SSO / SAML / SCIM

Orkestra soporta Single Sign-On vía SAML 2.0 y OpenID Connect (OIDC), más provisioning automático con SCIM 2.0. Todas las opciones requieren suscripción Organization.

¿Qué opción elegir?

  • SAML 2.0: el estándar de empresa. Compatible con Okta, OneLogin, Ping Identity, Azure AD (Entra ID), Google Workspace.
  • OIDC: más moderno, ideal si tu IdP es Auth0, Okta OIDC, Google Workspace, o proveedores nuevos.
  • SCIM 2.0: complemento opcional. Automatiza la creación, actualización y eliminación de usuarios desde tu IdP. Grupos de SCIM mapean a Áreas de Orkestra.

Si tu IdP soporta las dos, recomendamos SAML por madurez y compatibilidad. Activa SCIM además para evitar el mantenimiento manual de usuarios.

Configurar SAML 2.0

1. En Orkestra

  1. Ve a Ajustes de organización → SSO → SAML → Nuevo.
  2. Orkestra te devuelve tres valores: ACS URL, Entity ID y metadata XML.
  3. Copia estos valores — los necesitas en tu IdP.

2. En tu IdP

  1. Crea una nueva aplicación SAML 2.0.
  2. Pega el ACS URL y Entity ID de Orkestra.
  3. Configura los atributos: email (obligatorio), firstName, lastName.
  4. Descarga el metadata XML del IdP (o copia el certificado + URL del SSO endpoint).

3. De vuelta en Orkestra

  1. Sube el metadata XML del IdP (o pega los valores manualmente).
  2. Activa la opción Force SSO si quieres que todos los miembros de la org entren solo por SSO (deshabilita login con contraseña).
  3. Añade los dominios permitidos (ej: tuempresa.com). Solo usuarios con esos emails pueden entrar.
  4. Guarda y prueba con una cuenta de test.

Configurar OIDC

El proceso es similar, pero usa Ajustes → SSO → OIDC → Nuevo. Necesitarás:

  • Issuer URL del IdP (ej: https://tu-tenant.okta.com/oauth2/default)
  • Client ID
  • Client Secret
  • Scopes (openid profile email)

Orkestra configura los redirect URIs y endpoints automáticamente. Solo hay que copiar los 4 valores del IdP a Orkestra.

Configurar SCIM 2.0

SCIM requiere SSO configurado previamente (SAML u OIDC). Los pasos:

  1. En Orkestra: Ajustes → SSO → SCIM → Generar token. Cópialo — solo se muestra una vez.
  2. En tu IdP (Okta, Azure AD, etc.): añade una app SCIM 2.0, configura el endpoint https://api.orkestra.team/v1/scim/v2 y pega el token en el header Authorization: Bearer ....
  3. Asigna los usuarios y grupos que quieres provisionar.
  4. Tu IdP empezará a crear, actualizar y desactivar usuarios automáticamente.

Mapeo de grupos a áreas

Los grupos de SCIM mapean automáticamente a Áreas de Orkestra con el mismo nombre. Si creas un grupo "Marketing" en tu IdP, se crea un Área "Marketing" en Orkestra. Cuando añades un usuario al grupo, se añade al área con rol MEMBER por defecto.

Puedes cambiar el rol por defecto o el modo del Área (OPEN/RESTRICTED) desde Orkestra después de que SCIM cree el área. Los cambios se respetan en sincronizaciones futuras.

Resolución de problemas

  • Error "SAML assertion invalid": verifica que la hora del servidor del IdP y de Orkestra estén sincronizadas (tolerancia ±5 min).
  • Usuarios no se provisionan por SCIM: revisa el log en Ajustes → SSO → SCIM → Log. Suele ser un problema de scopes o token.
  • "Force SSO" me dejó fuera: contacta a soporte con tu org ID. Podemos desactivar force-SSO temporalmente para que recuperes el acceso.