# Guía de campo de SSO

### Introducción

Integrar Inicio de sesión único (SSO) con Zoom ofrece a los administradores opciones de Administración de usuarios y seguridad que pueden simplificar la administración de cuentas. Una vez configurado, los usuarios se autentican usando las credenciales de su empresa frente al proveedor de identidad de su empresa en lugar de usar métodos de autenticación alternativos como las integraciones de Google o Facebook, o un Nombre de usuario y contraseña directos con Zoom.

Este documento proporciona una descripción general completa de las configuraciones y Configuración de SSO dentro de Zoom, además de información sobre resolución de problemas y seguridad.

### Integraciones de SSO

#### <mark style="color:azul;">SSO requiere una URL mnemónica para comenzar</mark>

Una cuenta debe tener una URL mnemónica aprobada antes de configurar SSO. Una vez que la URL mnemónica sea aprobada, los administradores de Zoom pueden acceder al [configuración de SSO](https://zoom.us/account/sso) página a través del submenú de opciones avanzadas en el portal web. Consulte nuestro artículo de Soporte sobre [URLs mnemónicas](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) para obtener más información.

#### <mark style="color:azul;">Zoom SSO funciona con cualquier proveedor de identidad SAML 2.0</mark>

Zoom puede integrarse con cualquier proveedor de identidad que admita autenticación de Lenguaje de marcado de aserción de seguridad (SAML) 2.0. Aunque existen muchas guías documentadas de Integraciones, algunos proveedores de identidad no ofrecen documentación para integrarse con Zoom. Se recomienda a las cuentas que no puedan localizar las instrucciones de configuración que se pongan en contacto con su proveedor de identidad para obtener más información.

#### <mark style="color:azul;">Los administradores de Zoom pueden gestionar la información del perfil del usuario y las licencias a través de la asignación de respuestas SAML o de Integraciones SCIM</mark>

Los administradores pueden gestionar la información del perfil del usuario y las licencias mediante la asignación de respuestas SAML o solicitudes de la Interfaz de programación de aplicaciones (API) de System for Cross-Domain Identity Management (SCIM), según las funciones disponibles del proveedor de identidad. Ambos métodos de Administración de usuarios ofrecen una funcionalidad casi equivalente para la asignación de información del perfil y la gestión de licencias, pero algunas asignaciones de SCIM requieren configuración manual.

Para obtener una lista completa de las capacidades de SCIM, consulte nuestra [documentación de la API de SCIM](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:azul;">Los administradores de Zoom pueden gestionar el estado de la cuenta del usuario a través de SCIM, pero no de SAML</mark>

Debido a que SCIM permite a los proveedores de identidad comunicarse directamente con Zoom en cualquier momento, las cuentas de usuario pueden ser *activadas*, *desactivadas*, *creadas*, o *eliminado* a través de integraciones SCIM automáticamente. Por ejemplo, si la cuenta de un usuario en Active Directory está deshabilitada, o si no se le asigna la aplicación, SCIM puede enviar una solicitud automática de desactivación para la cuenta del usuario dentro de Zoom. Esta característica depende de las capacidades de la aplicación SCIM del proveedor de identidades y la funcionalidad puede variar según el proveedor.

#### <mark style="color:azul;">Un número limitado de proveedores de identidad ofrece SCIM para Zoom</mark>

Muchos proveedores de identidad no tienen una Integraciones SCIM creada para Zoom como parte de sus servicios. Las cuentas que usan un proveedor de identidad que no admite SCIM con Zoom deben usar el mapeo de respuestas SAML para la Administración de usuarios automatizada.

#### <mark style="color:azul;">SCIM requiere un dominio asociado para aprovisionar usuarios automáticamente</mark>

Cuentas que usan SCIM para administrar y aprovisionar usuarios para SSO **debe** asociar el dominio de correo electrónico con Zoom. No asociar el dominio resultará en fallos de aprovisionamiento de usuarios. Consulte nuestro artículo de Soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información sobre el proceso.

#### <mark style="color:azul;">Las siguientes integraciones de SSO están documentadas</mark>

{% hint style="success" %}
**Consejo de Zoom**

Haga clic en el ✔ en la columna Proveedor o Documentación de Zoom para abrir una nueva ventana con las instrucciones.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentación del proveedor</th><th>Documentación de Zoom</th><th>Compatible con SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Herramienta AD Sync</td></tr><tr><td>Astuto</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Dúo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anteriormente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:azul;">Active Directory local (on-premises) puede usar la Herramienta AD Sync en lugar de SCIM</mark>

Cuentas que desean automatizar el aprovisionamiento de usuarios mediante SCIM, pero que no tienen un proveedor de identidades basado en la nube, pueden usar la aplicación Active Directory (AD) Sync Tool desarrollada por Zoom para administrar sus usuarios. Esta aplicación se ejecuta en Oracle JDK 8 y simula el aprovisionamiento de SCIM administrando usuarios mediante comandos de API. Consulte nuestro artículo de Soporte sobre la [Herramienta AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) para obtener más información.

