Configurar SSO de SAML

  • Publicado el Feb 23, 2026
  • 9 minuto(s) leído(s)
Prev Next

El plugin SAML 2.0 (SSO) permite a los usuarios iniciar sesión en Totara utilizando una cuenta de un proveedor de identidad (IdP). En este caso, Totara es tu proveedor de servicios (SP).

Si estás cambiando de un plugin SAML de terceros al plugin nativo de Totara, es posible que no puedas usar el mismo identificador de usuario para la asignación. En esta documentación hemos descrito cómo configurar SAML usando Okta, Microsoft Azure AD y Microsoft AD FS, pero para otros proveedores de identidad necesitarás verificar la documentación de ese proveedor.

Habilitar SSO de SAML

Puedes habilitar el método de autenticación SAML siguiendo estos pasos:

  1. Ir al menú de acceso rápido > Plugins > Authentication > Administrar autenticación.
  2. Haz clic en el ícono del ojo (eye_close) junto alplugin SAML 2.0 (SSO ) para habilitarlo (el ojo estará abierto una vez que el método de autenticación esté habilitado).

Configurar un proveedor de identidad (IdP)

Una vez que haya habilitado el plugin de autenticación SAML 2.0, deberá configurar un IdP, que estará disponible como opción de inicio de sesión para los usuarios. En el protocolo SAML, la comunicación ocurre entre un IdP y un SP sobre puntos finales específicos. El IdP proporciona los siguientes puntos finales para la comunicación:

  • Servicio SingleSignOn
  • Servicio de cierre de sesión único

El SP proporciona los siguientes puntos finales para la comunicación:

  • Servicio al Consumidor de Assertion
  • Servicio de cierre de sesión único

Para configurar un IdP con Totara, debe informar a Totara de los puntos finales de IdP. Esto se hace proporcionando a Totara los metadatos de IdP (un archivo XML que contiene todos los puntos finales requeridos y una clave pública). Puedes proporcionar los metadatos ingresando una URL para obtener los metadatos de o ingresando el contenido del archivo XML directamente en Totara.

Configuring an identity provider.

También necesitas informar al IdP de los puntos finales de Totara. La forma en que se hace esto varía para los IdP individuales. Hemos documentado cómo configurar los siguientes IdP con Totara:

  • Okta
  • AD de Microsoft Azure
  • Microsoft AD FS
Para otros IdP, consulte la documentación del proveedor de identidad sobre cómo configurar un SP.

Una vez que el IdP y el SP se hayan proporcionado con los puntos finales de cada uno, pueden comunicarse correctamente. Para una solicitud de inicio de sesión exitosa, el IdP proporciona una lista de atributos que se utilizarán para identificar al usuario. Estos atributos deben asignarse a los campos de usuario de Totara para autenticar al usuario en su instancia de Totara.

Crear una conexión IdP

Siga estos pasos para crear una conexión IdP:

  1. Ve al menú de acceso rápido > Plugins > Authentication > SSO SAML > Settings.
  2. Haga clic en Añadir proveedor de identidad.
  3. Dale un nombre a tu IdP. Este será el nombre que se muestra a los usuarios en la pantalla de inicio de sesión.
  4. Proporciona un enlace a los metadatos o pega los metadatos XML de IdP en el campo de metadatos de IdP.
  5. Especifica un identificador de usuario y el campo Totara al que deseas asignarlo. Solo se pueden utilizar campos de nombre de usuario, correo electrónico o número de identificación como identificador.
  6. Para configurar los ajustes adicionales y las asignaciones de campo, haga clic en Mostrar ajustes avanzados:
    • En la pestaña Asignaciones de campo , asigne los atributos de usuario proporcionados por el IdP a su usuario de instancia de Totara. Ten en cuenta que los atributos del usuario pueden ser URL completas.
    • La pestaña Advanced settings (Configuración avanzada) contiene las siguientes opciones para modificar el comportamiento específico de Totara al interactuar con el IdP:
      • Nuevos usuarios: Selecciona cómo se deben manejar los nuevos usuarios.
      • Usuarios existentes: Selecciona cómo se deben manejar los usuarios existentes. 
      • Formato de ID de nombre: Selecciona el formato que deseas usar.
      • ID de la entidad: Anular la ID de la entidad utilizada en los metadatos de SP.
      • Comportamiento de cierre de sesión: Hacer cumplir el cierre de sesión en IdP cuando el usuario cierra sesión en Totara.
      • Redirigir después de cerrar sesión: Especificar una URL de redireccionamiento después de cerrar sesión.
      • Delimitador de atributos: Delimitador de atributos utilizado para asignaciones de campos IdP con valores múltiples.
      • Firmas: Estos ajustes no son necesarios para una operación segura, pero pueden ser útiles en algunos casos. Seleccione entre las siguientes opciones:
        • Firmar metadatos
        • Firmar solicitudes de autenticación
        • Requerir que el IdP firme afirmaciones individuales
      • Ocultar en la página de inicio de sesión: Si se habilita, el IdP no se mostrará en la página de inicio de sesión.
      • Depuración: Capturar comunicaciones y el IdP para fines de depuración.
  7. Haga clic en Guardar.
  8. Asegúrese de que la opción Estado esté habilitada para garantizar que el IdP sea visible en la pantalla de inicio de sesión.
  9. Desde la página Administrar proveedores de identidad ,haz clic en el ícono de tres puntos (three_dots(1)) junto a la IdP y selecciona Probar para probar tu nueva conexión de IdP.
Hemos proporcionado instrucciones específicas para configurar SAML con Okta, Microsoft Entra ID y Microsoft AD FS.

