# Guía de campo de SSO

### Introducción

Integrar el inicio de sesión único (SSO) con Zoom ofrece a los administradores opciones de Administración de usuarios y seguridad que pueden simplificar la gestión de la cuenta. Una vez configurado, los usuarios se autentican usando las credenciales de su empresa frente al proveedor de identidad de su empresa en lugar de usar métodos de autenticación alternativos como integraciones con Google o Facebook, o un Nombre de usuario y contraseña directos con Zoom.

Este documento proporciona una visión general completa de las configuraciones y Configuración de SSO dentro de Zoom, además de información sobre solución de problemas y seguridad.

### Integraciones de SSO

#### <mark style="color:azul;">SSO requiere una URL mnemónica para comenzar</mark>

Una cuenta debe tener una URL mnemónica aprobada antes de configurar SSO. Una vez que se apruebe la URL mnemónica, los administradores de Zoom pueden acceder a la [configuración de SSO](https://zoom.us/account/sso) página a través del submenú de opciones avanzadas en el portal web. Consulte nuestro artículo de Soporte sobre [URL mnemónicas](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) para obtener más información.

#### <mark style="color:azul;">Zoom SSO funciona con cualquier proveedor de identidad SAML 2.0</mark>

Zoom puede integrarse con cualquier proveedor de identidad que admita autenticación de Lenguaje de marcado de aserción de seguridad (SAML) 2.0. Aunque hay muchas guías de integración documentadas, algunos proveedores de identidad no ofrecen documentación para la integración con Zoom. Se anima a las cuentas que no puedan localizar las instrucciones de configuración a ponerse en contacto con su proveedor de identidad para obtener más información.

#### <mark style="color:azul;">Los administradores de Zoom pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o integraciones SCIM</mark>

Los administradores pueden gestionar la información del perfil de usuario y las licencias mediante el mapeo de respuestas SAML o solicitudes de la interfaz de programación de aplicaciones (API) de System for Cross-Domain Identity Management (SCIM), según las funciones disponibles del proveedor de identidad. Ambos métodos de administración de usuarios ofrecen una funcionalidad casi equivalente para el mapeo de la información del perfil y la gestión de licencias, pero algunos mapeos SCIM requieren configuración manual.

Para obtener una lista completa de las capacidades de SCIM, consulte nuestra [documentación de la API de SCIM](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:azul;">Los administradores de Zoom pueden gestionar el estado de la cuenta de usuario mediante SCIM, pero no SAML</mark>

Como SCIM permite a los proveedores de identidad comunicarse directamente con Zoom en cualquier momento, las cuentas de usuario pueden ser *activadas*, *desactivado*, *creado*, o *eliminado* a través de integraciones SCIM automáticamente. Por ejemplo, si la cuenta de un usuario en Active Directory está deshabilitada, o si no se le ha asignado la aplicación, SCIM puede enviar una solicitud automática de desactivación para la cuenta del usuario dentro de Zoom. Características es dependiente de las capacidades de la aplicación SCIM del proveedor de identidades y la funcionalidad puede variar según el proveedor.

#### <mark style="color:azul;">Solo algunos proveedores de identidad ofrecen SCIM para Zoom</mark>

Muchos proveedores de identidad no tienen una SCIM Integraciones creada para Zoom como parte de sus servicios. Las cuentas que usan un proveedor de identidad que no admite SCIM con Zoom deben usar el mapeo de respuestas SAML para la administración automatizada de usuarios.

#### <mark style="color:azul;">SCIM requiere un dominio asociado para aprovisionar usuarios automáticamente</mark>

Cuentas que usan SCIM para gestionar y aprovisionar usuarios para SSO **debe** asocie el dominio de correo electrónico con Zoom. Si no se asocia el dominio, se producirán fallos de aprovisionamiento de usuarios. Consulte nuestro artículo de Soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información sobre el proceso.

#### <mark style="color:azul;">Las siguientes integraciones SSO están documentadas</mark>

{% hint style="success" %}
**Consejo de Zoom**

Haga clic en ✔ en la columna Proveedor o Documentación de Zoom para abrir una nueva ventana con las instrucciones.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentación del proveedor</th><th>Documentación de Zoom</th><th>Compatible con SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>Herramienta AD Sync</td></tr><tr><td>Inteligente</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Dúo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anteriormente Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:azul;">Active Directory local puede usar la Herramienta AD Sync en lugar de SCIM</mark>

Las cuentas que desean automatizar el aprovisionamiento de usuarios mediante SCIM, pero no tienen un proveedor de identidad basado en la nube, pueden usar la herramienta de Sincronizar de Active Directory (AD) application desarrollada por Zoom para administrar sus usuarios. Esta aplicación se ejecuta en Oracle JDK 8 y simula el aprovisionamiento de SCIM administrando usuarios mediante comandos de API. Consulte nuestro artículo de Soporte sobre la [Herramienta AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) para obtener más información.

{% hint style="success" %}
**Recomendación de Zoom**

La Herramienta AD Sync requiere una configuración precisa para Administración de usuarios. Se requiere una prueba exhaustiva y la revisión de la configuración de la herramienta antes de la implementación completa para evitar interrupciones del servicio.
{% endhint %}

#### <mark style="color:azul;">Los proveedores de identidad incluso pueden autenticar a los participantes de la reunión que no tienen una cuenta de Zoom</mark>

Las cuentas que desean exigir a los usuarios que autentiquen su identidad pero no quieren proporcionar cuentas de Zoom pueden Configure un perfil de autenticación externo con su proveedor de identidad. Cuando se habilita para una reunión, los usuarios que intenten Unirse deben autenticar sus credenciales de inicio de sesión con su proveedor de identidad para obtener Acceso. Esta es una configuración común para las escuelas que no proporcionan cuentas a todos los estudiantes, pero requieren autenticación para Unirse a las clases. Consulte nuestro artículo de Soporte sobre [configurando la autenticación externa](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) para obtener más información.

#### <mark style="color:azul;">Cambie el proveedor de identidad requiere volver a configurar SSO dentro de Zoom</mark>

Las cuentas que están cambiando de proveedor de identidad deben rehacer su configuración de SSO dentro de Zoom. Esto incluye actualizar todos los campos dentro de la página de configuración para que coincidan con su nuevo proveedor de identidad. Se recomienda a las cuentas confirmar que los mapeos de respuesta SAML no cambiarán con el nuevo proveedor de identidad.

No deberían requerirse configuraciones o cambios adicionales, suponiendo que no haya más cambios.

#### <mark style="color:azul;">Clientes con subcuentas pueden configurar SSO desde la cuenta principal o la subcuenta</mark>

Clientes con subcuentas tienen dos opciones para configurar SSO:

1. Todos los usuarios autentican usando la URL mnemónica de la cuenta principal y se inician sesión automáticamente en la subcuenta mediante mapeo avanzado SAML ([se aplican algunas limitaciones de mapeo](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)); o
2. Cada subcuenta tiene una URL mnemónica única y una configuración de SSO independiente, usada exclusivamente por los miembros de esa subcuenta

Cada configuración ofrece beneficios únicos, y la segunda opción ofrece la mayor flexibilidad. Los Clientes que consideren la implementación de cualquiera de las dos configuraciones deben hablar con su equipo de cuenta sobre qué configuración se adapta mejor a sus necesidades.

### SSO Configuración y Seguridad

Los administradores de Zoom pueden Seleccione las opciones óptimas de seguridad y Configuración para su Organización al configurar una Integraciones de SSO con Zoom. Esta sección explica estas Configuración y sus implicaciones para una Integraciones de SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de Configuración de Integraciones de SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Zoom admite solicitudes SAML de inicio de sesión y cierre de sesión firmadas</mark>

Los administradores de Zoom que requieren autenticación adicional del proveedor de servicios pueden Configure Zoom para firmar todas las solicitudes de inicio de sesión y cierre de sesión al proveedor de identidad.

Las cuentas que usan esta Configuración pueden requerir una rotación de certificado si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre [rotación de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obtener más información.

#### <mark style="color:azul;">Zoom admite afirmaciones SAML cifradas al autenticarse</mark>

Los administradores de Zoom pueden Configure Zoom para admitir afirmaciones cifradas al autenticarse. Si esta Configuración está habilitada, las afirmaciones no cifradas se descartarán. Las cuentas que usan esta Configuración pueden requerir la rotación del certificado de SSO si su proveedor de identidad no admite la actualización dinámica de metadatos. Consulte nuestro artículo de Soporte sobre [rotación de certificado](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) para obtener más información.

#### <mark style="color:azul;">Los administradores de Zoom pueden aplicar el cierre de sesión automático después de una duración de tiempo definida</mark>

Los administradores de Zoom pueden Configure Zoom para cerrar automáticamente la sesión de los usuarios de las sesiones activo después de duraciones de tiempo definidas, personalizables de 15 minutos a 180 días. Este proceso establecerá que el token de Acceso de Zoom expire en la duración predeterminada una vez que se genere el token. Este token no tiene relación con un proveedor de identidad y es exclusivo de Zoom.

#### <mark style="color:azul;">Los registros de respuesta SAML se pueden guardar para la solución de problemas</mark>

Zoom puede guardar registros de respuesta SAML de los intentos de autenticación durante siete días después de una autenticación. Estos registros de respuesta pueden ser una herramienta invaluable para la solución de problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuestas SAML. Revise la sección sobre [solución de problemas de errores con los registros de respuesta SAML](#using-saml-response-logs-to-troubleshoot) para obtener más información.

{% hint style="success" %}
**Recomendación de Zoom**

Habilitar guardar los registros de respuesta SAML para facilitar la solución de problemas.
{% endhint %}

#### <mark style="color:azul;">El aprovisionamiento al iniciar sesión puede crear cuentas al instante y es la opción de aprovisionamiento más sencilla</mark>

Cuando SSO está configurado para aprovisionar *Al iniciar sesión* (también conocido como aprovisionamiento justo a tiempo), cualquier usuario autorizado dentro del proveedor de identidad puede autenticar en Zoom. A los usuarios que no tengan una cuenta existente se les creará una inmediatamente al iniciar sesión.

El aprovisionamiento en el inicio de sesión puede simplificar las implementaciones de Zoom en una empresa al permitir que los usuarios creen sus cuentas en el momento de la autenticación, en lugar de requerir la creación proactiva de usuarios. Combinado con la asignación de respuestas SAML, un perfil de usuario completo y la licencia quedan listos en segundos tras la primera autenticación del usuario.

Además, el aprovisionamiento en el inicio de sesión puede crear dinámicamente el tipo de inicio de sesión SSO para cuentas preexistentes. Si un usuario tiene una cuenta de Zoom existente con un Nombre de usuario y contraseña, se creará un tipo de inicio de sesión SSO al iniciar sesión con esta configuración.

