Configuración de la autenticación de inicio de sesión único

Updated: January 29, 2026 | Applies to version: 8.0

Los administradores de Enterprise Server pueden configurar y habilitar las capacidades de inicio de sesión único (SSO) para su servidor. El sistema de configuración de backend permite a los administradores establecer, probar, habilitar y deshabilitar la capacidad de SSO para los usuarios del servidor. La opción de SSO está disponible al iniciar sesión en la interfaz del navegador de Enterprise Server. Cuando se configura para los usuarios del servidor, SSO ofrece la comodidad de acceder al servidor usando el mismo conjunto de credenciales que se aplica a los sistemas de toda su empresa.

Si se obliga el uso de SSO (la opción Enforce SSO (not applied to access from localhost) está habilitada en la página Admin – Settings – Authentication de la interfaz del navegador), a los usuarios se les presentará la página de inicio de sesión de SSO justo después de acceder a la dirección de Enterprise Server.
El acceso por SSO también se puede usar al conectarse al Workspace de Enterprise Server desde Altium Designer. Para más información, consulte la página Acceso a su Workspace.

Cuando EDMS.UnifiedLogin esté en estado Público, actualice el párrafo siguiente con el código fuente del fragmento 'Open Beta Feature Moves to Public'.

Tenga en cuenta que debe usarse el enfoque de ‘inicio de sesión unificado’ para conectarse a su Workspace de Enterprise Server mediante un navegador externo, a fin de poder utilizar la funcionalidad de acceso SSO dentro de Altium Designer. Esta función está en Open Beta y está disponible cuando la opción EDMS.UnifiedLogin está habilitada en el cuadro de diálogo Advanced Settings de Altium Designer.

Para más información sobre cómo acceder a la interfaz del navegador de Enterprise Server, consulte la página Exploración de la interfaz basada en navegador.

Cuando se utiliza un proveedor de identidad interno, Enterprise Server debe confiar en el certificado HTTPS utilizado por ese proveedor de identidad. De lo contrario, obtendrá un error al intentar establecer una conexión con él desde Enterprise Server. Los proveedores de identidad de los principales fabricantes (Okta, Entra ID, etc.) tienen certificados confiables adecuados de forma predeterminada.

Inicio de sesión único SAML

Cuando está configurado y habilitado en Enterprise Server, el sistema SSO establece identidades autorizadas desde el proveedor de identidad (IdP) designado por su empresa, por ejemplo Okta, OneLogin, etc., con las comunicaciones de aserción de identidad basadas en el estandarizado lenguaje de marcado para aserciones de seguridad (SAML 2.0). La interfaz de inicio de sesión SSO para su empresa, si aún no está implementada, normalmente se basa en una plantilla o ejemplo proporcionado por el IdP; esto inicia los intercambios de aserciones de autenticación basados en SAML y proporciona acceso a los servicios de la empresa.

Cuando se selecciona la opción SAML en la lista desplegable SSO de la página Admin – Settings – Authentication de la interfaz del navegador, la página muestra las URL preconfiguradas para el servicio SSO de Enterprise Server (Altium Metadata Configuration) y la opción de cargar o introducir manualmente los datos de conexión de autorización de su IdP (SAML Identity Provider Configuration).

Los metadatos de configuración del IdP deberían estar disponibles en su proveedor de identidad una vez que esté configurado para la integración con los servicios de su empresa; consulte los ejemplos de integración de IdP a continuación. Para configurar el sistema SAML SSO en Enterprise Server (si aún no se ha completado), use el botón para localizar y cargar el archivo XML de configuración SAML IdP generado por el IdP de su empresa. El sistema analiza un archivo XML de IdP cargado para extraer los campos principales de configuración (X509 Certificate, URL de Identity Provider Issuer y IdP Single Sign-On URL). Como alternativa, agregue manualmente los elementos individuales (certificado de seguridad y URL) de la configuración en los campos correspondientes.

SSO no se habilita hasta que se ejecuta una prueba de integración, que se inicia con el botón . Esto verifica el proceso de identidad SSO y el inicio de sesión SSO de su empresa. Una vez que la configuración se haya probado correctamente, puede guardar los ajustes haciendo clic en el botón (), aplicándolos efectivamente a Enterprise Server.

