Descripción general
SCIM (System for Cross-domain Identity Management) permite a tu proveedor de identidad (IdP) provisionar, actualizar y desprovisionar automáticamente usuarios en Yousign. Una vez configurado, cualquier cambio en el ciclo de vida de un usuario en tu IdP — nuevas incorporaciones, bajas, cambios de función — se refleja en Yousign sin intervención manual.
Qué gestiona SCIM en Yousign
Provisionamiento automático de los usuarios añadidos en tu IdP
Desactivación automática de los usuarios eliminados de tu IdP
Sincronización de nombres y funciones — mantén las funciones de Yousign sincronizadas con tu IdP
No es posible crear/desactivar/eliminar al Propietario de la organización de Yousign.
Alcance
Función Atributo compatible
El provisionamiento basado en grupos no está disponible todavía en esta versión.
Proveedores de identidad compatibles
Todos los IdP para los que la configuración SSO está disponible y que son compatibles con SCIM.
Antes de empezar
Antes de configurar SCIM, asegúrate de tener lo siguiente:
El complemento SCIM y SSO activado en tu cuenta
Acceso de administrador a Yousign
Acceso de administrador a tu IdP
El Single Sign-On (SSO) ya configurado y activo en tu cuenta de Yousign — SCIM requiere que SSO esté habilitado primero. Consulta la guía de configuración de SSO si lo necesitas.
Paso 1 — Genera tus credenciales SCIM en Yousign
Antes de configurar tu IdP, debes recuperar el endpoint SCIM y generar un token de API desde tu espacio de trabajo de Yousign.
Inicia sesión en Yousign como administrador.
Ve a Configuración → Seguridad de acceso → SCIM.
Haz clic en Activar.
Ten en cuenta que se eliminarán todas las invitaciones pendientes. Además, solo podrás gestionar las invitaciones y la información de los usuarios (correo electrónico, nombre, nombre de pila) con tu IdP hasta la desactivación de SCIM.
Copia la URL del endpoint SCIM — la necesitarás para la configuración de tu IdP.
Haz clic en Generar token para crear un Bearer token.
Copia el token de inmediato — no volverá a mostrarse. Guárdalo de forma segura.
Puedes eliminar el token y volver a generarlo en cualquier momento desde esta página. Eliminar el token lo invalidará e interrumpirá temporalmente el provisionamiento hasta que actualices el token en tu IdP.
Paso 2 — Comprender las funciones de Yousign
Yousign utiliza las siguientes funciones. La función que asignes en tu IdP debe coincidir exactamente con uno de estos valores (sin distinción entre mayúsculas y minúsculas):
Nombre de la función | Valor del atributo IdP | Descripción |
Admin | admin | Acceso completo a los ajustes del espacio de trabajo, la facturación y la gestión de usuarios. |
Miembro | member | Usuario estándar que puede enviar y firmar documentos. |
Sintaxis de API esperada. Nota: los parámetros adicionales no son compatibles (por ejemplo, primary no es compatible).
Si no se proporciona ninguna función, el usuario se provisionará como Miembro de forma predeterminada.
Paso 3 — Configura tu IdP
Lo que necesitas de Yousign
Parámetro | Valor / Dónde encontrarlo |
URL base de SCIM | Configuración → Seguridad de acceso → SCIM → URL del endpoint |
Bearer Token | Configuración → Seguridad de acceso → SCIM → Token bearer |
Endpoint SCIM y autenticación
Ajuste | Valor |
Versión SCIM | SCIM 2.0 |
URL base | La URL base SCIM de Yousign (sin barra oblicua final) |
Método de autenticación | Encabezado HTTP — Bearer token |
Token | Tu Bearer token de Yousign |
Acciones de provisionamiento compatibles | Push New Users; Push Profile Updates |
Campo de identificador único para usuarios | Debe corresponderse con un correo electrónico inmutable en los atributos de tu IdP, generalmente |
Asignaciones de atributos requeridas
Atributo SCIM | Valor esperado | Requerido |
userName | Dirección de correo electrónico del usuario (identificador único inmutable) | Sí |
emails[primary eq true].value | Dirección de correo electrónico del usuario | Sí |
name.givenName | Nombre de pila del usuario | Sí |
name.familyName | Apellido del usuario | Sí |
active | true / false — controla la activación y el desaprovisionamiento | Sí |
roles[type eq "role"].value | Uno de los siguientes: admin, member | Recomendado |
name.givenName y name.familyName deben respetar las siguientes limitaciones: máximo 150 caracteres. Los caracteres permitidos son: letras, números, espacios, apóstrofes, guiones, paréntesis y letras acentuadas. No puede comenzar ni terminar con un espacio, y no puede contener 10 dígitos consecutivos.
Si name.givenName o name.familyName no coincide con el formato aceptado por Yousign, esos campos se ignorarán durante el provisionamiento. La cuenta de usuario se creará correctamente de todas formas, pero los campos de nombre quedarán vacíos y se pedirá al usuario que los complete en el primer inicio de sesión
Operaciones SCIM compatibles
Operación | Compatible | Efecto en Yousign |
Crear usuario (POST /Users) | Sí | Provisiona una nueva cuenta de usuario |
Actualizar usuario (PATCH /Users/{id}) | Sí | Actualiza el nombre, el correo electrónico o la función |
Desactivar usuario (PATCH active=false) | Sí | Suspende al usuario |
Eliminar usuario (DELETE /Users/{id}) | Sí | Elimina al usuario (datos conservados) |
Obtener usuario (GET /Users/{id}) | Sí | Utilizado por el IdP para comprobar la existencia |
Listar usuarios (GET /Users) | Sí | Utilizado por el IdP para la reconciliación |
Comportamiento al alcanzar el límite de puestos
Yousign aplica un límite de licencias en función de tu plan de suscripción. Cuando SCIM intenta provisionar a un nuevo usuario y el límite ya se ha alcanzado:
El usuario no se crea — el provisionamiento de ese usuario queda bloqueado.
Se envía automáticamente una notificación por correo electrónico a los administradores y propietarios para informarles de que se ha alcanzado el límite de licencias y que el provisionamiento no ha podido completarse.
El provisionamiento se reanuda normalmente una vez que se adquieren licencias adicionales o se desprovisionen usuarios existentes.
Verificar la configuración
Tras ejecutar tu primer ciclo de provisionamiento:
Ve a Configuración → Usuarios.
Confirma que los usuarios provisionados aparecen con la función correcta.
Comprueba los registros de provisionamiento de tu IdP para detectar errores o usuarios omitidos.