#### <mark style="color:azul;">El aprovisionamiento antes del inicio de sesión requiere cuentas precreadas con un tipo de inicio de sesión SSO</mark>

Aprovisionamiento de usuarios para SSO *antes del inicio de sesión* requiere que los usuarios que se autentican tengan **ambos** una cuenta de Zoom existente, y que la cuenta tenga creado un tipo de inicio de sesión SSO. Este tipo de aprovisionamiento a menudo se combina con el aprovisionamiento SCIM debido al proceso automatizado de creación de cuentas, pero no es exclusivo de él. Es poco probable que los usuarios de Zoom que se consolidan en la cuenta de la empresa a través de Dominios asociados o de una invitación directa tengan el tipo de inicio de sesión SSO.

Los Administradores de Zoom pueden confirmar si una cuenta tiene un tipo de inicio de sesión SSO al ver la cuenta de usuario en la [Administración de usuarios](https://zoom.us/account/user#/) página dentro del portal web y buscar el icono de «SSO» debajo del correo electrónico del usuario.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ubicación del icono de SSO debajo del correo electrónico de un usuario.</p></figcaption></figure>

Si el icono está presentar, el usuario está aprovisionado para SSO; si falta el icono, el usuario no podrá iniciar sesión mediante SSO mientras la preaprovisionación esté habilitada hasta que se añada. Un administrador de Zoom puede Añadir este tipo de inicio de sesión añadiendo usuarios en bloque mediante un archivo CSV y seleccionando la opción «Usuario de SSO» o hacer que el usuario se autenticar mientras Aprovisionar al Iniciar sesión esté habilitado.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo que muestra la opción Usuario de SSO para la carga masiva.</p></figcaption></figure>

{% hint style="success" %}
**Recomendación de Zoom**

Para evitar que los usuarios no puedan iniciar sesión, use el aprovisionamiento al iniciar sesión cuando configure SSO por primera vez en una cuenta. Cambie a la preaprovisionación si lo desea una vez que haya confirmado que sus usuarios están preaprovisionados y que tiene métodos de preaprovisionación implementados.
{% endhint %}

#### <mark style="color:azul;">Se debe asociar y gestionar un dominio para aplicar la autenticación SSO</mark>

Los administradores de Zoom pueden aplicar la autenticación SSO *solo* si el dominio de correo electrónico está asociado y gestionado dentro de Zoom. Cuando esto está habilitado, todos los usuarios que se autentiquen usando el/los dominio(s) de su empresa serán redirigidos automáticamente a la página de autenticación de su proveedor de identidad, independientemente de la plataforma.

Una vez que el dominio esté aprobado y gestionado, un administrador de Zoom puede aplicar la autenticación SSO a través de la [página de seguridad](https://zoom.us/account/setting/security) debajo **Métodos de inicio de sesión**. Consulte nuestro artículo de Soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información sobre la asociación y administración de un dominio.

#### <mark style="color:azul;">Los usuarios especificados pueden estar exentos de la autenticación SSO obligatoria</mark>

Los administradores de Zoom pueden excluir usuarios específicos de la autenticación de SSO impuesta. Excluir usuarios específicos (como una cuenta de administrador) puede ser útil si una configuración de SSO se interrumpe y un administrador de cuenta necesita Acceso que no sea de SSO a la cuenta de Zoom. Los administradores que estén exentos pueden iniciar sesión en admin.zoom.us en cualquier momento en caso de un bloqueo de cuenta o una configuración de SSO interrumpida (el usuario debe tener el estándar **administrador** Rol, función). Si un administrador de Zoom no puede acceder a la cuenta, debe realizar contacto con Soporte de Zoom para obtener ayuda.

Para Habilitar una excepción de usuario, navegue hasta la cuenta [página de seguridad](https://zoom.us/account/setting/security) en el portal web, en opciones avanzadas, localice la lista de dominios aplicados y añada una excepción mediante la lista de edición.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de lista de dominios para SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Los clientes móviles y de escritorio pueden configurarse para exigir a los usuarios que utilicen autenticación SSO</mark>

Los clientes de Zoom pueden preconfigurarse para automatizar la funcionalidad de SSO, incluido el inicio de sesión automático, el cierre de sesión automático, la autenticación exclusiva de SSO en el Dispositivo y más, mediante la Directiva de grupo, los servicios de gestión de Dispositivo móvil (MDM) y los clientes de implementación masiva.

Para obtener una lista completa de las posibilidades de configuración, consulte nuestras opciones de configuración para [Directiva de grupo](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) y [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:azul;">Los usuarios de Office 365 pueden iniciar sesión automáticamente en el complemento Zoom para Outlook utilizando credenciales SSO</mark>

Clientes que usan Office 365 pueden iniciar sesión automáticamente en sus usuarios en el complemento Zoom para Outlook utilizando credenciales SSO. Esto se puede combinar con un [manifiesto personalizado del complemento](https://support.zoom.us/hc/en-us/articles/360041403311) que completa previamente la URL mnemónica de la cuenta, creando una experiencia de autenticación fluida para los usuarios. Esta Características utiliza el token de sesión SSO del usuario si está activo, o solicitará una nueva autenticación con su proveedor de identidad si no se encuentra una sesión activa.

