Configurar SSO de SAML

  • Actualizado en Jan 24, 2025
  • 9 minuto(s) leído(s)
Prev Next

El  plugin SAML 2.0 (SSO) permite a los usuarios iniciar sesión en Totara utilizando una cuenta de un proveedor de identidad (IdP). En este caso, Totara es tu proveedor de servicios (SP).

Si estás cambiando de un plugin SAML de terceros al plugin nativo de Totara, es posible que no puedas usar el mismo identificador de usuario para la asignación. En esta documentación hemos descrito cómo configurar SAML utilizando Okta, Microsoft Azure AD y Microsoft AD FS, pero para otros proveedores de identidad necesitarás verificar la documentación de ese proveedor.

Habilitar SSO de SAML

Puedes habilitar el método de autenticación SAML siguiendo estos pasos:

  1. Ir al menú de acceso rápido > Plugins > Authentication > Administrar autenticación.
  2. Haz clic en el ícono del ojo (ojo_cerrar) junto al  plugin SAML 2.0 (SSO)  para habilitarlo (el ojo estará abierto una vez que el método de autenticación esté habilitado).

Configurar un proveedor de identidad (IdP)

Una vez que haya habilitado el plugin de autenticación SAML 2.0, deberá configurar un IdP, que estará disponible como opción de inicio de sesión para los usuarios. En el protocolo SAML, la comunicación ocurre entre un IdP y un SP sobre puntos finales específicos. El IdP proporciona los siguientes puntos finales para la comunicación:

  • Servicio SingleSignOn
  • Servicio de cierre de sesión único

El SP proporciona los siguientes puntos finales para la comunicación:

  • Servicio al Consumidor de Assertion
  • Servicio de cierre de sesión único

Para configurar un IdP con Totara, debe informar a Totara sobre los puntos finales de IdP. Esto se hace proporcionando a Totara los metadatos de IdP (un archivo XML que contiene todos los puntos finales requeridos y una clave pública). Puedes proporcionar los metadatos ingresando una URL para obtener los metadatos de o ingresando el contenido del archivo XML directamente en Totara.

Configuración de un proveedor de identidad.

También necesitas informar al IdP de los puntos finales de Totara. La forma en que se hace esto varía para los IdP individuales. Hemos documentado cómo configurar los siguientes IdP con Totara:

  • Okta
  • AD de Microsoft Azure
  • Microsoft AD FS
Para otros IdP, consulte la documentación del proveedor de identidad sobre cómo configurar un SP.

Una vez que el IdP y el SP se hayan proporcionado con los puntos de conexión de cada uno, pueden comunicarse correctamente. Para una solicitud de inicio de sesión exitosa, el IdP proporciona una lista de atributos que se utilizarán para identificar al usuario. Estos atributos deben asignarse a los campos de usuario de Totara para autenticar al usuario en su instancia de Totara.

Crear una conexión IdP

Siga estos pasos para crear una conexión IdP:

  1. Ve al menú de acceso rápido > Plugins > Authentication > SSO SAML > Settings.
  2. Haga clic en  Añadir proveedor de identidad.
  3. Dale un nombre a tu IdP. Este será el nombre que se mostrará a los usuarios en la pantalla de inicio de sesión.
  4. Proporciona un enlace a los metadatos o pega los metadatos XML de IdP en el  campo de metadatos de IdP.
  5. Especifica un identificador de usuario  y el campo Totara al que deseas asignarlo. Los campos personalizados únicos del usuario también están disponibles como opción.
  6. Para configurar los ajustes adicionales y las asignaciones de campo, haga clic en Mostrar ajustes avanzados:
    • En la  pestaña Asignaciones de campo, asigne los atributos de usuario proporcionados por el IdP a su usuario de instancia de Totara. Ten en cuenta que los atributos del usuario pueden ser URL completas.
    • La  pestaña Advanced settings (Configuración avanzada) contiene las siguientes opciones para modificar el comportamiento específico de Totara al interactuar con el IdP:
      • Nuevos usuarios: Selecciona cómo se deben manejar los nuevos usuarios.
      • Usuarios existentes: Selecciona cómo se deben manejar los usuarios existentes. 
      • Formato de ID de nombre: Selecciona el formato que deseas utilizar.
      • ID de la entidad: Anular la ID de la entidad utilizada en los metadatos de SP.
      • Comportamiento de cierre de sesión: Aplicar cierre de sesión en IdP cuando el usuario cierra sesión en Totara.
      • Redirigir después de cerrar sesión: Especificar una URL de redireccionamiento después de cerrar sesión.
      • Delimitador de atributos: Delimitador de atributos utilizado para asignaciones de campos IdP con valores múltiples.
      • Firmas: Estos ajustes no son necesarios para una operación segura, pero pueden ser útiles en algunos casos. Seleccione entre las siguientes opciones:
        • Firmar metadatos
        • Firmar solicitudes de autenticación
        • Requerir que IdP firme afirmaciones individuales
      • Ocultar en la página de inicio de sesión: Si se habilita, el IdP no se mostrará en la página de inicio de sesión.
      • Depuración: Capturar comunicaciones y el IdP para fines de depuración.
  7. Haga clic en Guardar.
  8. Asegúrese de que la  opción Estado esté habilitada para garantizar que el IdP sea visible en la pantalla de inicio de sesión.
  9. Desde la  página Administrar proveedores de identidad, haz clic en el ícono de tres puntos (tres_puntos(1)) junto a la IdP y selecciona Probar  para probar tu nueva conexión de IdP.
Hemos proporcionado instrucciones específicas para configurar SAML con Okta, Microsoft Entra ID y Microsoft AD FS.

Migrando usuarios a SAML 2.0 (SSO)

Los usuarios deben tener su método de autenticación establecido en SAML 2.0 (SSO) para poder iniciar sesión a través de SAML. Al importar usuarios a través de la importación de RR. HH., puedes configurar la  opción Auth en 'ssosaml'.

Alternativamente, puedes establecer la  configuración de enlace automático para un IdP a usuarios existentes y, opcionalmente, verificar la opción Requerir verificación de correo electrónico. Con estos ajustes habilitados, los usuarios existentes que no sean SAML podrán iniciar sesión a través de SAML si coinciden con las condiciones (mientras aún pueden usar sus métodos de inicio de sesión existentes).

Configurar SSO de SAML con Okta

Para configurar SSO de SAML con Okta, siga estos pasos:

  1. Inicia sesión en Okta con tus credenciales.
  2. Haga clic en Admin.
  3. Vaya a Aplicaciones > Aplicaciones.
  4. Haga clic en Crear integración de la aplicación y luego seleccione SAML 2.0.
  5. Introduzca un nombre y haga clic en Siguiente.
  6. En Totara, ve a Menú de acceso rápido > Plugins > Autenticación > SAML 2.0 (SSO) > Configuración.
  7. Crear un IdP.
  8. Copia la siguiente información e introdúcela en Okta:
    • URL de ACS -> URL de inicio de sesión único
    • ID de entidad -> URI de audiencia
  9. Expanda la configuración avanzada y luego cargue el certificado desde Totara.
  10. Habilitar cierre de sesión único.
  11. Copiar la URL de cierre de sesión único  de Totara a Okta.
  12. Copiar el ID de la entidad  de Totara al  campo Emisor SP en Okta.
  13. Completa las siguientes declaraciones de atributos:
    • first_name -> usuario.firstName
    • last_name -> user.lastName
    • correo electrónico -> user.email
  14. Haga clic en Siguiente, seleccione cualquiera de las opciones y luego haga clic en Finalizar.
  15. Copia la URL de metadatos de Okta y pégala en Totara.
  16. Vuelve a Okta, ve a la  pestaña Tareas y selecciona el  grupo Todos.
  17. En Totara, bajo Identificador de usuario, ingresa "correo electrónico" como el campo IdP y elige Dirección de correo electrónico como el campo Totara.
  18. En Asignaciones de campo, agregue las siguientes asignaciones:
    • Nombre -> first_name, en cada inicio de sesión
    • Apellido -> last_name, en cada inicio de sesión
  19. Haga clic en Guardar.
  20. Haz clic en el ícono de tres puntos (tres_puntos(1)) y haz clic en Probar  para comprobar que la integración funcione.

Configurar SSO de SAML con ID de Microsoft Entra

Para configurar SAML con Microsoft Entra ID (anteriormente Microsoft Azure Active Directory), necesitará una cuenta de usuario con privilegios de Administrador de la Aplicación. Inicia sesión en tu portal de Azure y sigue estos pasos:

  1. En tu instancia de Totara, ve al menú de acceso rápido > Plugins > Authentication > SAML 2.0 (SSO) > Settings y crea un IdP.
  2. En Azure, busque y seleccione ID de Microsoft Entra.
  3. En la barra de navegación lateral, haga clic en Aplicaciones empresariales.
  4. Haga clic en + Nueva aplicación.
  5. Haga clic en + Crear su propia aplicación.
  6. Asigne un nombre a la aplicación.
  7. Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no galería).
  8. Haga clic en Crear. A continuación, serás redirigido a la aplicación empresarial recién creada.
  9. En la aplicación empresarial recién creada, haga clic en Inicio de sesión único  en la barra lateral de navegación.
  10. Haga clic en SAML.
  11. Haz clic en Editar  en la  tarjeta de Configuración Básica de SAML y proporciona lo siguiente de tu IdP de Totara recién creado:
    • Identificador (ID de la entidad)
    • URL de respuesta (URL de servicio al consumidor de Assertion)
    • URL de cierre de sesión 
    • Como alternativa, puedes descargar tus metadatos de Totara y cargarlos haciendo clic en Cargar archivo de metadatos
  12. Haga clic en Guardar.
  13. En la tarjeta de certificados SAML, haga clic en el enlace de descarga junto a Federation Metadata XML.
  14. Copia el contenido del archivo XML en el campo de metadatos IdP de tu Totara IdP (asegúrate de que XML  esté seleccionado).
  15. Haga clic en Usuarios y grupos  en la barra de navegación lateral.
  16. Haga clic en + Añadir usuario/grupo  y asigne un usuario al que tenga acceso.
  17. En tu sitio de Totara, ve a tu instancia de Totara y prueba la configuración.
  18. Asigne los atributos proporcionados por el IdP a su instancia de Totara según sea necesario. Consulte Crear una conexión IdP para obtener más información. Para ver los nombres de los campos a utilizar:
    1. Navegar a la lista de proveedores de identidad.
    2. Haga clic en el ícono de tres puntos (tres_puntos(1)) en el IdP y luego seleccione Test.
    3. Seleccione Iniciar sesión (AuthnRequest)  y haga clic en Probar.
    4. Inicie sesión en el IdP.
    5. Consulte la  columna Nombres de campo en la  página Configuración de prueba para ver lo que proporciona el IdP:
      La página Test IdP que muestra los nombres de los campos y sus valores asociados.
      Copia la cadena completa de la columna 'Nombres de campo' para el campo que deseas usar en el campo de texto del campo IdP.
  19. Para probar el inicio de sesión iniciado por IdP, vaya a https://myapplications.microsoft.com/.
  20. Busca la empresa que creaste y haz clic en ella para iniciar sesión.

Configurar SSO SAML con Microsoft AD FS

Para configurar el SSO SAML con Microsoft AD FS, siga estos pasos:

  1. Instalar y configurar AD DS y AD FS en una instancia de Windows Server.
  2. En Totara (asegúrate de estar usando https y de haber purgado tu caché), ve a Menú de acceso rápido > Plugins > Autenticación > SAML 2.0 (SSO) > Configuración y crea un IdP. Obtener el XML de metadatos de federación de AD FS. 
  3. Añadir los metadatos en Totara como XML.
  4. Asignar 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' al  identificador de usuario.
  5. Configurar las siguientes asignaciones:
    • Dirección de correo electrónico → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Nombre → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Apellido → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Haga clic en Guardar.
  7. Descarga los metadatos de Totara.
  8. Conectar al servidor AD FS.
  9. Abra la herramienta de gestión de AD FS (Administrador de servidores > Herramientas > AD FS).
  10. Selecciona Confiabilidad de la parte en la barra lateral izquierda y elige Añadir confianza de la parte en confianza.
  11. Selecciona Reclamaciones conscientes.
  12. Carga los metadatos de Totara.
  13. Dale un nombre para que pueda ser fácilmente identificado.
  14. Selecciona Permitir a todos.
  15. Haga clic en Finalizar.
  16. Es posible que no importe las URL de ACS/SLO, por lo que debe hacer clic con el botón secundario en la entrada que agregó y luego ir a Propiedades > Terminales. Si está vacío, sigue estos pasos:
    1. Haz clic en Añadir SAML  y selecciona Consumidor de Aserción.
    2. Copia la URL de ACS de Totara a la URL de confianza, establece la vinculación a POST  y marca la opción Predeterminado, luego haz clic en Guardar.
    3. Haz lo mismo para SLO.
    4. Cerrar propiedades.
  17. Haga clic con el botón derecho en la entrada y haga clic en Editar política de emisión de reclamaciones.
  18. Añadir una regla y seleccionar Enviar atributos LDAP como reclamos.
  19. Introduzca un nombre.
  20. Elija Active Directory como el almacén de atributos.
  21. Asignar los siguientes campos (LDAP → Saliente):
    • Nombre de usuario → ID de nombre (esto es importante, ya que si el ID de nombre no está asignado, AD FS no enviará SessionIndex)
    • Dirección de correo electrónico → Dirección de correo electrónico
    • Nombre → Nombre
    • Apellido → Apellido

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2026 Totara Learning Solutions. All rights reserved.

Follow us

If you have any questions or feedback about the Totara documentation, please contact documentation@totara.com.

To report a customer security issue, please contact our Security Team via security@totara.com. If you are a TotaraGov customer with a security issue, please contact our Public Sector Security Team via security@totaraclouddirect.com.

© Copyright 2026 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.

Totara is committed to respecting and protecting your privacy. For more information visit our Totara Privacy Policy.