{% hint style="success" %}
**Recomendación de Zoom**

La Herramienta AD Sync requiere una configuración precisa para Administración de usuarios. Se requiere una prueba exhaustiva y una revisión de la configuración de la herramienta antes de la implementación completa para evitar la interrupción del servicio.
{% endhint %}

#### <mark style="color:azul;">Los proveedores de identidad incluso pueden autenticar a los participantes de la reunión que no tienen una cuenta de Zoom</mark>

Las cuentas que quieren requerir que los usuarios autentiquen su identidad pero no desean proporcionar cuentas de Zoom pueden Configure un perfil de autenticación externa con su proveedor de identidad. Cuando se habilita para una reunión, los usuarios que intentan Unirse deben autenticar sus credenciales de inicio de sesión contra su proveedor de identidad para obtener Acceso. Esta es una configuración común para las escuelas que no proporcionan cuentas a todos los estudiantes, pero requieren autenticación para Unirse a las clases. Consulte nuestro artículo de Soporte sobre [configurando autenticación externa](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) para obtener más información.

#### <mark style="color:azul;">Cambiar el proveedor de identidad requiere reconfigurar SSO dentro de Zoom</mark>

Las cuentas que están cambiando de proveedor de identidad deben rehacer su configuración de SSO dentro de Zoom. Esto incluye actualizar todos los campos dentro de la página de Configuración para que coincidan con su nuevo proveedor de identidad. Se recomienda a las cuentas confirmar que las asignaciones de respuesta SAML no cambiarán con el nuevo proveedor de identidad.

No deberían ser necesarias configuraciones o Cambie adicionales, suponiendo que no haya más Cambie.

#### <mark style="color:azul;">Clientes con subcuentas pueden Configure SSO desde la cuenta principal o la subcuenta</mark>

Clientes con subcuentas tienen dos opciones para Configure SSO:

1. Todos los usuarios autenticar usando la URL mnemónica de la cuenta principal y se inician sesión automáticamente en la subcuenta mediante asignación SAML avanzada ([se aplican algunas limitaciones de asignación](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); o
2. Cada subcuenta tiene una URL mnemónica única y una configuración de SSO independiente, utilizada exclusivamente por los miembros de esa subcuenta

Cada configuración ofrece beneficios únicos, y la segunda opción ofrece la mayor flexibilidad. Los Clientes que estén considerando implementar cualquiera de las dos configuraciones deben hablar con su equipo de cuenta sobre qué configuración se adapta mejor a sus necesidades.

### Configuración y seguridad de SSO

Los administradores de Zoom pueden Seleccione las opciones óptimas de seguridad y Configuración para su Organización al configurar una Integraciones SSO con Zoom. Esta sección explica estas Configuración y sus implicaciones para una Integraciones SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de Configuración de Integraciones SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Zoom admite solicitudes SAML firmadas de inicio y cierre de sesión</mark>

Los administradores de Zoom que requieren autenticación adicional del proveedor de servicios pueden Configure Zoom para firmar todas las solicitudes de inicio y cierre de sesión al proveedor de identidad.

Las cuentas que usan esta Configuración pueden requerir una rotación de certificado si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre [rotación de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obtener más información.

#### <mark style="color:azul;">Zoom admite aserciones SAML cifradas al autenticarse</mark>

Los administradores de Zoom pueden Configure Zoom para admitir aserciones cifradas al autenticarse. Si esta Configuración está habilitada, las aserciones no cifradas se descartarán. Las cuentas que usan esta Configuración pueden requerir rotación de certificado SSO si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre [rotación de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obtener más información.

#### <mark style="color:azul;">Los administradores de Zoom pueden aplicar el cierre de sesión automático después de una duración de tiempo definida</mark>

Los administradores de Zoom pueden Configure Zoom para cerrar sesión automáticamente a los usuarios de sesiones activas después de duraciones de tiempo definidas, personalizables de 15 minutos a 180 días. Este proceso establecerá el token de Acceso de Zoom para que expire en la duración predeterminada una vez que se genere el token. Este token no tiene relación con un proveedor de identidad y es único para Zoom.

#### <mark style="color:azul;">Los registros de respuesta SAML se pueden guardar para solucionar problemas</mark>

Zoom puede guardar registros de respuesta SAML de los intentos de autenticación durante siete días después de una autenticación. Estos registros de respuesta pueden ser una herramienta invaluable para solucionar problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuesta SAML. Revise la sección sobre [solución de errores con los registros de respuesta SAML](#using-saml-response-logs-to-troubleshoot) para obtener más información.

{% hint style="success" %}
**Recomendación de Zoom**

Habilitar el guardado de los registros de respuesta SAML para facilitar la solución de problemas.
{% endhint %}

#### <mark style="color:azul;">El aprovisionamiento al iniciar sesión puede crear cuentas al instante y es la opción de aprovisionamiento más sencilla</mark>

Cuando SSO se configura para aprovisionar *Al iniciar sesión* (también conocido como aprovisionamiento justo a tiempo), cualquier usuario autorizado dentro del proveedor de identidad puede autenticar en Zoom. A los usuarios que no tengan una cuenta existente se les creará una inmediatamente al iniciar sesión.

El aprovisionamiento al iniciar sesión puede simplificar las implementaciones de Zoom en una empresa al permitir que los usuarios creen sus cuentas en el momento de la autenticación en lugar de requerir la creación proactiva del usuario. En combinación con la asignación de respuesta SAML, todo el perfil del usuario y la licencia están listos en cuestión de segundos desde la primera autenticación del usuario.

Además, el aprovisionamiento al iniciar sesión puede crear dinámicamente el tipo de inicio de sesión SSO para cuentas preexistentes. Si un usuario tiene una cuenta de Zoom existente con un Nombre de usuario y contraseña, se creará un tipo de inicio de sesión SSO al iniciar sesión con esta configuración.

#### <mark style="color:azul;">El aprovisionamiento antes de iniciar sesión requiere cuentas precreadas con un tipo de inicio de sesión SSO</mark>

Aprovisionamiento de usuarios para SSO *antes de iniciar sesión* requiere que los usuarios que se autentican tengan **ambos** una cuenta de Zoom existente y que la cuenta tenga creado un tipo de inicio de sesión SSO. Este tipo de aprovisionamiento a menudo se combina con el aprovisionamiento SCIM debido al proceso automatizado de creación de cuentas, pero no es exclusivo de él. Es poco probable que los usuarios de Zoom que se Consolidar en la cuenta de la empresa a través de Dominios asociados o una invitación directa tengan el tipo de inicio de sesión SSO.

Los administradores de Zoom pueden confirmar si una cuenta tiene un tipo de inicio de sesión SSO viendo la cuenta de usuario en la [Administración de usuarios](https://zoom.us/account/user#/) página dentro del portal web y buscando el icono “SSO” debajo del correo electrónico del usuario.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ubicación del icono de SSO debajo del correo electrónico de un usuario.</p></figcaption></figure>

Si el icono está presente, el usuario está aprovisionado para SSO; si el icono falta, el usuario no podrá Iniciar sesión a través de SSO mientras el preaprovisionamiento esté habilitado hasta que se añada. Un administrador de Zoom puede añadir este tipo de inicio de sesión Añadiendo usuarios en bloque mediante un archivo CSV y seleccionando la opción “Usuario SSO” o hacer que el usuario se autentique mientras Aprovisionar al iniciar sesión esté habilitado.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo que muestra la opción Usuario SSO para la carga masiva.</p></figcaption></figure>

{% hint style="success" %}
**Recomendación de Zoom**

Para evitar que los usuarios no puedan Iniciar sesión, use el aprovisionamiento al iniciar sesión cuando configure SSO por primera vez en una cuenta. Cambie al preaprovisionamiento si lo desea una vez que haya confirmado que sus usuarios están preaprovisionados y que dispone de métodos de preaprovisionamiento.
{% endhint %}

#### <mark style="color:azul;">Un dominio debe estar asociado y gestionado para imponer la autenticación SSO</mark>

Los administradores de Zoom pueden imponer la autenticación SSO *solo* si el dominio de correo electrónico está asociado y gestionado dentro de Zoom. Cuando esto está habilitado, todos los usuarios que se autentiquen usando el/los dominio(s) de su empresa serán redirigidos automáticamente a la página de autenticación de su proveedor de identidad, independientemente de la plataforma.

Una vez que el dominio esté aprobado y gestionado, un administrador de Zoom puede imponer la autenticación SSO a través de la [página de seguridad](https://zoom.us/account/setting/security) de **Métodos de inicio de sesión**. Consulte nuestro artículo de Soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información sobre la asociación y la gestión de un dominio.

#### <mark style="color:azul;">Los usuarios especificados pueden estar exentos de la autenticación SSO impuesta</mark>

Los administradores de Zoom pueden excluir usuarios específicos de la autenticación SSO aplicada. Excluir usuarios específicos (como un administrador de cuenta) puede ser útil si una configuración de SSO se interrumpe y un administrador de cuenta necesita acceso que no sea de SSO a la cuenta de Zoom. Los administradores que estén exentos pueden iniciar sesión en admin.zoom.us en cualquier momento en caso de bloqueo de la cuenta o de una configuración de SSO rota (el usuario debe tener la Estándar **administrador** Rol, función). Si un administrador de Zoom no tiene Acceso a la cuenta, debe ponerse en contacto con Soporte de Zoom para obtener ayuda.

Para Habilitar una excepción de usuario, navegue a la cuenta [página de seguridad](https://zoom.us/account/setting/security) en el portal web, en las opciones avanzadas, localice la lista de dominios aplicados y Añadir una excepción a través de la lista de edición.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de lista de dominios para SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Los clientes móviles y de escritorio pueden configurarse para requerir que los usuarios utilicen la autenticación SSO</mark>

Los clientes de Zoom pueden preconfigurarse para automatizar la funcionalidad de SSO, incluido el inicio de sesión automático, el cierre de sesión automático, la autenticación exclusiva de SSO en el Dispositivo y más, a través de la Directiva de grupo, los servicios de administración de Dispositivos móviles (MDM) y los clientes de implementación masiva.

Para obtener una lista completa de las posibilidades de configuración, consulte nuestras opciones de configuración para [Directiva de grupo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) y [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:azul;">Los usuarios de Office 365 pueden iniciar sesión automáticamente en el complemento Zoom para Outlook utilizando credenciales SSO</mark>

Los Clientes que usan Office 365 pueden iniciar sesión automáticamente a sus usuarios en el complemento Zoom para Outlook utilizando credenciales SSO. Esto puede combinarse con un [manifiesto personalizado del complemento](https://support.zoom.us/hc/en-us/articles/360041403311) que precompleta la URL mnemónica de la cuenta, creando una experiencia de autenticación fluida para los usuarios. Esta Características utiliza el token de sesión SSO del usuario si está activo, o solicitará una nueva autenticación con su proveedor de identidad si no se encuentra una sesión activa.