Un administrador de Zoom puede habilitar esta configuración en la cuenta [página de seguridad](https://zoom.us/account/setting/security) en **avanzado** menú.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de configuración de administrador para SSO con el complemento de Outlook.</p></figcaption></figure>

### Asignación de respuesta SAML

Los atributos SAML son categorías de datos definidas por valores SAML y se utilizan para փոխանցir información del proveedor de identidad a un proveedor de servicios como Zoom. La asignación de atributos y valores es esencial para automatizar la información del perfil del usuario y administrar las licencias del usuario.

La asignación de respuesta SAML se divide en dos mitades: *básico* y *avanzado*. La asignación Básico se utiliza para asignar información básica del perfil, incluido el nombre, el número de teléfono, el departamento, etc. La asignación avanzada se utiliza para administrar asignaciones dinámicas de licencia, asignar grupos de usuario, roles de usuario y más.

Esta sección cubre los fundamentos de la asignación de respuesta SAML, la asignación de respuesta SAML básico y avanzada, y destaca las condiciones únicas requeridas para algunas funciones.

#### <mark style="color:azul;">Fundamentos: atributos y valores SAML</mark>

La mayoría de los proveedores de identidad transmiten información básica del perfil mediante nombres y valores de atributos sencillos. Por ejemplo, el departamento de un empleado puede llegar a través de SAML con un atributo de department y un valor de Recursos Humanos. La siguiente tabla demuestra la relación entre atributos y valores al transmitir información sobre un usuario.

| Atributo SAML      | Valor SAML                     |
| ------------------ | ------------------------------ |
| nombre             | John                           |
| apellido           | Smith                          |
| correo electrónico | <john.smith@companydomain.com> |
| departamento       | Recursos Humanos               |

Al asignar correctamente un atributo SAML a una asignación de respuesta, la información del usuario se puede aplicar automáticamente a un perfil de usuario para simplificar el proceso de creación y gestión de cuentas.

#### <mark style="color:azul;">Asignación básica: Información del perfil</mark>

La asignación de información básica de SAML se usa para aplicar información del perfil, como nombre, apellido, departamento, número de teléfono, centro de costos y ubicación, desde un directorio al perfil de un usuario. Muchas de estas categorías son autoexplicativas y se pueden configurar fácilmente; sin embargo, algunas categorías requieren una explicación para una configuración adecuada a fin de evitar consecuencias imprevistas o errores de la aplicación. La siguiente sección destaca opciones de asignación únicas y ajustes de configuración para la asignación básica. Consulte nuestro [artículo sobre asignación básica de SAML](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) para obtener una lista completa de los atributos admitidos.

#### <mark style="color:azul;">El tipo de licencia predeterminado solo se aplica a</mark> *<mark style="color:azul;">usuarios completamente nuevos</mark>*

La opción de tipo de licencia predeterminado aplicará la licencia designada a todos los *completamente nuevos* usuarios que se aprovisionen dentro de la cuenta a través de SAML. Esto no se aplica a los usuarios que se autentican por segunda vez, a los usuarios que se consolidaron en la cuenta desde una cuenta anterior, a los usuarios que se aprovisionan a través de SCIM o a los usuarios que han sido invitados manualmente.

Para obtener información sobre *la actualización* de licencias de usuario con autenticación, consulte la configuración de licencia en [Asignación avanzada de SAML](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">Un tipo de licencia predeterminado de</mark> *<mark style="color:azul;">Ninguno</mark>* <mark style="color:azul;">no permitirá que los usuarios nuevos se autentiquen a menos que la asignación avanzada esté configurada para asignar una licencia</mark>

Los usuarios de Zoom deben tener un tipo de licencia asignado (Básico, Con licencia o local) para iniciar sesión en el servicio de Zoom. Si se selecciona un tipo de licencia predeterminado de Ninguno, los usuarios nuevos no pueden Iniciar sesión ni crear una nueva cuenta a menos que vayan a recibir una licencia a través de [Asignación avanzada de SAML](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:azul;">La mayoría de las asignaciones básicas se volverán a aplicar al iniciar sesión, a menos que se especifique lo contrario</mark>

La mayoría de las asignaciones básicas de SAML se actualizarán cada vez que un usuario Iniciar sesión de forma predeterminada, *excepto* *para* nombre, apellido, nombre para mostrar y número de teléfono. De forma predeterminada, estas cuatro asignaciones solo se aplicarán la primera vez que un usuario se autentique y no se volverán a aplicar, incluso si un usuario o administrador las actualiza. Los administradores de Zoom pueden cambiar este comportamiento habilitando la opción **Actualizar en cada inicio de sesión de SSO** en la página de asignación de respuesta de SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de la opción Actualizar en cada inicio de sesión de SSO.</p></figcaption></figure>

#### <mark style="color:azul;">Las asignaciones de número de teléfono deben incluir un código de país y un código de área si están fuera de los Estados Unidos</mark>

Los números de teléfono asignados mediante SAML deben incluir el código de país y el código de área del usuario en la aserción SAML cuando sea posible. Zoom asumirá por defecto un código de país de +1 si no se define.

Las cuentas que no conservan los códigos de país dentro de su directorio pueden editar sus aserciones SAML en su proveedor de identidad para incluirlos automáticamente si es necesario.

#### <mark style="color:azul;">Cada usuario puede tener hasta tres números de teléfono y un número de fax asignados a su perfil</mark>

Los administradores de Zoom pueden configurar hasta tres números de teléfono independientes y una asignación de número de fax para cada usuario. Cada número de teléfono debe ser único y no puede duplicar el valor de otro campo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de opciones de número de teléfono para cada usuario.</p></figcaption></figure>

#### <mark style="color:azul;">Las imágenes de perfil deben asignarse desde una URL de acceso público o codificarse con Base64</mark>

Las cuentas que quieran asignar imágenes de perfil desde su directorio deben asignar las imágenes usando una URL de acceso público o codificar la imagen en Base64 al hacer la aserción.

#### ID único de empleado

<mark style="color:azul;">**El ID único de empleado cambia el identificador principal que Zoom usa para identificar a los usuarios**</mark>

El *ID único de empleado* es una característica que Zoom ofrece para ayudar con la gestión de identidades. De forma predeterminada, la identificación principal de un usuario de Zoom es su **correo electrónico** **correo electrónico**dirección. Esto significa que si el tipo de inicio de sesión del correo electrónico de trabajo es **<john.smith@company.com>**, entonces Zoom siempre identificará a este usuario por esa dirección de correo electrónico. Este identificador es lo que permite que integraciones como SSO o las cuentas OAuth de Facebook y Google asocien al usuario con la misma cuenta de Zoom.

Sin embargo, este proceso de identificación puede ser problemático si el nombre o el correo electrónico de un usuario cambian. Por ejemplo, si **<john.smith@company.com>** tiene un cambio de correo electrónico a **<jonathan.smith@company.com>**, Zoom no puede determinar de forma segura que se trata de la misma persona (porque el identificador fundamental es diferente), por lo que Zoom creará una nueva cuenta la primera vez que **<jonathan.smith@company.com>** inicie sesión.

Para simplificar este problema, Zoom ofrece la Características de ID único de empleado, que cambia el identificador principal de un usuario de su dirección de correo electrónico a un ID único establecido. *Esto no Cambie el Nombre de usuario de Zoom de un usuario*, sino que ofrece un atributo de identificación alternativo. Este cambio permite que Zoom actualice dinámicamente la dirección de correo electrónico de un usuario dentro de Zoom si:

* un *nuevo* dirección de correo electrónico está acompañada de un ID único de empleado conocido; y
* el dominio de correo electrónico del usuario afectado está asociado dentro de Zoom

Por ejemplo, si **<john.smith@company.com>** autentica y transmite un valor SAML de 12345 (su número de empleado) para el atributo de ID único de empleado, Zoom ahora identificará al usuario dentro de la cuenta mediante el valor declarado. Si John autenticar de nuevo usando el correo electrónico **<jonathan.smith@company.com>** mientras sigue transmitiendo el ID único de empleado de 12345, Zoom identificará que <john.smith@company.com> ahora es **<jonathan.smith@company.com>** y actualizará dinámicamente el correo electrónico del usuario dentro de la cuenta si el dominio está asociado.

Los administradores de identidad deben estar *seguros* de que no haya superposición entre dos usuarios con el mismo valor de ID único de empleado antes de establecer la asignación SAML para esta categoría. Si otro usuario autenticar y transmite el mismo valor, el correo electrónico se actualizará nuevamente al nuevo usuario y puede causar una interrupción significativa en los servicios y la experiencia del usuario.

<mark style="color:azul;">**La Características de ID único de empleado requiere dominios asociados para Cambie el correo electrónico de un usuario**</mark>

La Características de ID único de empleado no puede actualizar la dirección de correo electrónico de un usuario a menos que el dominio de correo electrónico esté oficialmente asociado con su perfil de la cuenta. Consulte nuestro artículo de soporte sobre [Dominios asociados](https://support.zoom.us/hc/en-us/articles/203395207) para obtener más información.

<mark style="color:azul;">**Los administradores y propietarios no pueden actualizar su correo electrónico mediante el ID único de empleado**</mark>

Los correos electrónicos del administrador y del Propietario dentro de Zoom no pueden actualizarse mediante la Características de ID único de empleado. Esto está pensado como una medida de seguridad para evitar el Acceso no autorizado. Los administradores y propietarios deben Cambie su correo electrónico a través de su página de perfil.

<mark style="color:azul;">**Los correos electrónicos de los usuarios solo pueden actualizarse una vez al día mediante el ID único de empleado**</mark>

Los correos electrónicos de los usuarios solo pueden actualizarse una vez cada 24 horas mediante la Características de ID único de empleado. Un usuario debe esperar un día completo de calendario desde la actualización anterior antes de actualizar su correo electrónico mediante SSO de nuevo.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de un flujo de ejemplo para actualizar los correos electrónicos de los usuarios.</p></figcaption></figure>

<mark style="color:azul;">**Establecer el atributo SAML en \<NameID> utilizará el NameID declarado del usuario**</mark>

Asignar el atributo SAML de ID único de empleado a **\<NameID>** utilizará automáticamente el valor de NameID declarado del usuario como su identificador único. Esto puede ser una herramienta beneficiosa si su proveedor de identidad declara un NameID distinto del correo electrónico de un usuario, como un Nombre principal de usuario (UPN) o un valor similar que no cambia. No utilice este valor si los NameID de los usuarios coinciden con su correo electrónico.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de la Configuración del administrador de &#x3C;NameID>.</p></figcaption></figure>

### Asignación avanzada: licencias, complementos y Acceso

La sección Asignación avanzada de información SAML puede aplicar dinámicamente licencias (incluido Zoom Phone), complementos y grupos de acceso de usuario a los usuarios a medida que se autenticar. A diferencia de la asignación básica, la asignación avanzada contiene muchos matices que pueden requerir una atención diligente al configurar, según la complejidad de su entorno. Esta sección destaca los matices para configurar la asignación SAML avanzada. Consulte nuestro [artículo sobre asignación SAML avanzada](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) para obtener una lista completa de los atributos admitidos.

