Saltar al contenido principal
SSO está disponible en los planes Enterprise.
Los administradores de planes Enterprise pueden configurar SAML SSO para Okta o Microsoft Entra directamente desde el Dashboard de Mintlify. Para otros proveedores como Google Workspace u Okta OIDC, contáctanos para configurar SSO.

Configurar SSO

Okta

1

Configura Okta SSO en tu Dashboard de Mintlify

  1. En tu Dashboard de Mintlify, navega a la página de Single Sign-On.
  2. Haz clic en Configure.
  3. Selecciona Okta SAML.
  4. Copia la Single sign on URL y la Audience URI.
2

Crea una aplicación SAML en Okta

  1. En Okta, en Applications, crea una nueva integración de aplicación usando SAML 2.0.
  2. Ingresa lo siguiente desde Mintlify:
    • Single sign on URL: la URL que copiaste desde tu Dashboard de Mintlify
    • Audience URI: la URI que copiaste desde tu Dashboard de Mintlify
    • Name ID Format: EmailAddress
  3. Añade estas declaraciones de atributos:
    NameName formatValue
    firstNameBasicuser.firstName
    lastNameBasicuser.lastName
3

Copia la URL de metadata de Okta

En Okta, ve a la pestaña Sign On de tu aplicación y copia la URL de metadata.
4

Guarda en Mintlify

De vuelta en el Dashboard de Mintlify, pega la URL de metadata y haz clic en Guardar cambios.

Microsoft Entra

1

Configurar Microsoft Entra SSO en el Dashboard de Mintlify

  1. En el Dashboard de Mintlify, navega a la página de Single Sign-On.
  2. Haz clic en Configurar.
  3. Selecciona Microsoft Entra ID SAML.
  4. Copia la Single sign on URL y la Audience URI.
2

Crear una aplicación empresarial en Microsoft Entra

  1. En Microsoft Entra, navega a Enterprise applications.
  2. Selecciona New application.
  3. Selecciona Create your own application.
  4. Selecciona “Integrate any other application you don’t find in the gallery (Non-gallery).”
3

Configurar SAML en Microsoft Entra

  1. En Microsoft Entra, navega a Single Sign-On.
  2. Selecciona SAML.
  3. En Basic SAML Configuration, introduce lo siguiente:
    • Identifier (Entity ID): la Audience URI de Mintlify
    • Reply URL (Assertion Consumer Service URL): la Single sign on URL de Mintlify
Deja los otros valores en blanco y selecciona Guardar.
4

Configurar Attributes & Claims en Microsoft Entra

  1. En Microsoft Entra, navega a Attributes & Claims.
  2. Selecciona Unique User Identifier (Name ID) en «Required Claim».
  3. Cambia el atributo Source a user.primaryauthoritativeemail.
  4. En Additional claims, crea lo siguiente:
    NameValue
    firstNameuser.givenname
    lastNameuser.surname
5

Copiar la URL de metadatos de Microsoft Entra

En SAML Certificates, copia la App Federation Metadata URL.
6

Guardar en Mintlify

De vuelta en el Dashboard de Mintlify, pega la URL de metadatos y haz clic en Guardar cambios.
7

Asignar usuarios

En Microsoft Entra, navega a Users and groups. Asigna los usuarios que deberían tener acceso a tu Dashboard de Mintlify.

Aprovisionamiento JIT

Cuando habilites el aprovisionamiento JIT (just-in-time), los usuarios que inicien sesión a través de tu proveedor de identidad se agregarán automáticamente a tu organización de Mintlify.
El aprovisionamiento JIT solo funciona para inicios de sesión iniciados por el IdP. Los usuarios deben iniciar sesión desde tu proveedor de identidad (dashboard de Okta o portal de Microsoft Entra) en lugar de hacerlo desde la página de inicio de sesión de Mintlify.
Para habilitar el aprovisionamiento JIT, debes tener SSO habilitado. Ve a la página de Single Sign-On en tu dashboard, configura el SSO y luego habilita el aprovisionamiento JIT.

Exigir inicio de sesión únicamente con SSO

Los propietarios de la organización pueden requerir que todos los miembros inicien sesión a través de tu proveedor de identidad. Cuando se aplica la imposición de SSO, Mintlify rechaza los inicios de sesión con contraseña, enlace mágico y Google OAuth para los miembros de la organización.
  1. Ve a la página Single Sign-On en tu dashboard.
  2. Confirma que el SSO esté configurado y verificado de extremo a extremo.
  3. Activa Enforce SSO-only sign-in.
Mintlify bloquea la imposición de SSO si activarla dejaría sin acceso a todos los propietarios de la organización. Configura al menos un correo de breakglass o confirma que un propietario puede iniciar sesión a través de tu IdP antes de aplicarla.
Para dejar de imponer el SSO, desactiva la opción. Los demás métodos de inicio de sesión vuelven a estar disponibles de inmediato.

Dominios verificados

Añade los dominios que pertenecen a tu organización para que Mintlify pueda vincular los inicios de sesión y las invitaciones a una identidad de confianza. Puedes añadir hasta cinco dominios verificados por organización.
  1. Ve a la página Single Sign-On en tu dashboard.
  2. En la sección Verified domains, haz clic en Add domain.
  3. Introduce el dominio (por ejemplo, example.com) y haz clic en Add.
  4. Mintlify genera un token de verificación. Añádelo como un registro DNS TXT en el dominio.
  5. Vuelve al dashboard y haz clic en Verify. El estado cambia de Pending a Verified una vez que se propaga el registro.
Para eliminar un dominio, haz clic en el botón de eliminar junto a él.

Correos de breakglass

Designa cuentas de acceso de emergencia que puedan iniciar sesión incluso cuando la imposición de SSO esté activada o tu proveedor de identidad no esté disponible. Usa correos de breakglass para recuperar el acceso si tu IdP sufre una interrupción o una configuración incorrecta deja sin acceso a los miembros.
  1. Ve a la página Single Sign-On en tu dashboard.
  2. En la sección Breakglass emails, añade las direcciones de correo de los miembros de la organización que deben conservar acceso sin SSO.
  3. Haz clic en Guardar cambios.
Usa correos de breakglass para cuentas de propietarios que no estén vinculadas a tu IdP principal, guarda las credenciales en un gestor de contraseñas seguro y revisa la lista cada vez que cambie la composición del equipo.
Cada correo de breakglass debe pertenecer ya a un miembro de tu organización. Los miembros incluidos como breakglass pueden iniciar sesión con contraseña, enlace mágico o Google OAuth incluso cuando la imposición de SSO esté activada.

Mapear roles RBAC con grupos SAML

Asigna roles a los usuarios en función de su pertenencia a grupos en el proveedor de identidad. Cuando un usuario inicia sesión a través de SSO, Mintlify lee el atributo groups de la aserción SAML y mapea esos grupos a roles del dashboard.

Configurar declaraciones de atributos de grupo

Añade una declaración de atributo groups a la configuración de tu proveedor de identidad SAML. El atributo debe usar el formato de nombre unspecified. La aserción SAML resultante debe incluir un AttributeStatement.
Example SAML assertion
<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
    <saml2:Attribute Name="groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Everyone</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Engineering</saml2:AttributeValue>
        <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
                              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                              xsi:type="xs:string">Admins</saml2:AttributeValue>
    </saml2:Attribute>
</saml2:AttributeStatement>
Requisitos clave:
  • El nombre del atributo debe ser groups (distingue entre mayúsculas y minúsculas)
  • El formato de nombre debe ser urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
  • Cada grupo al que pertenece el usuario debe ser un elemento AttributeValue separado
En la configuración de tu aplicación SAML de Okta, añade una declaración de atributo de grupo:
NameName formatFilterValue
groupsUnspecifiedMatches regex.*
Ajusta el filtro para que coincida con los grupos específicos que deseas enviar a Mintlify.
Una vez configurado, Mintlify mapea los nombres de los grupos de la aserción SAML a los roles de tu organización. Para configurar o modificar los mapeos de grupo a rol, contacta a tu representante de cuenta de Mintlify.

Cambiar o eliminar el proveedor de SSO

  1. Ve a la página Single Sign-On en tu dashboard.
  2. Haz clic en Configure.
  3. Selecciona tu proveedor de SSO preferido o desactiva el SSO.
Si eliminas el SSO, los usuarios deberán autenticarse con una contraseña, un enlace mágico o con Google OAuth en su lugar.

Otros proveedores

Para proveedores distintos de Microsoft Entra u Okta SAML, contáctanos para configurar SSO.

Google Workspace con SAML

1

Crear una aplicación

  1. En Google Workspace, ve a Web and mobile apps.
  2. En el menú desplegable Add app, selecciona Add custom SAML app.
Captura de pantalla de la página de creación de la aplicación SAML de Google Workspace con el elemento del menú "Add custom SAML app" resaltado
2

Envíanos la información de tu IdP

Copia la SSO URL, el Entity ID y el certificado x509 proporcionados y envíalos al equipo de Mintlify.
Captura de pantalla de la página de la aplicación SAML de Google Workspace con la SSO URL, el Entity ID y el certificado x509 resaltados. Los valores específicos de cada uno están difuminados.
3

Configurar la integración

En la página Service provider details, introduce lo siguiente:
  • ACS URL (proporcionado por Mintlify)
  • Entity ID (proporcionado por Mintlify)
  • Name ID format: EMAIL
  • Name ID: Basic Information > Primary email
Captura de pantalla de la página Service provider details con los campos de entrada ACS URL y Entity ID resaltados.
En la página siguiente, introduce las siguientes declaraciones de atributos:
Google Directory AttributeApp Attribute
First namefirstName
Last namelastName
Cuando completes este paso y los usuarios estén asignados a la aplicación, avísanos y habilitaremos el SSO para tu cuenta.

Okta (OIDC)

1

Create an application

En Okta, en Applications, crea una nueva integración de aplicación con OIDC. Elige el tipo de aplicación Web Application.
2

Configure integration

Selecciona el tipo de concesión Authorization Code y proporciona el Redirect URI indicado por Mintlify.
3

Send us your IdP information

Ve a la pestaña General y localiza el Client ID y el client secret. Envíanos estos de forma segura, junto con la URL de tu instancia de Okta (por ejemplo, <your-tenant-name>.okta.com). Puedes enviarlos mediante un servicio como 1Password o SendSafely.

Temas relacionados

Servidor Admin Model Context Protocol (MCP)Configuración de autenticaciónScripts personalizados