Un administrador de Zoom puede Habilitar esta configuración en la cuenta de [página de seguridad](https://zoom.us/account/setting/security) en **avanzado** menú.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de configuración de administrador para SSO con el complemento de Outlook.</p></figcaption></figure>

### Mapeo de respuesta SAML

Los atributos SAML son categorías de datos definidas por valores SAML y se utilizan para transmitir información desde el proveedor de identidad a un proveedor de servicios como Zoom. Asignar atributos y valores es esencial para automatizar la información del perfil de usuario y administrar las licencias de usuario.

El mapeo de respuesta SAML se divide en dos mitades: *básico* y *avanzado*. El mapeo Básico se usa para asignar información básica del perfil, incluidos el nombre, el número de teléfono, el departamento, etc. El mapeo avanzado se usa para gestionar asignaciones dinámicas de licencia, asignar grupos de usuarios, roles de usuario y más.

Esta sección cubre los fundamentos del mapeo de respuestas SAML, el mapeo de respuestas SAML básico y avanzado, y destaca condiciones únicas requeridas para algunas funciones.

#### <mark style="color:azul;">Fundamentos: Atributos y valores de SAML</mark>

La mayoría de los proveedores de identidad transmiten información básica del perfil usando nombres y valores de atributos simples. Por ejemplo, el departamento de un empleado puede llegar a través de SAML con un atributo de department y un valor de Human Resources. La siguiente tabla demuestra la relación entre atributos y valores al transmitir información sobre un usuario.

| Atributo SAML      | Valor SAML                     |
| ------------------ | ------------------------------ |
| firstName          | John                           |
| lastName           | Smith                          |
| correo electrónico | <john.smith@companydomain.com> |
| departamento       | Recursos Humanos               |

Al asignar correctamente un atributo SAML a una asignación de respuesta, la información del usuario puede aplicarse automáticamente a un perfil de usuario para simplificar el proceso de creación y gestión de la cuenta.

#### <mark style="color:azul;">Asignación básica: Información del perfil</mark>

La Asignación de información básica de SAML se utiliza para aplicar información del perfil como nombre, apellido, departamento, número de teléfono, centro de costos y ubicación desde un directorio al perfil de un usuario. Muchas de estas categorías son autoexplicativas y pueden configurarse fácilmente; sin embargo, algunas categorías requieren explicación para una configuración correcta a fin de evitar consecuencias imprevistas o errores de aplicación. La siguiente sección destaca opciones de asignación únicas y Configuración de configuración para la asignación básica. Consulte nuestro [artículo sobre Asignación básica de SAML](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) para obtener una lista completa de los atributos admitidos.

#### <mark style="color:azul;">El tipo de licencia predeterminado solo se aplica a</mark> *<mark style="color:azul;">usuarios completamente nuevos</mark>*

La opción de tipo de licencia predeterminado aplicará la licencia designada a todos los *completamente nuevos* usuarios que se aprovisionan dentro de la cuenta a través de SAML. Esto no se aplica a los usuarios que se autentican por segunda vez, a los usuarios que se han consolidado en la cuenta desde una cuenta anterior, a los usuarios que se aprovisionan a través de SCIM o a los usuarios que han sido invitados manualmente.

Para obtener información sobre *actualizar* licencias de usuario con autenticación, consulte la configuración de licencias en [Asignación avanzada de SAML](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">Un tipo de licencia predeterminado de</mark> *<mark style="color:azul;">Ninguno</mark>* <mark style="color:azul;">no permitirá que los nuevos usuarios se autentiquen a menos que se configure la asignación avanzada para asignar una licencia</mark>

Los usuarios de Zoom deben tener un tipo de licencia asignado (Básico, Con licencia o local) para iniciar sesión en el servicio de Zoom. Si se selecciona un tipo de licencia predeterminado de Ninguno, los nuevos usuarios no pueden Iniciar sesión ni crear una nueva cuenta a menos que reciban una licencia a través de [Asignación avanzada de SAML](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">La mayoría de las asignaciones básicas se volverán a aplicar al iniciar sesión, salvo que se especifique lo contrario</mark>

La mayoría de las asignaciones básicas de SAML se actualizarán cada vez que un usuario Iniciar sesión de forma predeterminada, *excepto* *para* nombre, apellido, nombre para mostrar y número de teléfono. De forma predeterminada, estas cuatro asignaciones solo se aplicarán la primera vez que un usuario se autentique y no se volverán a aplicar, incluso si un usuario o administrador las actualiza. Los administradores de Zoom pueden cambiar este comportamiento habilitando la opción **Actualizar en cada inicio de sesión SSO** en la página de asignación de respuesta SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de la opción Actualizar en cada inicio de sesión SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Las asignaciones de números de teléfono deben incluir un código de país y código de área si están fuera de los Estados Unidos</mark>

Los Números de teléfono asignados a través de SAML deben incluir el código de país y el código de área del usuario en la aserción SAML cuando sea posible. Zoom asumirá un código de país de +1 si no se define de forma predeterminada.

Las cuentas que no conservan los códigos de país dentro de su directorio pueden editar sus aserciones SAML en su proveedor de identidad para incluirlas automáticamente si es necesario.