#### <mark style="color:azul;">La asignación avanzada se aplica cada vez que un usuario se autenticar</mark>

A diferencia de la asignación básica, que tiene actualizaciones Opcional para algunas categorías, las configuraciones de asignación avanzada se aplicarán cada vez que un usuario se autenticar, según el orden de aplicación de arriba hacia abajo.

Por ejemplo, si un usuario tiene una licencia básica y luego se autenticar mediante SSO transmitiendo un atributo y valor SAML asignados para conceder una licencia completa, al usuario se le concederá instantáneamente la licencia completa. Si luego se Cambie el perfil del usuario dentro del proveedor de identidad para volver a asignarle una licencia básica, se le volverá a asignar la licencia básica una vez que se vuelva a autenticar dentro de Zoom.

#### <mark style="color:azul;">La asignación avanzada permite varios atributos y valores SAML por categoría</mark>

A diferencia de la asignación básica, que permite solo un atributo SAML por categoría, la asignación avanzada puede admitir múltiples atributos y valores para cada categoría. Esto permite una flexibilidad significativa al gestionar las licencias y el acceso de los usuarios mediante grupos de seguridad dentro de su proveedor de identidad, como se muestra en la siguiente configuración.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de asignación de atributos para SAML.</p></figcaption></figure>

{% hint style="success" %}
**Consejo de Zoom**

Los atributos SAML pueden variar según el proveedor de identidad, especialmente en el caso de los grupos de seguridad. Confirme con su proveedor de identidad o mediante [registros de respuesta SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) cómo se declaran los atributos SAML.
{% endhint %}

#### <mark style="color:azul;">La asignación avanzada aplica las licencias de arriba hacia abajo cuando se declaran múltiples atributos</mark>

Si un usuario transmite múltiples atributos o valores SAML que están configurados para la asignación SAML avanzada, Zoom asignará las licencias de arriba hacia abajo. Vea el siguiente ejemplo:

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de selección de tipo de licencia en la Configuración del administrador.</p></figcaption></figure>

Según la configuración anterior, si un usuario transmitiera un atributo para ambos **global\_users** y **marketing**, porque **marketing** es el más alto en la configuración; este atributo se aplicará al usuario y los demás atributos aplicables se ignorarán.

Alternativamente, si la configuración se estableció con **global\_users** como el más alto, como se ve en la siguiente captura de pantalla, si una aserción del usuario contenía **global\_users**, **marketing**, **humano** **recursos**, y **TI**, porque **global\_users** es la prioridad más alta, solo se afirmará una licencia Básico.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de ajuste del orden de prioridad</p></figcaption></figure>

Los administradores de Zoom pueden ajustar el orden de aplicación al editar los valores de asignación usando las flechas ↑↓ dentro del editor.

{% hint style="success" %}
**Recomendación de Zoom**

Configure las configuraciones avanzadas de la más específica a la más general para evitar la aplicación incorrecta de la licencia.
{% endhint %}

#### <mark style="color:azul;">Las asignaciones de seminario web y Reunión grande pueden compartir un valor común para aplicar ambos complementos de Añadir</mark>

Para simplificar el proceso de aplicación, los administradores de Zoom pueden Configure el mismo atributo y valor de SAML dos veces para aplicar tanto los complementos de seminario web como de Reunión grande a los usuarios, como se ve en la siguiente imagen con el **global\_users** valor. Estos complementos también se pueden configurar de forma independiente, si se desea, como se muestra con la **seminario web\_only** y **reunión\_grande\_solo** valores.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de atributos de SAML para solo_reunión_grande y solo_seminario_web.</p></figcaption></figure>

#### <mark style="color:azul;">Los usuarios se pueden agregar a varios Grupos de usuarios usando un valor SAML</mark>

Los administradores de Zoom pueden Configure la asignación de grupo de usuario para Añadir un usuario a varios grupos con un valor de SAML.

El primer grupo de usuarios agregado se establecerá como el Grupo Principal del usuario y determinará la Configuración predeterminada del usuario *a menos que un grupo subyacente tenga una configuración bloqueada*. Para obtener más información sobre los Grupos de usuarios, consulte nuestro [artículo de Soporte](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de asignación múltiple de grupos de usuarios.</p></figcaption></figure>

#### <mark style="color:azul;">Los usuarios especificados y los Grupos de usuarios pueden quedar exentos de asignaciones SAML específicas</mark>

Cada opción en Asignación avanzada de SAML se puede configurar para eximir a usuarios específicos y Grupos de usuarios del comportamiento de asignación. Esto puede ser útil para evitar la interrupción del servicio de usuarios VIP debido a un posible cambio en la licencia.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de exenciones de usuarios.</p></figcaption></figure>

#### <mark style="color:azul;">La Asignación automática asigna automáticamente a los usuarios a un usuario, canal o grupo de IM denominado según su valor SAML afirmado si el valor no se ha asignado previamente a un grupo</mark>

La Asignación automática se puede usar para asignar automáticamente a los usuarios a un Grupo de usuarios, canal y Grupo de IM denominado según su valor SAML afirmado. A diferencia de otros componentes de asignación avanzada, que se pueden configurar para asignar a un usuario a cualquier grupo según el valor SAML, la Asignación automática siempre asigna a un usuario a un grupo según el valor SAML exacto. Si el grupo no existía previamente, se creará automáticamente.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de asignación automática de SAML.</p></figcaption></figure>

Por ejemplo, si la Asignación automática está configurada para asignar a un usuario a los grupos según su departamento, si el valor de su departamento aún no está definido para el Grupo de usuario, el canal o el grupo de IM, los usuarios se asignarán automáticamente a un grupo que coincida con el nombre de su departamento, como se muestra en la siguiente tabla:

| Atributo SAML | Valor SAML       | ¿Ya existe el grupo de Zoom? | Resultado                                                    |
| ------------- | ---------------- | ---------------------------- | ------------------------------------------------------------ |
| Departamento  | Recursos Humanos | Sí                           | Usuario agregado al grupo de Recursos Humanos                |
| Departamento  | Marketing        | Sí                           | Usuario agregado al grupo de Marketing                       |
| Departamento  | Ventas           | No                           | Se crea el grupo Ventas, se añade el usuario al grupo Ventas |

#### Zoom admite hasta cinco atributos SAML personalizados

Los administradores de Zoom pueden Configure hasta *cinco* atributos SAML personalizados para añadir datos de usuario a su perfil de Zoom en la [administración avanzada de usuarios](https://zoom.us/account/user#/advanced) página. Después de añadir los campos personalizados, los administradores de Zoom pueden configurar el mapeo en la [Asignación de respuesta SAML](https://zoom.us/account/sso/mapping) página.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Ejemplo de atributos SAML personalizados</p></figcaption></figure>

#### <mark style="color:azul;">Asignar usuarios a una subcuenta</mark> *<mark style="color:azul;">solo</mark>* <mark style="color:azul;">aplicará una licencia de reunión y complementos</mark>

Asignar un usuario a una subcuenta solo aplicará la licencia de reunión y los complementos de un usuario, como seminario web y Reuniones Grandes, a la subcuenta. Los Grupos de usuarios, los Grupos de MI, los Roles de usuario, etc., no se aplicarán y deberán configurarse dentro de la subcuenta.

Clientes que requieran más flexibilidad para la asignación de respuestas SAML con subcuentas necesitarán una URL mnemónica única y una nueva configuración de SSO dentro de la subcuenta.

### Solución de problemas de SSO

#### <mark style="color:azul;">Uso de los registros de respuestas SAML para solucionar problemas</mark>

Los registros de respuestas SAML guardados pueden ser una herramienta muy valiosa para solucionar problemas de configuración y errores de usuario, además de las configuraciones de asignación de respuestas SAML. Si su configuración de SSO está configurada para guardar registros de respuestas SAML, se puede acceder a ellos a través de la [Registro de respuestas SAML](https://zoom.us/account/sso/saml_logs) pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Para ver los registros de respuestas SAML, haga clic en **Ver detalles** junto a un intento de autenticación.

#### <mark style="color:azul;">La mayoría de las autenticaciones se mostrarán en los registros de respuestas</mark>

La mayoría de los intentos de autenticación fallidos o no exitosos se mostrarán en la página de registros de respuestas. Si un intento de autenticación no se muestra, lo más probable es que Zoom no haya recibido una aserción SAML de su proveedor de identidad, o que el guardado de los registros de respuestas SAML esté deshabilitado.

#### <mark style="color:azul;">Los registros de respuestas pueden indicarle si su configuración es incorrecta o si su certificado está desactualizado</mark>

Cuando los registros de respuestas SAML están habilitados, la información del proveedor de identidad se declara a Zoom para autenticar identidades para cada parte. Si una Configuración declarada o una cadena de información, como el certificado X509 o el ID del emisor, es diferente de la configuración actual de Zoom, aparecerá un error indicando que la información “no coincide con la Configuración actual de SSO”. Un administrador de Zoom puede actualizar la configuración de SSO para que coincida con estos valores declarados, si son correctos, para resolver el error.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de advertencias de configuración incorrecta.</p></figcaption></figure>

#### <mark style="color:azul;">Los registros de respuestas le indican qué valores y atributos SAML se están declarando</mark>

Revisar los registros de respuestas puede ayudar a resolver las configuraciones de asignación de respuestas SAML al verificar qué atributos y valores están siendo declarados por los usuarios mientras se autentican. Estos se pueden comparar con la configuración para garantizar que los atributos y los valores coincidan.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de información declarada por el servicio del proveedor de identidad.</p></figcaption></figure>

Si faltan atributos o valores SAML, la información no está siendo declarada por el servicio del proveedor de identidad. Se recomienda a los usuarios que experimenten este problema que se pongan en contacto con los servicios de soporte de su proveedor de identidad para obtener más ayuda.

#### <mark style="color:azul;">Los registros de respuestas incluyen un código de error y una breve explicación, si no tienen éxito</mark>

Si un usuario no puede autenticar o recibe un error, los registros de respuestas SAML contienen un código de error y una breve explicación del error.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de código de error y explicación.</p></figcaption></figure>

La mayoría de los problemas pueden identificarse y resolverse usando estos mensajes de error. Si no puede resolver el error, póngase en contacto con Soporte de Zoom para obtener ayuda adicional.

