📖 Índice
Descripción general
System for Cross-domain Identity Management (SCIM) permite que tu proveedor de identidad (IdP) aprovisione, actualice y desaprovisione usuarios automáticamente en Yousign.
Una vez configurado, cualquier cambio en el ciclo de vida de los usuarios realizado en tu IdP, como la incorporación de nuevos empleados, la desactivación de usuarios o los cambios de rol, se refleja automáticamente en Yousign.
Qué gestiona SCIM en Yousign
Aprovisionamiento automático de usuarios cuando se añaden en tu IdP
Desactivación automática de usuarios cuando se eliminan de tu IdP
Sincronización automática de nombres y roles para mantener Yousign alineado con tu IdP
Los propietarios de la organización no pueden crearse, desactivarse ni eliminarse mediante el aprovisionamiento SCIM.
Alcance
Atributos sincronizados compatibles:
Rol
El aprovisionamiento basado en grupos no está disponible actualmente.
Proveedores de identidad compatibles
SCIM es compatible con proveedores de identidad que admiten SCIM 2.0 y pueden configurarse con el SSO de Yousign.
Antes de empezar
Antes de configurar SCIM, asegúrate de tener lo siguiente:
El complemento SCIM y SSO activado en tu cuenta
Acceso de administrador a Yousign
Acceso de administrador a tu proveedor de identidad
Single Sign-On (SSO) ya configurado y activo en tu cuenta de Yousign
SCIM solo puede activarse una vez configurado el SSO.
Paso 1: Generar tus credenciales SCIM en Yousign
Antes de configurar tu proveedor de identidad, recupera el endpoint SCIM y genera un token desde Yousign.
Inicia sesión en Yousign como administrador.
Ve a Configuración → Seguridad de acceso → SCIM.
Haz clic en Activar.
Activar SCIM elimina todas las invitaciones pendientes.
Una vez activado SCIM, la información del usuario (dirección de correo electrónico, nombre y apellidos) y las invitaciones solo podrán gestionarse desde tu proveedor de identidad hasta que SCIM se desactive.
Copia la URL del endpoint SCIM.
Haz clic en Generar token.
Copia el token inmediatamente y guárdalo en un lugar seguro. No volverá a mostrarse.
Puedes eliminar y volver a generar el token en cualquier momento desde esta página.
Al eliminar el token, este se invalida y el aprovisionamiento se interrumpe temporalmente hasta que configures el nuevo token en tu IdP.
Paso 2: Comprender los roles de Yousign
El valor del rol enviado por tu IdP debe coincidir con uno de los siguientes valores (sin distinguir entre mayúsculas y minúsculas).
Nombre del rol | Valor del atributo IdP | Descripción |
Admin | admin | Acceso completo a la configuración del espacio de trabajo, la facturación y la gestión de usuarios |
Miembro | member | Usuario estándar que puede enviar y firmar documentos |
Envía el rol utilizando el siguiente formato de atributo SCIM:
"roles": [ { "value": "admin", "type": "role" } ]No se admiten parámetros adicionales (por ejemplo, primary).
Si no se proporciona ningún rol, el usuario se aprovisionará con el rol Miembro de forma predeterminada.
Paso 3: Configurar tu proveedor de identidad
Recuperar los valores desde Yousign
Recupera los siguientes valores antes de configurar el aprovisionamiento.
Parámetro | Dónde encontrarlo |
URL base de SCIM | Configuración → Seguridad de acceso → SCIM → URL del endpoint |
Token Bearer | Configuración → Seguridad de acceso → SCIM → Token Bearer |
Configurar el endpoint SCIM y la autenticación
Introduce los siguientes valores en tu IdP.
Configuración | Valor |
Versión de SCIM | SCIM 2.0 |
URL base | Tu URL base de SCIM de Yousign (sin barra final) |
Método de autenticación | Encabezado HTTP — Token Bearer |
Token | Tu token Bearer de Yousign |
Acciones de aprovisionamiento compatibles | Push New Users; Push Profile Updates |
Campo de identificador único para usuarios | Asignar a un atributo de correo electrónico inmutable en tu IdP (normalmente |
Configurar las asignaciones de atributos requeridas
Asigna los atributos de tu IdP a los siguientes atributos SCIM.
Atributo SCIM | Valor esperado | Obligatorio |
userName | Dirección de correo electrónico del usuario (identificador único e inmutable) | Sí |
emails[primary eq true].value | Dirección de correo electrónico del usuario (el dominio del correo electrónico debe estar incluido en los dominios SSO autorizados de la organización) | Sí |
name.givenName | Nombre del usuario | Sí |
name.familyName | Apellidos del usuario | Sí |
active | true / false — controla la activación y el desaprovisionamiento | Sí |
roles[type eq "role"].value | Uno de los siguientes valores: admin, member | Recomendado |
⚠️ name.givenName y name.familyName deben respetar las siguientes limitaciones:
Máximo 150 caracteres
Caracteres permitidos: letras, números, espacios, apóstrofes, guiones, paréntesis y caracteres acentuados
No pueden comenzar ni terminar con un espacio
No pueden contener 10 dígitos consecutivos
Si name.givenName o name.familyName no coinciden con el formato aceptado por Yousign, estos valores se ignorarán durante el aprovisionamiento.
La cuenta del usuario seguirá creándose correctamente y el usuario deberá completar su información al iniciar sesión por primera vez.
Operaciones SCIM compatibles
Activa estas operaciones en tu IdP cuando estén disponibles.
Operación | Compatible | Efecto en Yousign |
Crear usuario (POST /Users) | Sí | Aprovisiona una nueva cuenta de usuario |
Actualizar usuario (PATCH /Users/{id}) | Sí | Actualiza la información del usuario y el rol |
Desactivar usuario (PATCH active=false) | Sí | Suspende al usuario |
Eliminar usuario (DELETE /Users/{id}) | Sí | Desactiva la cuenta del usuario (se conservan los datos) |
Obtener usuario (GET /Users/{id}) | Sí | Permite al IdP comprobar la existencia del usuario |
Listar usuarios (GET /Users) | Sí | Utilizado para la reconciliación |
Comportamiento cuando se alcanza el límite de licencias
Yousign aplica límites de licencias según tu suscripción.
Si SCIM intenta aprovisionar un usuario cuando ya se han utilizado todas las licencias:
El usuario no se crea
Los administradores y propietarios reciben una notificación por correo electrónico
El aprovisionamiento puede reanudarse después de comprar licencias adicionales o desaprovisionar usuarios y volver a activar el aprovisionamiento
Verificar la configuración
Después del primer ciclo de aprovisionamiento:
Ve a Configuración → Usuarios en Yousign.
Comprueba que los usuarios aparecen con el rol esperado.
Revisa los registros de aprovisionamiento en tu IdP.
Verifica que los usuarios puedan autenticarse correctamente mediante SSO.