#### <mark style="color:azul;">Cada usuario puede tener hasta tres Números de teléfono y un número de fax asignados a su perfil</mark>

Los administradores de Zoom pueden configurar hasta tres asignaciones de Números de teléfono independientes y una asignación de número de fax para cada usuario. Cada número de teléfono debe ser único y no puede duplicar el valor de otro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de opciones de números de teléfono para cada usuario.</p></figcaption></figure>

#### <mark style="color:azul;">Las imágenes de perfil deben asignarse desde una URL de acceso público o codificarse con Base64</mark>

Las cuentas que quieran asignar imágenes de perfil desde su directorio deben asignar las imágenes mediante una URL de acceso público o codificar la imagen en Base64 al realizar la aserción.

#### ID único del empleado

<mark style="color:azul;">**El ID único del empleado cambia el identificador principal que Zoom usa para identificar a los usuarios**</mark>

La *ID único del empleado* es una característica que Zoom ofrece para ayudar con la gestión de identidades. De forma predeterminada, la identificación principal de un usuario de Zoom es su **correo electrónico** **dirección de correo electrónico**. Esto significa que, si el tipo de inicio de sesión del correo electrónico de trabajo es **<john.smith@company.com>**, entonces Zoom siempre identificará a este usuario por esa dirección de correo electrónico. Este identificador es lo que permite que integraciones como SSO o cuentas OAuth de Facebook y Google asocien al usuario con la misma cuenta de Zoom.

Sin embargo, este proceso de identificación puede ser problemático si el nombre o el correo electrónico de un usuario cambia. Por ejemplo, si **<john.smith@company.com>** tiene un cambio de correo electrónico a **<jonathan.smith@company.com>**, Zoom no puede determinar de forma segura que se trata de la misma persona (porque el identificador fundamental es diferente), por lo que Zoom creará una nueva cuenta la primera vez **<jonathan.smith@company.com>** inicia sesión.

Para simplificar este problema, Zoom ofrece la Características de ID único de empleado, que cambia el identificador principal de un usuario de su dirección de correo electrónico a un ID único establecido. *Esto no Cambie el Nombre de usuario de Zoom de un usuario*, sino que ofrece un atributo de identificación alternativo. Este Cambie permite a Zoom actualizar dinámicamente la dirección de correo electrónico de un usuario dentro de Zoom si:

* un *nuevo* la dirección de correo electrónico va acompañada de un ID único de empleado conocido; y
* el dominio de correo electrónico del usuario afectado está asociado dentro de Zoom

Por ejemplo, si **<john.smith@company.com>** se autentica y pasa un valor SAML de 12345 (su número de empleado) para el atributo de ID único de empleado, Zoom ahora identificará al usuario dentro de la cuenta por el valor declarado. Si John se autentica de nuevo usando el correo electrónico **<jonathan.smith@company.com>** mientras sigue pasando el ID único de empleado de 12345, Zoom identificará que <john.smith@company.com> ahora es **<jonathan.smith@company.com>** y actualizará dinámicamente el correo electrónico del usuario dentro de la cuenta si el dominio está asociado.

Los administradores de identidad deben estar *seguros* de que no habrá superposición entre dos usuarios con el mismo valor de ID único de empleado antes de establecer el mapeo SAML para esta categoría. Si otro usuario se autentica y pasa el mismo valor, el correo electrónico se actualizará nuevamente para el nuevo usuario y puede causar una interrupción significativa en los servicios y la experiencia del usuario.

<mark style="color:azul;">**La Características de ID único de empleado requiere Dominios asociados para cambiar el correo electrónico de un usuario**</mark>

La Características de ID único de empleado no puede actualizar la dirección de correo electrónico de un usuario a menos que el dominio del correo electrónico esté oficialmente asociado con el perfil de la cuenta. Consulte nuestro artículo de soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información.

<mark style="color:azul;">**Los administradores y Propietarios no pueden actualizar su correo electrónico a través del ID único de empleado**</mark>

Los correos electrónicos de administrador y propietario dentro de Zoom no se pueden actualizar a través de la Características de ID único de empleado. Esto está pensado como medida de seguridad para evitar el acceso no autorizado. Los administradores y propietarios deben cambiar su correo electrónico a través de la página de su perfil.

<mark style="color:azul;">**Los correos electrónicos de los usuarios solo se pueden actualizar una vez al día a través del ID único de empleado**</mark>

Los correos electrónicos de usuario solo se pueden actualizar una vez cada 24 horas a través de la característica de ID único de empleado. Un usuario debe esperar un día completo de calendario desde la actualización anterior antes de volver a actualizar su correo electrónico mediante SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de un flujo de ejemplo para actualizar los correos electrónicos de usuario.</p></figcaption></figure>

<mark style="color:azul;">**Establecer el atributo SAML en \<NameID> usará el NameID afirmado del usuario**</mark>

Asignar el atributo SAML de ID único de empleado a **\<NameID>** usará automáticamente el valor NameID afirmado del usuario como su identificador único. Esto puede ser una herramienta beneficiosa si su proveedor de identidad afirma un NameID diferente al correo electrónico de un usuario, como un Nombre principal de usuario (UPN) o un valor similar que no cambia. No use este valor si los NameID de los usuarios coinciden con su correo electrónico.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de la configuración de administrador &#x3C;NameID>.</p></figcaption></figure>

### Asignación avanzada: licencias, complementos y Acceso

La sección de Asignación de información avanzada de SAML puede aplicar dinámicamente licencias (incluido Zoom Phone), complementos y grupos de Acceso de usuario a los usuarios mientras se autentican. A diferencia de la asignación básica, la asignación avanzada contiene muchas particularidades que pueden requerir una atención diligente al configurarla, dependiendo de la complejidad de su entorno. Esta sección destaca las particularidades para configurar la asignación avanzada de SAML. Consulte nuestro [artículo sobre asignación avanzada de SAML](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) para obtener una lista completa de los atributos admitidos.

