# Aprovisionar usuarios Después de configurar tu conexión SSO, el siguiente paso es aprovisionar a los usuarios. Este proceso garantiza que los usuarios puedan acceder a tu organización a través de una gestión de usuarios automatizada. Esta página proporciona una descripción general del aprovisionamiento de usuarios y los métodos de aprovisionamiento admitidos. ## ¿Qué es el aprovisionamiento? El aprovisionamiento ayuda a gestionar a los usuarios mediante la automatización de tareas como la creación, actualización y desactivación de cuentas basadas en datos de tu proveedor de identidad (IdP). Existen varios métodos para el aprovisionamiento de usuarios, y cada uno ofrece beneficios según las diferentes necesidades de la organización: | Método de aprovisionamiento | Descripción | Configuración predeterminada en Docker | Recomendado para | | :------------------------------------------------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------- | :------------------------------------------------------------------------------------------------------- | | System for Cross-domain Identity Management (SCIM) | Sincroniza continuamente los datos de los usuarios entre tu IdP y Docker, garantizando que los atributos del usuario se mantengan actualizados sin intervención manual | Deshabilitado por defecto | Organizaciones más grandes o entornos con cambios frecuentes en la información o roles de los usuarios | | Mapeo de grupos (Group mapping) | Mapea grupos de usuarios desde tu IdP a roles y permisos específicos en Docker, permitiendo un control de acceso detallado según la pertenencia al grupo | Deshabilitado por defecto | Organizaciones que requieren un control de acceso estricto y una gestión de usuarios basada en roles | | Just-in-Time (JIT) | Crea y aprovisiona automáticamente cuentas de usuario cuando inician sesión por primera vez a través de SSO | Habilitado por defecto | Organizaciones que necesitan una configuración mínima, equipos más pequeños o entornos de baja seguridad | | Autoaprovisionamiento (Auto-provision) | Añade usuarios cuando las direcciones de correo electrónico coinciden con un dominio verificado | Deshabilitado por defecto | Organizaciones sin SSO que necesitan añadir usuarios de Docker existentes por dominio | ## Configuración de aprovisionamiento predeterminada Por defecto, Docker habilita el aprovisionamiento JIT cuando configuras una conexión SSO. Con JIT habilitado, las cuentas de usuario se crean automáticamente la primera vez que un usuario inicia sesión utilizando tu flujo de SSO. El aprovisionamiento JIT puede no proporcionar suficiente control o seguridad para algunas organizaciones. En tales casos, se puede configurar SCIM o el mapeo de grupos para dar a los administradores un mayor control sobre el acceso y los atributos de los usuarios. ## Atributos de SSO Cuando un usuario inicia sesión a través de SSO, Docker obtiene varios atributos de tu IdP para gestionar la identidad y los permisos del usuario. Estos atributos incluyen: - Dirección de correo electrónico: El identificador único del usuario - Nombre completo: El nombre completo del usuario - Grupos: Opcional. Se utiliza para el control de acceso basado en grupos - Docker Org: Opcional. Especifica la organización a la que pertenece el usuario - Docker Team: Opcional. Define el equipo al que pertenece el usuario dentro de la organización - Docker Role: Opcional. Determina los permisos del usuario dentro de Docker - Minutos de sesión de Docker: Opcional. Establece la duración de la sesión antes de que los usuarios deban volver a autenticarse con su IdP. Debe ser un número entero positivo mayor que 0. Si no se proporciona, se aplican los tiempos de espera de sesión predeterminados > [!NOTE] > > Los tiempos de espera de sesión predeterminados se aplican cuando no se especifican los minutos de sesión de Docker. Las sesiones de Docker Desktop expiran después de 90 días o 30 días de inactividad. Las sesiones de Docker Hub y Docker Home expiran después de 24 horas. ## Mapeo de atributos SAML Si tu organización utiliza SAML para SSO, Docker recupera estos atributos del mensaje de aserción SAML. Los diferentes IdPs pueden usar nombres distintos para estos atributos. | Atributo de SSO | Atributos del mensaje de aserción SAML | | :------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Dirección de correo electrónico | `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"`, `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"`, `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"`, `email` | | Nombre completo | `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"`, `name`, `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"`, `"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"` | | Grupos (opcional) | `"http://schemas.xmlsoap.org/claims/Group"`, `"http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"`, `Groups`, `groups` | | Docker Org (opcional) | `dockerOrg` | | Docker Team (opcional) | `dockerTeam` | | Docker Role (opcional) | `dockerRole` | | Minutos de sesión de Docker (opcional) | `dockerSessionMinutes`, debe ser un número entero positivo > 0 | ## Siguientes pasos Elige el método de aprovisionamiento que mejor se adapte a las necesidades de tu organización: