> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurar SSO para Okta

> Permite que tu equipo inicie sesión en tu espacio de trabajo empresarial de Base44 con sus credenciales de Okta.

Okta permite a tu equipo iniciar sesión en tu espacio de trabajo empresarial de Base44 con sus credenciales de Okta existentes. Creas una aplicación OIDC en Okta, permites a Base44 usarla y luego añades sus detalles a tu espacio de trabajo. Para añadir y actualizar miembros automáticamente, configura [aprovisionamiento SCIM para Okta](/Enterprise/Okta-SCIM) por separado.

<Warning>
  El inicio de sesión único del espacio de trabajo solo está disponible en espacios de trabajo empresariales. Si no ves esta opción, contacta con tu equipo de cuenta de Base44.
</Warning>

***

## Antes de empezar

Asegúrate de tener:

* Acceso de propietario o administrador a tu espacio de trabajo empresarial de Base44.
* Acceso de administrador a tu organización de Okta.
* Tu **ID de espacio de trabajo**, la cadena de caracteres después de `/workspace/` en la URL de tu espacio de trabajo empresarial.
* Tu **dominio de Okta**, la parte antes de `.okta.com` (por ejemplo, `your-company`).

***

## Configurar el inicio de sesión único

Crea una aplicación OIDC en Okta, permite a Base44 usarla y luego añade sus detalles a tu espacio de trabajo.

### Paso 1: Crear una app OIDC

Crea la aplicación OIDC que representa el inicio de sesión de Base44.

**Para crear la app:**

1. En la Okta Admin Console, ve a **Applications** > **Applications**, luego haz clic en **Create App Integration**.
2. Establece **Sign-in method** en **OIDC - OpenID Connect**.
3. Establece **Application type** en **Web Application**.
4. Haz clic en **Next**.

<Frame caption="Crear una integración de app OIDC en Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### Paso 2: Configurar la app

Establece el nombre de la app, las URIs de redirección y quién puede usarla.

**Para configurar la app:**

1. Introduce un **App name**, por ejemplo `Base44 - your workspace name`.
2. En **Sign-in redirect URIs**, añade la URL de devolución de llamada de tu espacio de trabajo, reemplazando `{{WORKSPACE_ID}}` con tu ID de espacio de trabajo: `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. En **Sign-out redirect URIs**, añade `https://app.base44.com`.
4. En **Controlled access**, elige quién puede usar la app, por ejemplo **Allow everyone in your organization to access**.
5. Haz clic en **Save**.

<Frame caption="Establecer las URIs de redirección de inicio de sesión y cierre de sesión en Okta">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### Paso 3: Obtener tus credenciales

Desde la pestaña **General** de la app, copia:

* **Client ID**
* **Client Secret**
* Tu **dominio de Okta**, solo el subdominio (por ejemplo, `your-company`, no `your-company.okta.com`).

### Paso 4: Permitir Base44 en tu servidor de autorización

Okta solo emite tokens a apps que permite una política del servidor de autorización.

**Para añadir una regla de política de acceso:**

1. Ve a **Security** > **API** > **Authorization Servers**, luego abre el servidor **default**.
2. En la pestaña **Access Policies**, haz clic en **Add Rule**, o edita una regla existente.
3. Nombra la regla (por ejemplo, `Allow Base44`), establece el tipo de concesión en **Authorization Code** y aplícala a tu app de Base44 (o a todos los clientes), todos los usuarios y cualquier alcance.
4. Haz clic en **Create Rule**.

<Note>
  En la pestaña **General** de tu app de Base44 en Okta, desactiva **Federation Broker Mode**. Con esto activado, el inicio de sesión puede fallar con "You are not allowed to access this app."
</Note>

### Paso 5: Añadir tus detalles en Base44

Añade las credenciales de la app OIDC a tu espacio de trabajo.

**Para configurar SSO en Base44:**

1. Haz clic en el nombre de tu espacio de trabajo en la parte superior izquierda de tu cuenta.
2. Haz clic en **Settings**.
3. Haz clic en **Auth and security**.
4. Habilita el interruptor junto a **Single Sign-On Configuration**.
5. En **Select SSO Provider**, elige **Okta**.
6. Introduce tu **Client ID**, **Client Secret** y **Okta Domain** (solo el subdominio).
7. Mantén **Scope** como `openid email profile`.
8. La **Discovery URL** se rellena automáticamente desde tu dominio de Okta.
9. Haz clic en **Enable SSO**.

<Frame caption="Configuración SSO de Okta en tu espacio de trabajo de Base44">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  La Discovery URL autogenerada solo es correcta para una organización estándar de Okta en su dominio predeterminado `.okta.com`. Si se aplica alguno de los casos siguientes, la predeterminada es incorrecta y el inicio de sesión falla, así que configura Okta mediante **Advanced / Manual configuration** en su lugar e introduce la Discovery URL a mano:

  * **Usa la Discovery URL `/oauth2/default`:** Apunta Base44 a tu servidor de autorización de Okta para que se devuelva el claim `email`: `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`. Si tu organización no tiene un servidor de autorización personalizado, esta dirección devuelve un 404. En ese caso, usa `https://your-domain.okta.com/.well-known/openid-configuration` y mapea el claim `email` en el perfil de tu app de Okta.
  * **Dominio de Okta personalizado:** Si tu equipo inicia sesión a través de un dominio de marca personalizado (por ejemplo, `login.your-company.com`), usa ese dominio exacto en la Discovery URL, no el predeterminado `your-company.okta.com`. Okta emite tokens desde el dominio a través del cual las personas inician sesión, por lo que una discrepancia falla la validación del emisor (`iss`) y el inicio de sesión se rompe.
</Warning>

### Paso 6: Asignar usuarios

Las personas pueden iniciar sesión una vez que se les asigne a tu app de Okta.

**Para asignar usuarios:**

1. En tu app de Okta, ve a la pestaña **Assignments**.
2. Haz clic en **Assign**, luego **Assign to People** o **Assign to Groups**.
3. Selecciona los usuarios o grupos que deben poder iniciar sesión, luego haz clic en **Assign** y **Save and Go Back**.

<Tip>
  Para añadir y actualizar miembros automáticamente en lugar de asignarlos a mano, configura [aprovisionamiento SCIM para Okta](/Enterprise/Okta-SCIM).
</Tip>

***

## Preguntas frecuentes

Selecciona una pregunta abajo para saber más sobre SSO de Okta.

<AccordionGroup>
  <Accordion title="El inicio de sesión falla con 'You are not allowed to access this app'">
    Añade una regla de política de acceso en el servidor de autorización predeterminado (Paso 4), desactiva **Federation Broker Mode** en la pestaña **General** de la app y confirma que el usuario está asignado a la app.
  </Accordion>

  <Accordion title="El inicio de sesión falla con un error de correo">
    El servidor de autorización predeterminado de Okta no siempre devuelve el claim `email`. Configura Okta mediante **Advanced / Manual configuration** y usa la Discovery URL `/oauth2/default` para que se devuelva el correo. Consulta la nota en el Paso 5.
  </Accordion>

  <Accordion title="¿Necesito apps de Okta separadas para SSO y SCIM?">
    Sí. Las apps OIDC de Okta no admiten SCIM, por lo que SSO usa una app OIDC y SCIM usa una app SCIM 2.0 separada. Consulta [Aprovisionamiento SCIM para Okta](/Enterprise/Okta-SCIM).
  </Accordion>
</AccordionGroup>

<Note>Esta página fue traducida usando IA. Para obtener la información más precisa y actualizada, consulta la [versión en inglés](/).</Note>