#### <mark style="color:azul;">El mapeo avanzado se aplica cada vez que un usuario se autentica</mark>

A diferencia del mapeo básico, que tiene actualizaciones opcionales para algunas categorías, las configuraciones de mapeo avanzado se aplicarán cada vez que un usuario se autentique, de acuerdo con el orden de aplicación de arriba hacia abajo.

Por ejemplo, si un usuario tiene una licencia básica y luego se autentica mediante SSO pasando un atributo y un valor SAML asignados para otorgar una licencia completa, al usuario se le concederá instantáneamente la licencia completa. Si luego el perfil del usuario se cambia dentro del proveedor de identidad para volver a asignarle una licencia básica, se le reasignará la licencia básica una vez que vuelva a autenticarse en Zoom.

#### <mark style="color:azul;">El mapeo avanzado permite múltiples atributos y valores SAML por categoría</mark>

A diferencia del mapeo básico, que permite solo un atributo SAML por categoría, el mapeo avanzado puede admitir múltiples atributos y valores para cada categoría. Esto ofrece una flexibilidad significativa al gestionar la licencia y el acceso de los usuarios a través de grupos de seguridad dentro de su proveedor de identidad, como se ve en la siguiente configuración.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de mapeo de atributos para SAML.</p></figcaption></figure>

{% hint style="success" %}
**Consejo de Zoom**

Los atributos SAML pueden variar según el proveedor de identidad, especialmente en el caso de los grupos de seguridad. Confirme con su proveedor de identidad o a través de [registros de respuestas SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) cómo se afirman los atributos SAML.
{% endhint %}

#### <mark style="color:azul;">El mapeo avanzado aplica las licencias de arriba hacia abajo cuando se afirman múltiples atributos</mark>

Si un usuario pasa varios atributos o valores SAML que están configurados para el mapeo avanzado de SAML, Zoom asignará las licencias de arriba hacia abajo. Vea el siguiente ejemplo:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de selección del tipo de licencia en la Configuración de administrador.</p></figcaption></figure>

De acuerdo con la configuración anterior, si un usuario pasara un atributo para ambos **global\_users** y **marketing**, porque **marketing** es el más alto en la configuración, este atributo se aplicará al usuario y los atributos aplicables restantes se ignorarán.

Alternativamente, si la configuración se estableciera con **global\_users** como el más alto, como se ve en la siguiente captura de pantalla, si la afirmación de un usuario contenía **global\_users**, **marketing**, **human** **recursos**, y **TI**, porque **global\_users** es la prioridad más alta, solo se aplicará una licencia Básico.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de ajuste del orden de prioridad</p></figcaption></figure>

Los administradores de Zoom pueden ajustar el orden de aplicación al editar los valores de asignación usando las flechas ↑↓ dentro del editor.

{% hint style="success" %}
**Recomendación de Zoom**

Configure las configuraciones avanzadas de la más específica a la más general para evitar la aplicación incorrecta de licencias.
{% endhint %}

#### <mark style="color:azul;">Las asignaciones de seminario web y Reunión grande pueden compartir un valor común para aplicar ambos complementos</mark>

Para simplificar el proceso de aplicación, los administradores de Zoom pueden Configure el mismo atributo y valor de SAML dos veces para aplicar ambos complementos de seminario web y reunión grande a los usuarios, como se ve en la siguiente imagen con el valor **global\_users** valor. Estos complementos también se pueden configurar de forma independiente si se desea, como se muestra con los **solo\_seminario\_web** y **solo\_reunión\_grande** valores.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de atributos SAML para solo_reunión_grande y solo_seminario_web.</p></figcaption></figure>

#### <mark style="color:azul;">Los usuarios pueden añadirse a múltiples grupos de usuarios usando un valor de SAML</mark>

Los administradores de Zoom pueden Configure la asignación de grupos de usuarios para Añadir un usuario a múltiples grupos con un valor de SAML.

El primer grupo de usuarios añadido se establecerá como el grupo principal del usuario y determinará la Configuración predeterminado del usuario *a menos que un grupo subyacente tenga una configuración bloqueada*. Para obtener más información sobre los grupos de usuarios, consulte nuestro [artículo de soporte](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de asignación de múltiples grupos de usuarios.</p></figcaption></figure>

#### <mark style="color:azul;">Los usuarios especificados y los grupos de usuarios pueden quedar exentos de asignaciones SAML específicas</mark>

Cada opción en Asignación avanzada de SAML se puede configurar para eximir a usuarios específicos y grupos de usuarios del comportamiento de asignación. Esto puede ser beneficioso para evitar interrupciones del servicio para usuarios VIP debido a un posible Cambie en las licencias.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de exenciones de usuarios.</p></figcaption></figure>

#### <mark style="color:azul;">La asignación automática asigna automáticamente usuarios a un grupo de Usuario, canal o MI con el nombre de su valor SAML declarado si el valor no está previamente asignado a un grupo</mark>