Si posteriormente se deshabilita SSO, ya sea manualmente o en respuesta a un cambio de configuración, el botón vuelve a estar disponible para que el proceso de prueba pueda repetirse.

Ejemplos de integración con proveedores de identidad

Expanda la sección desplegable a continuación para ver un ejemplo paso a paso del proceso de integración de OneLogin como proveedor de identidad.

Integration with OneLogin

Inicie sesión en OneLogin como administrador.
Seleccione Applications y luego Add Apps.
Busque 'SAML' y seleccione la opción de aplicación IdP SAML Test Connector (Advanced).
Especifique un nombre para la aplicación (Display Name). Esto es solo para fines de visualización.
Haga clic en el botón Save.
Copie () las entradas Entity ID y Single Sign-On URL (Assertion Consumer Service) de la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server en los campos como se indica a continuación.

En la configuración de la aplicación OneLogin:
- Pegue el valor anterior de Entity ID (nombre del proveedor de servicios) como la URL Audience (EntityID).
- Pegue el valor anterior de Single Sign-On URL (Assertion Consumer Service) como ACS (Consumer) URL Validator.
- Pegue también Single Sign-On URL (Assertion Consumer Service) como ACS (Consumer) URL.
- Los campos RelayState, Recipient, Single Logout URL y Login URL pueden dejarse en blanco.
Asegúrese de que la opción SAML nameID format esté configurada como Email, y que SAML signature element esté configurado como Both. Haga clic en el botón Save para confirmar la configuración.
Haga clic en el botón More Actions y luego en la opción de menú SAML Metadata para descargar los metadatos SAML del proveedor de identidad como un archivo XML.
- Este archivo de metadatos se cargará en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server para configurar el servicio SSO de OneLogin – vea a continuación.
- Si se prefiere configurar manualmente el servicio SSO de OneLogin en Enterprise Server, los parámetros requeridos pueden encontrarse seleccionando la opción de menú SSO en la interfaz de la aplicación OneLogin.
Los pasos siguientes serían agregar usuarios y asignar la aplicación a esos usuarios.

Expanda la sección desplegable a continuación para ver un ejemplo paso a paso del proceso de integración de Okta como proveedor de identidad.

Integration with Okta

Inicie sesión en Okta como administrador.
Haga clic en el enlace/botón Admin y luego en el botón Add Application bajo Applications de la empresa.
Haga clic en el botón Create New App.
Seleccione SAML 2.0 como el Sign-on method.
Especifique un App name. Esto es solo para fines de visualización.
Tome nota de las entradas Single Sign On URL (Assertion Consumer Service) y Entity ID en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server.
Copie () y pegue la entrada Single Sign-On URL de Enterprise Server en el campo Single sign on URL de la configuración SAML de Okta.
Copie () y pegue la entrada Entity ID de Enterprise Server en el campo Audience URI de la configuración SAML de Okta.

No se requiere una entrada Default RelayState.
Configure los campos restantes de la siguiente manera:
- El valor de Name ID format es EmailAddress.
- El valor de Application username es (Okta) Email.
- En la sección ATTRIBUTE STATEMENTS, configure el campo Name como: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress y Value como: user.email
Haga clic en el botón Next y seleccione la opción ..Okta customer adding an internal app.
Haga clic en el botón Finish.
- Haga clic en el enlace Identity Provider metadata y guarde el XML de metadatos en su computadora, o haga clic en el botón View Setup Instructions para ver las opciones de configuración manual.
- En la sección SAML Identity Provider configuration de la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server, cargue el archivo XML de metadatos guardado o configure manualmente las secciones individuales – vea arriba.

Expanda la sección desplegable a continuación para ver un ejemplo paso a paso del proceso de integración de Microsoft Entra ID como proveedor de identidad.

