
</div>

Designa a los miembros que pueden omitir el SSO e iniciar sesión con contraseña o enlace mágico. Usa el acceso de emergencia (break-glass) para recuperar el acceso si tu proveedor de identidad sufre una interrupción o una configuración incorrecta deja a los miembros sin acceso.

1. Ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso) en tu dashboard.
2. En la pestaña **SSO**, en la sección **Break-glass access**, introduce la dirección de correo electrónico de un miembro que deba conservar el acceso sin SSO y haz clic en **Add**.

Cada correo de emergencia (break-glass) debe pertenecer a un miembro existente de tu organización. El acceso de emergencia (break-glass) solo surte efecto mientras Require SSO esté activado.

<Tip>
  Añade acceso de emergencia (break-glass) para cuentas de administrador que no estén vinculadas a tu proveedor de identidad principal. Guarda las credenciales en un gestor de contraseñas seguro y revisa la lista cada vez que cambie la composición del equipo.
</Tip>

<div id="map-rbac-roles-with-saml-groups">
  ## Mapear roles RBAC con grupos SAML
</div>

Asigna [roles](/es/dashboard/roles) a los usuarios en función de su pertenencia a grupos en el proveedor de identidad. Cuando un usuario inicia sesión a través de SSO, Mintlify lee el atributo `groups` de la aserción SAML y asigna esos grupos a roles del dashboard.

<div id="configure-group-attribute-statements">
  ### Configurar declaraciones de atributos de grupo
</div>

Añade una declaración de atributo `groups` a la configuración de tu proveedor de identidad SAML. El atributo debe usar el formato de nombre `unspecified`.

La aserción SAML resultante debe incluir un `AttributeStatement`.

```xml Example SAML assertion theme={null}
<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml2:Attribute Name="groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Everyone</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Engineering</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Admins</saml2:AttributeValue>
    </saml2:Attribute>
</saml2:AttributeStatement>
```

**Requisitos clave:**

* El nombre del atributo debe ser `groups` (distingue entre mayúsculas y minúsculas)
* El formato de nombre debe ser `urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified`
* Cada grupo al que pertenece el usuario debe ser un elemento `AttributeValue` separado

<Tabs>
  <Tab title="Okta">
    En la configuración de tu aplicación SAML de Okta, añade una declaración de atributo de grupo:

    | Name     | Name format | Filter        | Value |
    | -------- | ----------- | ------------- | ----- |
    | `groups` | Unspecified | Matches regex | `.*`  |

    Ajusta el filtro para que coincida con los grupos específicos que deseas enviar a Mintlify.
  </Tab>

  <Tab title="Microsoft Entra">
    En tu aplicación empresarial de Microsoft Entra:

    1. Ve a **Single Sign-On** > **Attributes & Claims**.
    2. Haz clic en **Add a group claim**.
    3. Selecciona qué grupos incluir (todos los grupos o grupos específicos).
    4. En **Advanced options**, marca **Customize the name of the group claim** y establece el nombre como `groups`.
  </Tab>
</Tabs>

Una vez configurado, Mintlify asigna los nombres de los grupos de la aserción SAML a los roles de tu organización. Para configurar o modificar las asignaciones de grupo a rol, contacta a tu representante de cuenta de Mintlify.

<div id="change-or-remove-sso-provider">
  ## Cambiar o eliminar el proveedor de SSO
</div>

1. Ve a la página [Identity & access](https://app.mintlify.com/settings/organization/sso) en tu dashboard.
2. Haz clic en **Configure**.
3. Selecciona tu proveedor de SSO preferido o ningún SSO.

Si eliminas el SSO, los usuarios deberán autenticarse con una contraseña, un enlace mágico o Google OAuth en su lugar.

<div id="other-providers">
  ## Otros proveedores
</div>

Para proveedores distintos de Microsoft Entra u Okta SAML, [contáctanos](mailto:support@mintlify.com) para configurar SSO.

<div id="google-workspace-with-saml">
  ### Google Workspace con SAML
</div>

<Steps>
  <Step title="Crear una aplicación">
    1. En Google Workspace, ve a **Web and mobile apps**.
    2. Haz clic en **Add custom SAML app** en el menú desplegable **Add app**.

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-b25c6564/-fFPDFTbGXzb-E__/images/gsuite-add-custom-saml-app.png?fit=max&auto=format&n=-fFPDFTbGXzb-E__&q=85&s=06f1cf0d6a2d061df68ec2c1041e1a7e" alt="Captura de pantalla de la página de creación de la aplicación SAML de Google Workspace con el elemento del menú &#x22;Add custom SAML app&#x22; resaltado" width="3804" height="1860" data-path="images/gsuite-add-custom-saml-app.png" />
    </Frame>
  </Step>

  <Step title="Envíanos la información de tu IdP">
    Copia la SSO URL, el Entity ID y el certificado x509 proporcionados y envíalos al equipo de Mintlify.

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-b25c6564/-fFPDFTbGXzb-E__/images/gsuite-saml-metadata.png?fit=max&auto=format&n=-fFPDFTbGXzb-E__&q=85&s=6367e475455f5007f9d8b62dea873b44" alt="Captura de pantalla de la página de la aplicación SAML de Google Workspace con la SSO URL, el Entity ID y el certificado x509 resaltados. Los valores específicos de cada uno aparecen difuminados." width="3800" height="1850" data-path="images/gsuite-saml-metadata.png" />
    </Frame>
  </Step>

  <Step title="Configurar la integración">
    En la página Service provider details, introduce lo siguiente:

    * ACS URL (proporcionado por Mintlify)
    * Entity ID (proporcionado por Mintlify)
    * Name ID format: `EMAIL`
    * Name ID: `Basic Information > Primary email`

    <Frame>
      <img src="https://mintcdn.com/mintlify-mintlify-b25c6564/-fFPDFTbGXzb-E__/images/gsuite-sp-details.png?fit=max&auto=format&n=-fFPDFTbGXzb-E__&q=85&s=9f4e32edafd9a73146532b0a0f9957ba" alt="Captura de pantalla de la página Service provider details con los campos de entrada ACS URL y Entity ID resaltados." width="3788" height="1864" data-path="images/gsuite-sp-details.png" />
    </Frame>

    En la página siguiente, introduce las siguientes declaraciones de atributos:

    | Google Directory Attribute | App Attribute |
    | -------------------------- | ------------- |
    | `First name`               | `firstName`   |
    | `Last name`                | `lastName`    |

    Cuando completes este paso y los usuarios estén asignados a la aplicación, avísanos y habilitaremos el SSO para tu cuenta.
  </Step>
</Steps>

<div id="okta-oidc">
  ### Okta (OIDC)
</div>

<Steps>
  <Step title="Crear una aplicación">
    En Okta, en **Applications**, crea una nueva integración de aplicación usando OIDC. Selecciona el tipo **Web Application**.
  </Step>

  <Step title="Configurar la integración">
    Selecciona el tipo de concesión Authorization Code e introduce el Redirect URI proporcionado por Mintlify.
  </Step>

  <Step title="Envíanos la información de tu IdP">
    Ve a la pestaña **General** y localiza el client ID y el client secret. Envíanoslos de forma segura junto con la URL de tu instancia de Okta (por ejemplo, `<your-tenant-name>.okta.com`). Puedes enviarlos mediante un servicio como 1Password o SendSafely.
  </Step>
</Steps>
