# Implementación de Okta SAML

Este artículo contiene ayuda **específica de Okta** para configurar el inicio de sesión con SSO a través de SAML 2.0. Para obtener ayuda para configurar el inicio de sesión con SSO para otro IdP, consulte [Configuración de SAML 2.0](https://bitwarden.com/es-la/help/configure-sso-saml/).

La configuración implica trabajar simultáneamente dentro de la aplicación web de Bitwarden y el Portal de Administrador de Okta. A medida que avanza, recomendamos tener ambos fácilmente disponibles y completar los pasos en el orden en que están documentados.

> [!TIP] Okta settings screenshot
> **¿Ya eres un experto en SSO?** Omite las instrucciones en este artículo y descarga capturas de pantalla de configuraciones de muestra para comparar con las tuyas.
> 
> ⬇️ tipo: activo-hipervínculo id: 3tQfArvZQ1vigzlnjdBxr1

## Abre SSO en la aplicación web

Inicia sesión en la aplicación web de Bitwarden y abre la Consola de Administrador utilizando el conmutador de producto ([filter]):

![Selector de producto](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png)

Abra la pantalla de **Ajustes** → **Inicio de sesión único** de su organización:

![Configuración de SAML 2.0 ](https://bitwarden.com/assets/20720mRAluo6crSdTiYJrn/1175889d7f6ab42fe7614f34cdd1dcdd/2024-12-04_09-41-15.png)

Si aún no lo has hecho, crea un **identificador SSO**único para tu organización y selecciona **SAML**del menú desplegable de **Tipo**. Mantén esta pantalla abierta para fácil referencia.

Puedes desactivar la opción **Establecer una ID de entidad SP única** en esta etapa si lo deseas. Hacerlo eliminará su ID de organización de su valor de ID de entidad SP, sin embargo, en casi todos los casos, se recomienda dejar esta opción activada.

> [!TIP] Self-hosting, use alternative Member Decryption Options.
> Hay opciones alternativas de **descifrado de miembro**. Aprenda cómo comenzar a usar [SSO con dispositivos de confianza](https://bitwarden.com/es-la/help/about-trusted-devices/) o [Conector de clave](https://bitwarden.com/es-la/help/about-key-connector/).

## Crea una aplicación Okta

En el Portal de Administrador de Okta, selecciona **Aplicaciones** → **Aplicaciones** desde la navegación. En la pantalla de Aplicaciones, seleccione el botón **Crear Integración de Aplicación**:

![Okta crea integración de aplicación](https://bitwarden.com/assets/6cYqg9EBmbzQQuf53Yzsc5/0b61a779d1c366a785f01618e04cc09d/Screen_Shot_2022-10-20_at_4.13.03_PM.png)

En el cuadro de diálogo Crear una nueva integración de aplicación, seleccione el botón de opción **SAML 2.0**:

![Botón de radio SAML 2.0](https://bitwarden.com/assets/3Cdqx3qvpCDnc9xBuHOkLx/ae7861920eb5b09268d29bcfc0c68e1a/Screen_Shot_2022-10-24_at_10.13.31_AM.png)

Seleccione el botón **Siguiente** para proceder a la configuración.

### Ajustes generales

En la pantalla de **Ajustes Generales**, dale a la aplicación un nombre único, específico de Bitwarden y selecciona **Siguiente**.

### Configurar SAML

En la pantalla de **Configurar SAML**, configure los siguientes campos:

| **Campo** | **Descripción** |
|------|------|
| URL de inicio de sesión único | Establezca este campo en la **URL del Servicio de Consumo de Aserciones (ACS)** pre-generada. Este valor generado automáticamente se puede copiar desde la pantalla de **Ajustes** → **Inicio de sesión único** de la organización y variará según su configuración. |
| URI de la audiencia (ID de entidad SP) | Establezca este campo en el **ID de Entidad SP** pre-generado. Este valor generado automáticamente se puede copiar desde la pantalla de **Ajustes** → **Inicio de sesión único** de la organización y variará según su configuración. |
| Formato de ID de nombre | Seleccione el formato [SAML NameID](https://docs.oracle.com/cd/E19316-01/820-3886/ggwbz/index.html) para usar en las afirmaciones SAML. Por defecto, **No especificado**. |
| Nombre de usuario de la aplicación | Seleccione el atributo de Okta que los usuarios utilizarán para el inicio de sesión en Bitwarden. |

### Ajustes avanzados

Seleccione el enlace **Mostrar Ajustes Avanzados** y configure los siguientes campos:

![Ajustes Avanzados ](https://bitwarden.com/assets/4VOeKsTeXHPsipA0SoDgHb/d19693e16cb98ab475cb1873bf5641d7/okta-advsettings.png)

| **Campo** | **Descripción** |
|------|------|
| Respuesta | Si la respuesta SAML está firmada por Okta. |
| Firma de Afirmación | Si la afirmación SAML está firmada por Okta. |
| Algoritmo de Firma | El algoritmo de firma utilizado para firmar la respuesta y/o afirmación, dependiendo de cuál esté configurado como **Firmado**. Por defecto, `rsa-sha256`. |
| Algoritmo de Digestión | El algoritmo de resumen utilizado para firmar la respuesta y/o afirmación, dependiendo de cuál esté configurado para **Firmado**. Este campo debe coincidir con el **Algoritmo de Firma** seleccionado. |