Integration with Microsoft Entra ID

Inicie sesión en el Microsoft Entra admin center.
Seleccione Identity y luego la opción Enterprise applications.
Cree su propia aplicación.
Seleccione Users and groups y luego Add user/group.
Seleccione Single sign-on, Step 1 y luego Edit.
Copie () Entity ID y Single Sign-On URL desde la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server. Pegue las cadenas copiadas en los campos Entity ID y Assertion Consumer Service URL en el área de configuración SAML de la aplicación Microsoft Entra. Asegúrese de que las casillas Default estén marcadas para estos campos y luego guarde la configuración.
Descargue el XML de metadatos de federación creado.
Cargue el XML de metadatos de federación en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server y luego pruebe la conexión de integración SAML – vea arriba.

Expanda la sección desplegable a continuación para ver un ejemplo paso a paso del proceso de integración de JumpCloud como proveedor de identidad.

Integration with JumpCloud

En la interfaz de JumpCloud, seleccione SSO en el árbol de navegación y, a continuación, el botón Add New Application en la página SSO.
Introduzca 'saml' en el cuadro de búsqueda de la ventana de configuración para localizar e instalar Custom SAML App.
Asigne un nombre a su instancia de Custom SAML App; en este ejemplo, la etiqueta es Altium.
Cambie a la pestaña SSO en la interfaz de configuración de JumpCloud e introduzca la configuración de Entidad/URL desde la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server, como se muestra.
Introduzca el endpoint de JumpCloud IDP URL y habilite la opción Declare Redirect Endpoint.
Use la opción Export Metadata para descargar el archivo XML de metadatos SAML resultante.
Cargue el archivo XML de metadatos en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server y, a continuación, pruebe la conexión de integración SAML; consulte arriba.

Expanda la sección plegable a continuación para ver un ejemplo paso a paso del proceso de integración de Microsoft Administrative Domain Federated Services (AD FS) como proveedor de identidad.

Integration with Microsoft AD FS

Debe tener acceso administrativo a la instancia de AD FS.

Abra la aplicación AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).
Vaya a Relying Party Trusts y haga clic en la opción Add Relying Party Trust... (1).
En la ventana emergente, asegúrese de seleccionar Claims aware (2) y haga clic en Start (3).
En el paso Select Data Source, seleccione Enter data about the relying party manually (1) y haga clic en Next (2).
Proporcione un nombre para mostrar para la relación de confianza. En este ejemplo se usa AltiumLive como nombre para mostrar.
Según su configuración de seguridad, puede especificar un certificado opcional de cifrado de tokens. A efectos de esta guía, no usaremos ninguno.
En el paso Configure URL, asegúrese de seleccionar la opción Enable support for the SAML 2.0 WebSSO protocol (1) e introduzca Single Sign-On URL, copiado de la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server, en el campo Relying party SAML 2.0 SSO service URL: (2). Haga clic en Next (3).
En el paso Configure Identifiers, proporcione un identificador para esta relación de confianza en el campo de entrada (1). El identificador debe tomarse de la entrada Entity ID, ubicada en la región Altium Metadata Configuration de la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server. Asegúrese de hacer clic en el botón Add (2).

El resultado debería verse como el siguiente. Haga clic en Next.
Según su configuración de seguridad, puede elegir políticas opcionales de control de acceso en el siguiente paso. Para este ejemplo no seleccionaremos ninguna política adicional y continuaremos con la opción Permit everyone.
Revise la configuración y seleccione Next.
No todas las configuraciones están disponibles mientras se establece la relación de confianza. Para permitir que SHA-1 se use como algoritmo hash seguro, haga clic con el botón derecho en el nombre de la Relying Party Trust que acaba de agregar y seleccione Properties.
En la ventana de propiedades, seleccione la pestaña Advanced (1) y establezca SHA-1 como algoritmo hash seguro (2). Haga clic en OK para guardar los cambios.
De vuelta en la ventana de administración de AD FS, seleccione la relación de confianza de parte usuaria que agregó y elija la opción Edit Claim Issuance Policy....
En la ventana Edit Claim Issuance Policy, seleccione Add Rule...
En el paso Choose Rule Type del asistente, asegúrese de que esté seleccionado Send LDAP Attributes as Claims y luego haga clic en Next.
Proporcione un Claim rule name (1), seleccione Active Directory como Attribute store (2) y seleccione un LDAP Attribute (3) del ID que contiene el nombre de usuario del usuario de Enterprise Server. Este atributo debe asignarse a Name ID en Outgoing Claim Type (3). Haga clic en Finish (4).

