¿Necesito tanto SAML SSO como SCIM?

No. Puedes usar SAML SSO de forma independiente con aprovisionamiento justo a tiempo (los usuarios se crean en el primer inicio de sesión). Se recomienda SCIM para organizaciones que desean una automatización completa del ciclo de vida.

¿Puedo mantener a algunos usuarios con inicio de sesión por contraseña mientras otros usan SSO?

Sí, siempre que la aplicación forzosa de SSO esté desactivada. Con la aplicación forzosa activada, SSO se convierte en el único método de inicio de sesión para los usuarios de tu dominio verificado.

¿Qué ocurre con los usuarios existentes cuando activo SSO?

Los usuarios existentes conservan sus cuentas. La próxima vez que inicien sesión, serán dirigidos a través de SSO. Sus datos, enlaces y análisis se mantienen intactos.

¿Cómo asigna Papermark los grupos SCIM a los roles?

Tú asignas los grupos del proveedor de identidad a los roles de Papermark (administrador, miembro, visor) en la configuración de SCIM. Los cambios en la membresía del grupo actualizan el rol del usuario en la siguiente sincronización.

¿Funciona SAML SSO para los visitantes de la sala de datos?

SAML SSO gestiona el inicio de sesión en Papermark para los miembros de tu equipo. Los visitantes de la sala de datos continúan autenticándose mediante verificación por correo electrónico, contraseña u otros permisos de enlace.

¿Cómo configurar SAML SSO y el aprovisionamiento SCIM en Papermark?

Q: ¿Está disponible SAML SSO en planes inferiores?

No. SAML SSO y SCIM forman parte del plan Enterprise. Contacta con support@papermark.com si necesitas evaluarlos.

Para los equipos empresariales, la contraseña que tus empleados usan para iniciar sesión en Papermark debería ser la misma que usan en todos los demás servicios. Papermark admite el inicio de sesión único (SSO) SAML 2.0 y la sincronización de directorio SCIM, para que puedas conectar tu proveedor de identidad, aplicar SSO para todos los usuarios y aprovisionar o desaprovisionar cuentas automáticamente cuando los empleados se incorporan o se van.

El SSO SAML y SCIM están disponibles en el plan Enterprise. Contacta con support@papermark.com para habilitarlos en tu espacio de trabajo.

Qué obtienes

Función	Qué hace
SAML 2.0 SSO	Los usuarios inician sesión en Papermark con su proveedor de identidad corporativo
Sincronización de directorio SCIM	Los nuevos usuarios se aprovisionan automáticamente y los que se van se desaprovisionan
Aplicación de SSO	Bloquea los inicios de sesión con contraseña y Google para que SSO sea la única vía de acceso
Preajustes de proveedores predefinidos	Configuración en un clic para Okta, Azure AD, Google Workspace, OneLogin y más
Aprovisionamiento justo a tiempo	Los usuarios se crean en el primer inicio de sesión SSO si no se usa SCIM

Proveedores de identidad compatibles

Papermark funciona con cualquier proveedor de identidad compatible con SAML 2.0. Ofrecemos preajustes predefinidos para:

Okta
Microsoft Entra ID (Azure AD)
Google Workspace
OneLogin
JumpCloud
Auth0
Proveedores SAML personalizados

Para el aprovisionamiento SCIM, se admiten los mismos proveedores a través del estándar SCIM 2.0.

Paso a paso: habilitar SSO con SAML

Paso 1: Abrir la configuración de SSO en Papermark

Inicia sesión en Papermark como propietario del espacio de trabajo.
Ve a Configuración, luego a Seguridad y después a SSO.
Haz clic en Configurar SSO con SAML.

Paso 2: Elige tu proveedor de identidad

Elige tu proveedor de la lista de opciones predefinidas. Papermark te muestra los metadatos exactos que necesita (Entity ID, ACS URL, URI de audiencia) para que puedas pegarlos en tu proveedor de identidad.

Paso 3: Configura la aplicación en tu proveedor de identidad

En tu proveedor de identidad:

Crea una nueva aplicación SAML llamada "Papermark".
Pega el Entity ID, la ACS URL y el URI de audiencia de Papermark del paso anterior.
Asigna los siguientes atributos:
- email a la dirección de correo electrónico del usuario
- firstName al nombre del usuario
- lastName al apellido del usuario
Descarga el XML de metadatos del proveedor de identidad o copia el Entity ID del IdP, la URL de inicio de sesión único y el certificado X.509.

Paso 4: Pega los datos del IdP de vuelta en Papermark

Sube el XML de metadatos o pega los campos individuales en Papermark.
Haz clic en Guardar.
Haz clic en Probar conexión SSO para verificar que el proceso completo funciona correctamente.

Una vez que la prueba sea exitosa, el SSO estará activo para tu espacio de trabajo. Los usuarios con direcciones de correo electrónico que coincidan con tu dominio verificado podrán iniciar sesión a través de tu proveedor de identidad.

Paso a paso: habilitar la sincronización de directorio SCIM

Paso 1: Generar el endpoint y el token de SCIM

En Papermark, ve a Configuración, luego Seguridad, luego SCIM.
Haz clic en Habilitar SCIM.
Copia la URL base de SCIM y el token de portador que aparecen en pantalla.

Paso 2: Configura SCIM en tu proveedor de identidad

En la aplicación de Papermark de tu proveedor de identidad, habilita el aprovisionamiento.
Pega la URL base de SCIM como URL del inquilino.
Pega el token de portador como token secreto.
Habilita las siguientes operaciones:
- Crear usuarios
- Actualizar atributos de usuario
- Desactivar usuarios
Asigna tu atributo de grupo o rol al mapeo de roles de Papermark (admin, member, viewer).

Paso 3: Prueba el aprovisionamiento

Asigna un usuario de prueba a la aplicación de Papermark en tu proveedor de identidad.
Confirma que el usuario aparece en la configuración de Equipo de Papermark en pocos minutos.
Elimina el usuario y confirma que se desactiva automáticamente.

Una vez que el aprovisionamiento funcione para el usuario de prueba, puedes asignar la aplicación de Papermark a todos los usuarios y grupos relevantes en tu proveedor de identidad.

Forzar SSO para todos los usuarios

Después de verificar el SSO con SAML, puedes forzar el SSO para que los inicios de sesión con contraseña y Google queden bloqueados para tu dominio:

En Configuración, Seguridad, SSO, activa Forzar SSO.
Confirma el cambio. Cualquier sesión activa fuera del SSO quedará invalidada.

Los propietarios del espacio de trabajo aún pueden iniciar sesión mediante un flujo de recuperación si el SSO está mal configurado, por lo que nunca perderás el acceso a tu espacio de trabajo.

Casos de uso

Cumplimiento de TI: fuerza la autenticación mediante el proveedor de identidad para cada empleado que acceda a Papermark.
Baja de empleados: desactiva a los empleados que se van en tu proveedor de identidad y SCIM los eliminará de Papermark automáticamente.
Incorporación de nuevos empleados: asigna la aplicación de Papermark al grupo del nuevo empleado y se le aprovisionará con el rol adecuado desde el primer día.
Preparación para auditorías: cada inicio de sesión pasa por tu proveedor de identidad, por lo que todos los registros de acceso se centralizan en un único lugar.

Preguntas frecuentes

Guías relacionadas

¿Necesitas ayuda? Contacta con support@papermark.com o usa el chat de la aplicación.