### Declaraciones de atributos

En la sección de **Declaraciones de Atributos**, construye las siguientes asignaciones de atributos SP → IdP:

![Declaraciones de Atributos ](https://bitwarden.com/assets/VJZ2ZJtqdCdnzxG4xf4G8/b9fce227ebf1ba72e3598875e1f6f7aa/okta-attr.png)

Una vez configurado, seleccione el botón **Siguiente** para proceder a la pantalla de **Comentarios** y seleccione **Finalizar**.

### Obtener valores de IdP

Una vez que se ha creado su aplicación, seleccione la pestaña **Iniciar Sesión** para la aplicación y seleccione el botón **Ver Instrucciones de Configuración** ubicado en el lado derecho de la pantalla:

![Ver instrucciones de configuración de SAML ](https://bitwarden.com/assets/apJpQyn4GTUJGzRNBUf02/e5fbd8ca4f7875bc9ec2a87cbc433db6/Screen_Shot_2022-10-25_at_9.39.47_AM__2_.png)

Deja esta página abierta [para uso futuro](https://bitwarden.com/es-la/help/saml-okta/#saml-identity-provider-configuration/), o copia la **URL de inicio de sesión único del proveedor de identidad** y el **emisor del proveedor de identidad** y descarga el **Certificado X.509**:

![Valores de IdP ](https://bitwarden.com/assets/4SRYsrAZjCPhksikeAOnBp/f975c57912f6c1a8c5d5d6002d23bd38/okta-values.png)

### Tareas

Navega a la pestaña **Tareas** y selecciona el botón **Asignar**:

![Asignando Grupos ](https://bitwarden.com/assets/4KcjFuFnHFMnQda4NbKTGh/731a0c635efde1f3333ed6afd58d994e/okta-assign.png)

Puede asignar acceso a la aplicación de manera individual utilizando la opción **Asignar a Personas**, o en masa utilizando la opción **Asignar a Grupos**.

## De vuelta a la aplicación web

En este punto, has configurado todo lo que necesitas dentro del contexto del Portal de Administrador de Okta. Regresa a la aplicación web de Bitwarden para completar la configuración.

La pantalla de inicio de sesión único separa la configuración en dos secciones:

- **La configuración del proveedor de servicios SAML** determinará el formato de las solicitudes SAML.
- **La configuración del proveedor de identidad SAML** determinará el formato que se esperará de las respuestas SAML.

### Configuración del proveedor de servicios

Configure los siguientes campos de acuerdo a las opciones seleccionadas en el Portal de Administrador de Okta [durante la creación de la aplicación](https://bitwarden.com/es-la/help/saml-okta/#create-an-okta-application/):

| **Campo** | **Descripción** |
|------|------|
| Formato de Identificación de Nombre | Establezca esto en cualquier formato de ID de nombre [especificado en Okta](https://bitwarden.com/es-la/help/saml-okta/#configure-saml/), de lo contrario, deje **Sin especificar**. |
| Algoritmo de Firma de Salida | El algoritmo que Bitwarden utilizará para firmar solicitudes SAML. |
| Comportamiento de Firma | Si/cuando las solicitudes SAML serán firmadas. |
| Algoritmo de Firma de Entrada Mínima | Establezca esto en el Algoritmo de Firma [especificado en Okta](https://bitwarden.com/es-la/help/saml-okta/#advanced-settings/). |
| Quiero Afirmaciones Firmadas | Marca esta casilla si estableces el campo de Firma de Afirmación a **Firmado**[en Okta](https://bitwarden.com/es-la/help/saml-okta/#advanced-settings/). |
| Validar Certificados | Marque esta casilla cuando utilice certificados confiables y válidos de su IdP a través de una CA de confianza. Los certificados autofirmados pueden fallar a menos que se configuren cadenas de confianza adecuadas dentro de la imagen de docker de inicio de sesión de Bitwarden con SSO. |

Cuando hayas terminado con la configuración del proveedor de servicios, **Guarda** tu trabajo.

### Configuración del proveedor de Identidad

La configuración del proveedor de Identidad a menudo requerirá que vuelvas al Portal de Administrador de Okta para recuperar los valores de la aplicación:

| **Campo** | **Descripción** |
|------|------|
| ID de la entidad | Ingrese su **Proveedor de Identidad Emisor**, recuperado de la pantalla de [Ajustes de Inicio de Sesión](https://bitwarden.com/es-la/help/saml-okta/#get-idp-values/) de Okta seleccionando el botón de **Ver Instrucciones de Configuración**. Este campo distingue entre mayúsculas y minúsculas. |
| Tipo de Encuadernación | Establecer para **Redirigir**. Actualmente, Okta no admite HTTP POST. |
| URL del Servicio de Inicio de Sesión Único | Ingrese su **URL de inicio de sesión único del proveedor de Identidad**, obtenida de la pantalla de [ajustes de inicio de sesión](https://bitwarden.com/es-la/help/saml-okta/#get-idp-values/) de Okta. |
| URL del Servicio de Cierre de Sesión Único | El inicio de sesión con SSO actualmente **no**admite SLO. Esta opción está planeada para un desarrollo futuro, sin embargo, puedes preconfigurarla si lo deseas. |
| Certificado Público X509 | Pega el [certificado descargado](https://bitwarden.com/es-la/help/saml-okta/#get-idp-values/), eliminando `-----INICIO CERTIFICADO-----` y  `-----FIN DEL CERTIFICADO-----` El valor del certificado es sensible a mayúsculas y minúsculas, espacios extra, retornos de carro y otros caracteres extraneous **harán que la validación del certificado falle**. |
| Algoritmo de Firma de Salida | Seleccione el Algoritmo de Firma seleccionado [durante la configuración de la aplicación Okta](https://bitwarden.com/es-la/help/saml-okta/#advanced-settings/). Si no cambió el Algoritmo de Firma, deje el predeterminado (`rsa-sha256`). |
| Permitir peticiones de cierre de sesión | El inicio de sesión con SSO actualmente **no**admite SLO. |
| Quiere Solicitudes de Autenticación Firmadas | Si Okta espera que las solicitudes SAML estén firmadas. |

> [!NOTE] X509 cert expiration
> Al completar el certificado X509, toma nota de la fecha de vencimiento. Los certificados tendrán que ser renovados para prevenir cualquier interrupción en el servicio a los usuarios finales de SSO. Si un certificado ha caducado, las cuentas de Administrador y Propietario siempre podrán iniciar sesión con la dirección de correo electrónico y la contraseña maestra.

Cuando hayas terminado con la configuración del proveedor de identidad, **Guarda** tu trabajo.

> [!TIP] Policies for SSO Guides
> Puede requerir que los usuarios inicien sesión con SSO activando la política de autenticación de inicio de sesión único. Por favor, tome nota, esto también requerirá la activación de la política de organización única. [Más información](https://bitwarden.com/es-la/help/policies/).

## Prueba la configuración

Una vez que tu configuración esté completa, pruébala navegando a [https://vault.bitwarden.com](https://vault.bitwarden.com), ingresando tu dirección de correo electrónico, seleccionando **Continuar**, y seleccionando el botón de **Empresa de Inicio de Sesión Único**:

![Inicio de sesión único empresarial y contraseña maestra ](https://bitwarden.com/assets/3BdlHeogd42LEoG06qROyQ/c68021df4bf45d72e9d37b1fbf5a6040/login.png)

Ingrese el [identificador de organización configurado](https://bitwarden.com/es-la/help/configure-sso-saml/#step-1-enabling-login-with-sso/) y seleccione **Iniciar sesión**. Si su implementación está configurada correctamente, será redirigido a la pantalla de inicio de sesión de Okta:

![Iniciar sesión con Okta ](https://bitwarden.com/assets/3Rh2Bg17sCE57xJsUKfqwN/8f6e1d8555c9e1b60d2e145d0f0bb565/Log_in_with_Okta.png)

¡Después de autenticarte con tus credenciales de Okta, ingresa tu contraseña maestra de Bitwarden para descifrar tu caja fuerte!

> [!NOTE] Okta bookmark app
> Bitwarden no admite respuestas no solicitadas, por lo que iniciar el inicio de sesión desde su IdP resultará en un error. El flujo de inicio de sesión SSO debe iniciarse desde Bitwarden. Los administradores de Okta pueden crear una [Aplicación de Marcador de Okta](https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=en_US) que enlazará directamente a la página de inicio de sesión de la caja fuerte web de Bitwarden.
> 
> 1. Como administrador, navegue hasta el menú desplegable **Aplicaciones** ubicado en la barra de navegación principal y seleccione **Aplicaciones**.
> 2. Haz clic en **Explorar Catálogo de Aplicaciones**.
> 3. Busca **Aplicación de Marcadores**y haz clic en **Agregar Integración**.
> 4. Agrega los siguientes ajustes a la aplicación:
> 
> 1. Dale a la aplicación un nombre como **Inicio de sesión de Bitwarden**.
> 2. En el campo **URL**, proporciona la URL a tu cliente Bitwarden como `https://vault.bitwarden.com/#/inicio de sesión` o `tu-propiaURLalojada.com`.
> 5. Seleccione **Hecho** y regrese al tablero de aplicaciones y edite la aplicación recién creada.
> 6. Asigna personas y grupos a la aplicación. También puedes asignar un logotipo a la aplicación para el reconocimiento del usuario final. El logo de Bitwarden se puede obtener [aquí](https://github.com/bitwarden/brand/tree/master).
> 
> Una vez que se haya completado este proceso, las personas asignadas y los grupos tendrán una aplicación de marcadores de Bitwarden en su panel de Okta que los vinculará directamente a la página de inicio de sesión de la caja fuerte web de Bitwarden.