Important Note: Para este ejemplo, hemos asignado Surname o Last name para que contengan el valor requerido. Su configuración puede ser diferente.
Asegúrese de que la directiva de emisión de notificaciones se guarde haciendo clic en OK.
Descargue el archivo FederationMetadata.xml desde el servidor correspondiente.
Cargue el archivo XML de metadatos en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server y, a continuación, pruebe la conexión de integración SAML; consulte arriba.

Expanda la sección plegable a continuación para ver un ejemplo paso a paso del proceso de integración de AWS IAM Identity Center como proveedor de identidad:

Integration with AWS IAM Identity Center

Vaya a IAM Identity Center y agregue una aplicación SAML 2.0 personalizada (Add Application).
Complete la configuración de la URL de metadatos de AWS con los datos de su página SSO de Altium. Confirme la configuración con Submit.
Descargue el archivo de metadatos desde el área IAM Identity Center metadata.
Vaya a Edit attribute mappings.
Proporcione un atributo que contendrá el nombre de usuario del usuario de Enterprise Server y seleccione unspecified para Format.
Cree nuevos usuarios en AWS y asigne la aplicación a los usuarios creados o a un grupo.
Asegúrese de que los mismos usuarios existan tanto en el lado de Altium como en el de IAM.
Cargue el archivo XML de metadatos en la página Admin – Settings – Authentication de la interfaz del navegador de Enterprise Server y, a continuación, pruebe la conexión de integración SAML; consulte arriba.

Inicio de sesión único OAuth / OIDC

La capacidad de SSO para su Enterprise Server también puede configurarse mediante el estándar OAuth / OIDC. Cuando se selecciona la opción OAuth / OIDC en la lista desplegable SSO de la página Admin – Settings – Authentication de la interfaz del navegador, la página permite introducir los datos proporcionados por el IdP elegido.

Application Credentials:
- Client ID – el ID de la aplicación del IdP.
- Client Secret – el secreto de la aplicación del IdP.
Configuration:
- Scopes to Request – los alcances definen el nivel de acceso que su aplicación solicita al usuario.
- Authentication Endpoint – este endpoint gestiona la autenticación y el consentimiento del usuario. Su aplicación redirige a los usuarios a este endpoint para iniciar sesión y conceder permisos.
- Token Endpoint – este endpoint se utiliza para intercambiar un código de autorización o un token de actualización por un token de acceso. Es una comunicación segura de back-channel entre la aplicación y el servidor de autorización.
- User Profile Endpoint – este endpoint recupera información del perfil del usuario (por ejemplo, nombre, correo electrónico) mediante un token de acceso. Los datos devueltos dependen de los alcances concedidos durante la autorización.
Mappings – en el campo Mapped Attribute de la tabla, introduzca el atributo que se asignará al nombre de usuario del usuario en el lado de Enterprise Server.

SSO no se habilita hasta que se ejecuta una prueba de integración, que se invoca mediante el botón . Esto verifica el proceso de identidad SSO y el inicio de sesión SSO de su empresa. Una vez que la configuración se haya probado correctamente, puede guardar la configuración haciendo clic en el botón (), aplicándola así a Enterprise Server.

Si posteriormente se deshabilita SSO, ya sea manualmente o como respuesta a un cambio de configuración, el botón queda disponible para que el proceso de prueba pueda repetirse.

Al usar Entra ID, tenga en cuenta que proporciona dos versiones de API para los endpoints de OAuth:

https://login.microsoftonline.com/{tenantId}/.well-known/openid-configuration
https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration

Deberá obtener el conjunto correcto de endpoints (token/authorize/userinfo) de una de estas variantes. Mezclarlos dará como resultado un error al intentar establecer una conexión con Entra ID desde Enterprise Server.

Printer-friendly version

AI-localized

If you find an issue, select the text/image and pressCtrl + Enterto send us your feedback.

Configuración de la autenticación de inicio de sesión único

Inicio de sesión único SAML

Ejemplos de integración con proveedores de identidad

Inicio de sesión único OAuth / OIDC

Contenido

Was this page helpful?