La asignación automática se puede usar para asignar automáticamente usuarios a un grupo de usuarios, canal y grupo de MI con el nombre de su valor SAML declarado. A diferencia de otros componentes de asignación avanzada, que se pueden configurar para Asignar un usuario a cualquier grupo según el valor de SAML, la asignación automática siempre asigna un usuario a un grupo según el valor exacto de SAML. Si el grupo no existía previamente, se creará automáticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de asignación automática de SAML.</p></figcaption></figure>

Por ejemplo, si la asignación automática está configurada para asignar un usuario a los grupos según su departamento, si el valor de su departamento aún no está definido para el grupo de usuarios, canal o grupo de MI, los usuarios se asignarán automáticamente a un grupo que coincida con el nombre de su departamento, como se muestra en la siguiente tabla:

| Atributo SAML | Valor SAML       | ¿Ya existe el grupo de Zoom? | Resultado                                                          |
| ------------- | ---------------- | ---------------------------- | ------------------------------------------------------------------ |
| Departamento  | Recursos Humanos | Sí                           | Usuario añadido al grupo de Recursos Humanos                       |
| Departamento  | Marketing        | Sí                           | Usuario añadido al grupo de Marketing                              |
| Departamento  | Ventas           | No                           | Se crea el grupo de Ventas, el usuario se añade al grupo de Ventas |

#### Zoom admite hasta cinco atributos SAML personalizados

Los administradores de Zoom pueden Configure hasta *cinco* atributos SAML personalizados para Añadir datos del usuario a su perfil de Zoom en la página de [administración avanzada de usuarios](https://zoom.us/account/user#/advanced) página. Después de Añadir los campos personalizados, los administradores de Zoom pueden Configure la asignación en la [Mapeo de respuesta SAML](https://zoom.us/account/sso/mapping) página.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de atributos SAML personalizados</p></figcaption></figure>

#### <mark style="color:azul;">Asignar usuarios a una subcuenta</mark> *<mark style="color:azul;">solo</mark>* <mark style="color:azul;">aplicar una licencia de reunión y complementos</mark>

Asignar un usuario a una subcuenta solo aplicará la licencia de reunión del usuario y complementos como Seminario web y Reuniones grandes a la subcuenta. Los grupos de usuarios, grupos de MI, roles de usuario, etc., no se aplicarán y deben configurarse dentro de la subcuenta.

Los Clientes que requieren más flexibilidad para la asignación de respuestas SAML con subcuentas necesitarán una URL mnemónica única y una nueva configuración de SSO dentro de la subcuenta.

### Solución de problemas de SSO

#### <mark style="color:azul;">Uso de registros de respuesta SAML para solucionar problemas</mark>

Los registros de respuesta SAML guardados pueden ser una herramienta invaluable para solucionar problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuestas SAML. Si su configuración de SSO está configurada para guardar registros de respuesta SAML, se puede acceder a ellos a través de la [Registro de respuesta SAML](https://zoom.us/account/sso/saml_logs) pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Para ver los registros de respuesta SAML, haga clic en **Ver detalles** junto a un intento de autenticación.

#### <mark style="color:azul;">La mayoría de las autenticaciones se mostrarán en los registros de respuesta</mark>

La mayoría de los intentos de autenticación fallidos o no exitosos se mostrarán en la página de registros de respuesta. Si un intento de autenticación no se muestra, lo más probable es que Zoom no haya recibido una aserción SAML de su proveedor de identidad, o que el guardado de registros de respuesta SAML esté deshabilitado.

#### <mark style="color:azul;">Los registros de respuesta pueden indicarle si su configuración es incorrecta o si su certificado está desactualizado</mark>

Cuando los registros de respuesta SAML están habilitados, la información del proveedor de identidad se aserta a Zoom para autenticar identidades de cada parte. Si una configuración o cadena de información asertada, como el certificado X509 o el ID del emisor, es diferente de la configuración actual de Zoom, aparecerá un error que indicará que la información “no coincide con la configuración actual de SSO”. Un administrador de Zoom puede actualizar la configuración de SSO para que coincida con estos valores asertados, si son correctos, para resolver el error.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de advertencias de configuración incorrecta.</p></figcaption></figure>

#### <mark style="color:azul;">Los registros de respuesta indican qué valores y atributos SAML se están asertando</mark>

Revisar los registros de respuesta puede ayudar a resolver configuraciones de asignación de respuestas SAML al verificar qué atributos y valores están asertando los usuarios al autenticarse. Estos se pueden comparar con la configuración para asegurarse de que los atributos y valores coincidan.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de información asertada por el servicio del proveedor de identidad.</p></figcaption></figure>

Si faltan atributos o valores SAML, la información no está siendo asertada por el servicio del proveedor de identidad. Se recomienda a los usuarios que experimenten este problema que se pongan en contacto con los servicios de soporte de su proveedor de identidad para obtener más ayuda.

#### <mark style="color:azul;">Los registros de respuesta incluyen un código de error y una breve explicación, si no es exitoso</mark>

Si un usuario no puede autenticar o recibe un error, los registros de respuesta SAML contienen un código de error y una breve explicación del error.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de código de error y explicación.</p></figcaption></figure>

La mayoría de los problemas se pueden identificar y resolver usando estos mensajes de error. Si no puede resolver el error, póngase en contacto con Soporte de Zoom para obtener asistencia adicional.