#### <mark style="color:azul;">Errores de ID de seguimiento web</mark>

Si un usuario falla la autenticación SSO, recibirá un código de error de ID de seguimiento WEB. Estos códigos no son un mensaje de error relacionado con una falla específica, sino más bien un ID de registro único que puede revisarse en la asignación de respuestas SAML para identificar problemas de autenticación.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de un error mostrado al usuario con un código de error de ID de seguimiento WEB.</p></figcaption></figure>

Para identificar el error, si el registro de respuestas SAML está habilitado, navegue a la [Registro de respuestas SAML](https://zoom.us/account/sso/saml_logs) pestaña disponible dentro de la página de configuración de SSO en Configuración avanzada. Desde allí, Introducir el ID de seguimiento WEB en el campo ID de seguimiento y busque para completar el registro de respuestas

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de búsqueda en el Registro de respuestas SAML con el código de error de ID de seguimiento WEB mencionado anteriormente.</p></figcaption></figure>

Los registros de respuestas SAML deben mostrar la aserción SAML y un código de error y mensaje en la parte inferior de la respuesta que pueden usarse para una solución de problemas adicional.

### Errores de SCIM

#### <mark style="color:azul;">El usuario no existe o no pertenece a esta cuenta</mark>

Este error ocurre cuando la dirección de correo electrónico de un usuario objetivo no se aprovisiona debido a una cuenta ya existente. Se recomienda a los administradores de Zoom que se pongan en contacto con el usuario directamente y que inviten manualmente al usuario a la cuenta.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de un error de aprovisionamiento.</p></figcaption></figure>

#### <mark style="color:azul;">No puede añadir usuarios de pago</mark>

Este error ocurre cuando SCIM intenta aprovisionar un usuario cuando no hay suficientes licencias en la cuenta. Para resolver el error, el usuario debe aprovisionarse como un usuario básico, o se debe poner una licencia a disposición para el aprovisionamiento.

### Uso de registros de SCIM para solucionar problemas de aprovisionamiento de usuarios

Zoom proporciona los 100 registros más recientes de solicitudes de API en [Zoom Marketplace](https://marketplace.zoom.us/). Un administrador de Zoom puede usar estos registros para confirmar qué información se está enviando y recibiendo a través de las API de aprovisionamiento. Para acceder a los registros, inicie sesión en Zoom Marketplace como administrador de Zoom y haga clic en **Administrar**. En la página siguiente, Seleccione **Registros de llamadas** debajo **Administración de aplicaciones personales**. Desde allí, haga clic en una entrada para expandir los registros de API y revisar el contenido.

La siguiente imagen muestra un ejemplo de una solicitud de aprovisionamiento de usuario SCIM, con la identidad del usuario y los atributos de licencia resaltados como referencia.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Ejemplo de una solicitud de aprovisionamiento de usuario SCIM.</p></figcaption></figure>

Al igual que la asignación de respuestas SAML, Zoom solo puede aplicar la información que se envía desde el proveedor de identidad en la solicitud de aprovisionamiento. Use estos registros para confirmar que la identidad del usuario y los atributos de licencia se están enviando desde el proveedor de identidad. Si falta información esperada en estas aserciones, póngase en contacto con su proveedor de identidad para obtener Soporte.

### Flujos de datos y autenticación

#### <mark style="color:azul;">Autenticación SAML</mark>

El siguiente diagrama detalla el flujo de autenticación SAML de un usuario al iniciar una sesión de Inicio de sesión único con Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagrama de un ejemplo de flujo de autenticación SAML.</p></figcaption></figure>

#### <mark style="color:azul;">Token de inicio de sesión web de SSO</mark>

Después de que un usuario se autentica a través de SAML, la sesión del usuario se crea dentro de su navegador, y tiene

una duración de dos horas de forma predeterminada. Si el usuario sigue usando activamente su página web de Zoom, la sesión se renovará; sin embargo, si el usuario no usa su página web durante dos horas, el token expirará y el usuario deberá volver a autenticarse. Los administradores de Zoom pueden configurar esta duración de la sesión activa en la [Seguridad](https://zoom.us/account/setting/security) página, en Usuarios necesitan iniciar sesión nuevamente después de un período de inactividad y **Establecer período de inactividad en la web (minutos)**.

#### <mark style="color:azul;">Token de inicio de sesión del cliente</mark>

Cuando un usuario intenta autenticarse mediante SSO dentro de un cliente, la máquina del usuario abrirá un navegador web y lo redirigirá a la página de inicio de sesión del proveedor de identidad. Después de que un usuario se autentica, el navegador del usuario recibirá un token de inicio del cliente de Zoom. Una vez que un usuario hace clic en el botón “abrir” o “iniciar”, el navegador usa el esquema de URL combinado con el token de inicio para abrir el cliente de Zoom.

El cliente de Zoom usará el token de inicio para obtener el token de acceso y el token de actualización del servidor de Zoom. El cliente usará el token de acceso durante un período de dos horas a la vez y, al expirar, usará el token de actualización para obtener un nuevo conjunto de tokens, que se almacenan dentro de la base de datos local del cliente. Este proceso de actualización es ilimitado de forma predeterminada y puede alternar continuamente entre tokens hasta que un usuario cierre sesión o los tokens expiren. Los administradores de Zoom pueden personalizar la duración de la sesión en la [Configuración de SSO](https://zoom.us/account/sso) página, en [*forzar cierre de sesión automático*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/es/rincon-del-administrador/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.