> ## Documentation Index
> Fetch the complete documentation index at: https://ai-kb.automationanywhere.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurar Okta para SSO de EKB

> Configure Okta como Proveedor de Identidad SAML 2.0 para su instancia on-premise de EKB.

Esta guía explica cómo configurar Okta como el Proveedor de Identidad (IdP) para SAML SSO en su instancia on-premise de EKB. Cubre las configuraciones SAML que debe ingresar en Okta, cómo obtener sus metadatos de Okta y cómo registrar el dominio en EKB para completar la integración.

<Note>
  El flujo SAML genérico de EKB funciona con Okta de forma nativa. Si aún no lo ha hecho, lea la [Vista General de SAML SSO](/super-admin/sso/saml-sso-how-it-works) para comprender cómo funciona la integración antes de comenzar.
</Note>

## Prerrequisitos

* Tiene acceso de administrador a su organización de Okta.
* Tiene acceso de Super Admin a su instancia on-premise de EKB.
* Conoce el nombre de dominio completamente calificado (FQDN) del host de backend de EKB (por ejemplo, `ek-api.corp.acme.com`).
* Conoce el dominio de correo electrónico para el que desea habilitar SSO (por ejemplo, `acme.com`).

## Parte 1 — Configurar Okta

### Crear una Nueva Aplicación SAML en Okta

<Steps>
  <Step title="Crear una nueva integración de aplicación">
    En su consola de administración de Okta, navegue a **Applications → Applications** y haga clic en **Create App Integration**. Seleccione **SAML 2.0** como método de inicio de sesión.
  </Step>

  <Step title="Ingresar las configuraciones SAML">
    En el paso **Configure SAML**, ingrese los siguientes valores:

    | Campo                                | Valor                                                       |
    | ------------------------------------ | ----------------------------------------------------------- |
    | **Single Sign-On URL**               | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Recipient URL**                    | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Destination URL**                  | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Audience Restriction (Entity ID)** | `https://<su-FQDN>/backend/user/generic/sso/saml/acs/admin` |
    | **Default Relay State**              | `default` o establezca el nombre de dominio                 |
  </Step>

  <Step title="Agregar declaraciones de atributos">
    Aún en el paso **Configure SAML**, desplácese hacia abajo hasta **Attribute Statements** y agregue lo siguiente:

    | Nombre             | Nombre del Formato | Valor                            |
    | ------------------ | ------------------ | -------------------------------- |
    | `email`            | Basic              | `user.email`                     |
    | `first_name`       | Basic              | `user.firstName`                 |
    | `last_name`        | Basic              | `user.lastName`                  |
    | `user_name`        | Basic              | `user.login`                     |
    | `DisplayName`      | Basic              | `user.displayName`               |
    | `objectIdentifier` | Unspecified        | `user.getInternalProperty("id")` |
  </Step>

  <Step title="Completar la configuración">
    Finalice el asistente de creación de aplicación. Asigne la aplicación a los usuarios o grupos que deben tener acceso SSO a EKB.
  </Step>
</Steps>

## Parte 2 — Obtener los Metadatos de Okta

Una vez creada la aplicación de Okta, obtenga la URL de metadatos del IdP:

<Steps>
  <Step title="Ir a la pestaña Sign On">
    Abra la aplicación en Okta y navegue a la pestaña **Sign On**.
  </Step>

  <Step title="Encontrar la URL de Metadatos">
    Bajo **Settings → SAML 2.0 → Metadata details**, copie la **Metadata URL**.

    La ruta es:

    ```
    Sign On > Settings > SAML 2.0 > Metadata details > Metadata URL
    ```

    Necesitará esta URL en la Parte 3.<br /><img src="https://mintcdn.com/automationanywhere/GwZtgh73O0-NsEVq/img/sa/sso/okta-metadata-url.png?fit=max&auto=format&n=GwZtgh73O0-NsEVq&q=85&s=76320da8268fe54ce07a11b45e3fc929" alt="Okta Metadata URL" width="908" height="839" data-path="img/sa/sso/okta-metadata-url.png" />
  </Step>
</Steps>

## Parte 3 — Registrar el Dominio en EKB

Envíe una solicitud `POST` al endpoint de registro de dominio:

```bash theme={null}
curl -X POST "https://<su-host-de-backend>/backend/sso/add_new_configuration" \
  -H "Content-Type: application/json" \
  -H "X-API-KEY: SU_API_KEY" \
  -H "X-API-SECRET: SU_API_SECRET" \
  -d '{
    "enterprise_id": "acme.com",
    "provider": "okta",
    "metadata_url": "https://su-url-de-metadatos-de-okta",
    "backend_root_url": "<su-host-de-backend>/backend"
  }'
```

### Campos Requeridos

| Campo              | Descripción                                                                                     |
| ------------------ | ----------------------------------------------------------------------------------------------- |
| `enterprise_id`    | El dominio de correo electrónico de sus usuarios (por ejemplo, `acme.com`).                     |
| `provider`         | `"okta"`                                                                                        |
| `metadata_url`     | La Metadata URL de la Parte 2.                                                                  |
| `backend_root_url` | *(Opcional)* Requerido solo en configuraciones de proxy para asegurar el enrutamiento correcto. |

### Autenticación

El endpoint requiere su API Key y Secret de EKB pasados como encabezados `X-API-KEY` y `X-API-SECRET`.

En caso de éxito, se crea un registro en la tabla `sso_providers` en el backend.

## Parte 4 — Configurar el Frontend

Una vez registrado el dominio, establezca la variable de entorno del frontend y reinicie el servicio del frontend.

<Steps>
  <Step title="Abrir el archivo de entorno del frontend">
    En su servidor de implementación on-premise, abra `onprem-deployment/.env.web`.
  </Step>

  <Step title="Agregar la variable de entorno">
    Agregue la siguiente línea, reemplazando `acme.com` con su dominio de correo electrónico real:

    ```bash theme={null}
    VITE_SSO_ENTERPRISE_ID=acme.com
    ```
  </Step>

  <Step title="Reiniciar los servicios del frontend">
    ```bash theme={null}
    docker compose -f docker-compose down
    docker compose -f docker-compose up -d
    ```
  </Step>
</Steps>

## Probar la Integración

Inicie sesión en EKB con un usuario real `@<dominio>` para confirmar que el flujo funciona de principio a fin. Si el usuario se autentica exitosamente pero se le deniega el acceso, verifique su configuración de Controles de Acceso SAML — consulte la guía *Controles de Acceso SAML y Asignación Automatizada de Equipos/Proyectos de EKB*.