#### <mark style="color:azul;">Errores de ID de seguimiento web</mark>

Si un usuario falla la autenticación SSO, recibirá un código de error de ID de seguimiento WEB. Estos códigos no son un mensaje de error relacionado con un fallo específico, sino un ID de registro único que se puede revisar en la Asignación de respuestas SAML para identificar problemas de autenticación.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de un error visible para el usuario con un código de error de ID de seguimiento WEB.</p></figcaption></figure>

Para identificar el error, si el registro de respuestas SAML está habilitado, vaya a la [Registro de respuesta SAML](https://zoom.us/account/sso/saml_logs) pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Desde allí, introduzca el ID de seguimiento WEB en el campo ID de seguimiento y busque para poblar el registro de respuesta

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de búsqueda en el Registro de respuesta SAML con el mencionado código de error de ID de seguimiento WEB.</p></figcaption></figure>

Los registros de respuesta SAML deberían mostrar la aserción SAML y un código de error y mensaje al final de la respuesta que pueden usarse para una solución de problemas adicional.

### Errores de SCIM

#### <mark style="color:azul;">El usuario no existe o no pertenece a esta cuenta</mark>

Este error ocurre cuando la dirección de correo electrónico de un usuario objetivo no se puede aprovisionar debido a una cuenta ya existente. Se recomienda a los administradores de Zoom que se pongan en contacto directamente con el usuario y lo inviten manualmente a la cuenta.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de un error de aprovisionamiento.</p></figcaption></figure>

#### <mark style="color:azul;">No puede añadir usuarios de pago</mark>

Este error ocurre cuando SCIM intenta aprovisionar a un usuario cuando no hay licencias adecuadas en la cuenta. Para resolver el error, el usuario debe ser aprovisionado como usuario Básico, o debe ponerse una licencia a disposición para el aprovisionamiento.

### Uso de registros SCIM para solucionar problemas de aprovisionamiento de usuarios

Zoom proporciona los 100 registros más recientes de solicitudes API en el [Zoom Marketplace](https://marketplace.zoom.us/). Un administrador de Zoom puede usar estos registros para confirmar qué información se está enviando y recibiendo a través de las API de aprovisionamiento. Para acceder a los registros, inicie sesión en Zoom Marketplace como administrador de Zoom y haga clic en **Administrar**. En la página siguiente, seleccione **Registros de llamadas** de **Administración de aplicaciones personales**. A partir de ahí, haga clic en una entrada para expandir los registros API y revisar el contenido.

La siguiente imagen muestra un ejemplo de una solicitud de aprovisionamiento de usuario SCIM, con la identidad del usuario y los atributos de licencia resaltados como referencia.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de una solicitud de aprovisionamiento de usuario SCIM.</p></figcaption></figure>

Al igual que la asignación de respuestas SAML, Zoom solo puede aplicar la información que se envía desde el proveedor de identidad en la solicitud de aprovisionamiento. Use estos registros para confirmar que la identidad del usuario y los atributos de licencia se están enviando desde el proveedor de identidad. Si falta la información esperada en estas aserciones, póngase en contacto con su proveedor de identidad para obtener soporte.

### Flujos de datos y autenticación

#### <mark style="color:azul;">Autenticación SAML</mark>

El siguiente diagrama detalla el flujo de autenticación SAML de un usuario al iniciar una sesión de Inicio de sesión único con Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de un ejemplo de flujo de autenticación SAML.</p></figcaption></figure>

#### <mark style="color:azul;">Token de inicio de sesión web de SSO</mark>

Después de que un usuario autentica a través de SAML, la sesión del usuario se crea dentro de su navegador y tiene

una vida de dos horas de forma predeterminada. Si el usuario continúa usando activamente su página web de Zoom, la sesión se actualizará; sin embargo, si el usuario no usa su página web durante dos horas, el token expirará y el usuario deberá volver a autenticarse. Los administradores de Zoom pueden Configure esta duración de la sesión activa en la [Seguridad](https://zoom.us/account/setting/security) página en Los usuarios deben iniciar sesión de nuevo después de un período de inactividad y **Establecer período de inactividad en la web (minutos)**.

#### <mark style="color:azul;">Token de inicio de sesión del cliente</mark>

Cuando un usuario intenta autenticar mediante SSO dentro de un cliente, la máquina del usuario abrirá un navegador y lo redirigirá a la página de inicio de sesión del proveedor de identidad. Después de que un usuario autentica, el navegador del usuario recibirá un token de lanzamiento del cliente de Zoom. Una vez que un usuario hace clic en el botón “open” o “launch”, el navegador usa el esquema de URL combinado con el token de lanzamiento para abrir el cliente de Zoom.

El cliente de Zoom usará el token de lanzamiento para obtener el token de Acceso y el token de actualización del servidor de Zoom. El cliente usará el token de Acceso durante un período de dos horas a la vez y, al expirar, usará el token de actualización para obtener un nuevo conjunto de tokens, que se almacenan dentro de la base de datos local del cliente. Este proceso de actualización es ilimitado de forma predeterminada y puede seguir ciclando tokens hasta que un usuario cierre sesión o los tokens expiren. Los administradores de Zoom pueden personalizar la duración de la sesión en la [Configuración de SSO](https://zoom.us/account/sso) página en [*aplicar cierre de sesión automático*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).