Configura el inicio de sesión único con proveedores de identidad SAML u OIDC como Okta, Azure AD y Google Workspace para una autenticación segura del equipo.
Los administradores de planes Enterprise pueden configurar SAML SSO para Okta o Microsoft Entra directamente desde el dashboard de Mintlify. Para otros proveedores como Google Workspace u Okta OIDC, contáctanos para configurar SSO.
Cuando habilitas el aprovisionamiento JIT (just-in-time), los usuarios que inician sesión a través de tu proveedor de identidad se agregan automáticamente a tu organización de Mintlify.
El aprovisionamiento JIT solo funciona para inicios de sesión iniciados por el IdP. Los usuarios deben iniciar sesión desde tu proveedor de identidad (dashboard de Okta o portal de Microsoft Entra) en lugar de hacerlo desde la página de inicio de sesión de Mintlify.
Para habilitar el aprovisionamiento JIT, debes tener SSO habilitado. Ve a la página Identity & access en tu dashboard, configura el SSO y luego habilita el aprovisionamiento JIT.
Verifica la propiedad de tus dominios de correo electrónico para que Mintlify pueda limitar el SSO y el aprovisionamiento de miembros a personas con direcciones de correo coincidentes. Cuando alguien inicia sesión con una dirección de correo en un dominio verificado, Mintlify lo enruta automáticamente a tu proveedor de identidad. El enrutamiento automático funciona tengas o no activada la exigencia de SSO, siempre que tu organización tenga una conexión SSO activa.Puedes añadir hasta cinco dominios verificados por organización.
En la pestaña SSO, en la sección Verified domains, introduce el dominio (por ejemplo, example.com) y haz clic en Add.
Mintlify genera un token de verificación. En tu proveedor de DNS, crea un registro TXT con el nombre _mintlify-verification.example.com y el token como valor. Algunos proveedores de DNS agregan el dominio automáticamente. Si el tuyo lo hace, introduce solo _mintlify-verification como nombre del registro.
Vuelve al dashboard y haz clic en Verify. El estado cambia de Pending a Verified una vez que el registro se propaga.
Para eliminar un dominio, haz clic en el botón de eliminar junto a él.
Los administradores de la organización pueden requerir que todos los miembros de la organización inicien sesión a través de tu proveedor de identidad. Cuando Require SSO (Requerir SSO) está activado, Mintlify rechaza los inicios de sesión con contraseña, enlace mágico y Google OAuth.
Confirma que el SSO funciona de extremo a extremo. En una ventana de navegación privada, inicia sesión en tu dashboard de Mintlify desde el catálogo de aplicaciones de tu proveedor de identidad (iniciado por el IdP) y desde la página de inicio de sesión de Mintlify con un correo electrónico de un dominio verificado (iniciado por el SP). Ambos flujos deben redirigirte a través de tu proveedor de identidad y llevarte al dashboard.
En la pestaña SSO, en la sección Sign-in policy, activa Require SSO.
Solo puedes requerir SSO después de configurar una conexión SSO. Requerir SSO no comprueba si los miembros pueden seguir iniciando sesión, así que añade acceso de emergencia (break-glass) para al menos un administrador antes de activarlo.
Para dejar de requerir SSO, desactiva la opción. Los demás métodos de inicio de sesión vuelven a estar disponibles de inmediato.
Designa a los miembros que pueden omitir el SSO e iniciar sesión con contraseña o enlace mágico. Usa el acceso de emergencia (break-glass) para recuperar el acceso si tu proveedor de identidad sufre una interrupción o una configuración incorrecta deja a los miembros sin acceso.
En la pestaña SSO, en la sección Break-glass access, introduce la dirección de correo electrónico de un miembro que deba conservar el acceso sin SSO y haz clic en Add.
Cada correo de emergencia (break-glass) debe pertenecer a un miembro existente de tu organización. El acceso de emergencia (break-glass) solo surte efecto mientras Require SSO esté activado.
Añade acceso de emergencia (break-glass) para cuentas de administrador que no estén vinculadas a tu proveedor de identidad principal, guarda las credenciales en un gestor de contraseñas seguro y revisa la lista cada vez que cambie la composición del equipo.
Asigna roles a los usuarios en función de su pertenencia a grupos en el proveedor de identidad. Cuando un usuario inicia sesión a través de SSO, Mintlify lee el atributo groups de la aserción SAML y asigna esos grupos a roles del dashboard.
Añade una declaración de atributo groups a la configuración de tu proveedor de identidad SAML. El atributo debe usar el formato de nombre unspecified.La aserción SAML resultante debe incluir un AttributeStatement.
El nombre del atributo debe ser groups (distingue entre mayúsculas y minúsculas)
El formato de nombre debe ser urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
Cada grupo al que pertenece el usuario debe ser un elemento AttributeValue separado
Okta
Microsoft Entra
En la configuración de tu aplicación SAML de Okta, añade una declaración de atributo de grupo:
Name
Name format
Filter
Value
groups
Unspecified
Matches regex
.*
Ajusta el filtro para que coincida con los grupos específicos que deseas enviar a Mintlify.
En tu aplicación empresarial de Microsoft Entra:
Ve a Single Sign-On > Attributes & Claims.
Haz clic en Add a group claim.
Selecciona qué grupos incluir (todos los grupos o grupos específicos).
En Advanced options, marca Customize the name of the group claim y establece el nombre como groups.
Una vez configurado, Mintlify asigna los nombres de los grupos de la aserción SAML a los roles de tu organización. Para configurar o modificar las asignaciones de grupo a rol, contacta a tu representante de cuenta de Mintlify.
En Okta, en Applications, crea una nueva integración de aplicación usando OIDC. Elige el tipo Web Application.
2
Configurar la integración
Selecciona el tipo de concesión Authorization Code e introduce el Redirect URI proporcionado por Mintlify.
3
Envíanos la información de tu IdP
Ve a la pestaña General y localiza el client ID y el client secret. Envíanoslos de forma segura junto con la URL de tu instancia de Okta (por ejemplo, <your-tenant-name>.okta.com). Puedes enviarlos mediante un servicio como 1Password o SendSafely.