Migrando usuarios a SAML 2.0 (SSO)

Los usuarios deben tener su método de autenticación establecido en SAML 2.0 (SSO) para poder iniciar sesión a través de SAML. Al importar usuarios a través de la importación de RR. HH., puedes configurar la opción Auth en 'ssosaml'.

Alternativamente, puedes establecer la configuración de enlace automático para un IdP a usuarios existentes y, opcionalmente, verificar la opción Requerir verificación de correo electrónico. Con estos ajustes habilitados, los usuarios existentes que no sean SAML podrán iniciar sesión a través de SAML si coinciden con las condiciones (mientras aún pueden usar sus métodos de inicio de sesión existentes).

Configurar SSO de SAML con Okta

Para configurar el SSO de SAML con Okta, siga estos pasos:

  1. Inicia sesión en Okta con tus credenciales.
  2. Haga clic en Admin.
  3. Vaya a Aplicaciones > Aplicaciones.
  4. Haga clic en Crear Integración de Aplicaciones y luego seleccione SAML 2.0.
  5. Introduzca un nombre y haga clic en Siguiente.
  6. En Totara, ve al menú de acceso rápido > Plugins > Authentication > SAML 2.0 (SSO) > Settings.
  7. Crear un IdP.
  8. Copia la siguiente información e introdúcela en Okta:
    • URL de ACS -> URL de inicio de sesión único
    • ID de la entidad -> URI de la audiencia
  9. Expanda la configuración avanzada y luego cargue el certificado desde Totara.
  10. Habilitar cierre de sesión único.
  11. Copiar la URL de cierre de sesión único de Totara a Okta.
  12. Copiar la ID de la entidad de Totara al campo Emisor SP en Okta.
  13. Completa los siguientes enunciados de atributos:
    • first_name -> usuario.firstName
    • last_name -> user.lastName
    • correo electrónico -> user.email
  14. Haga clic en Siguiente, seleccione cualquiera de las opciones y luego haga clic en Finalizar.
  15. Copia la URL de metadatos de Okta y pégala en Totara.
  16. Vuelve a Okta, ve a la pestaña Tareas y selecciona el grupo Todos .
  17. En Totara, bajo Identificador de usuario, ingresa "correo electrónico" como el campo IdP y elige Dirección de correo electrónico como el campo Totara.
  18. En Asignaciones de campo, agregue las siguientes asignaciones:
    • Nombre -> nombre, en cada inicio de sesión
    • Apellido -> apellido, en cada inicio de sesión
  19. Haga clic en Guardar.
  20. Haz clic en el ícono de tres puntos (three_dots(1)) y haz clic en Probar para comprobar que la integración funcione.

Configurar SSO de SAML con ID de Microsoft Entra

Para configurar SAML con Microsoft Entra ID (anteriormente Microsoft Azure Active Directory), necesitará una cuenta de usuario con privilegios de Administrador de la Aplicación. Inicia sesión en tu portal de Azure y sigue estos pasos:

  1. En tu instancia de Totara, ve a Menú de acceso rápido > Plugins > Autenticación > SAML 2.0 (SSO) > Configuración y crea un IdP.
  2. En Azure, busque y seleccione ID de Microsoft Entra.
  3. En la barra de navegación lateral, haga clic en Aplicaciones empresariales.
  4. Haga clic en + Nueva aplicación.
  5. Haga clic en + Crear su propia aplicación.
  6. Asigne un nombre a la aplicación.
  7. Selecciona Integrar cualquier otra aplicación que no encuentres en la galería (no galería).
  8. Haga clic en Crear. A continuación, será dirigido a la aplicación empresarial recién creada.
  9. En la aplicación empresarial recién creada, haga clic en Inicio de sesión único en la barra lateral de navegación.
  10. Haga clic en SAML.
  11. Haz clic en Editar en la tarjeta de Configuración Básica de SAML y proporciona lo siguiente desde tu IdP de Totara recién creado:
    • Identificador (ID de la entidad)
    • URL de respuesta (URL de servicio al consumidor de Assertion)
    • URL de cierre de sesión 
    • Como alternativa, puedes descargar tus metadatos de Totara y cargarlos haciendo clic en Cargar archivo de metadatos
  12. Haga clic en Guardar.
  13. En la tarjeta de certificados SAML, haga clic en el enlace de descarga junto a Federation Metadata XML.
  14. Copia el contenido del archivo XML en el campo de metadatos IdP de tu Totara IdP (asegúrate de que XML esté seleccionado).
  15. Haga clic en Usuarios y grupos en la barra de navegación lateral.
  16. Haga clic en + Añadir usuario/grupo y asigne un usuario al que tenga acceso.
  17. En tu sitio de Totara, ve a tu instancia de Totara y prueba la configuración.
  18. Asigne los atributos proporcionados por el IdP a su instancia de Totara según sea necesario. Consulte Crear una conexión IdP para obtener más información. Para ver los nombres de los campos a utilizar:
    1. Navegar a la lista de proveedores de identidad.
    2. Haga clic en el ícono de tres puntos (three_dots(1)) en el IdP y luego seleccione Test.
    3. Seleccione Login (AuthnRequest) y haga clic en Test.
    4. Inicie sesión en el IdP.
    5. Consulte lacolumna Nombres de campo en la página Configuración  de prueba para ver lo que proporciona el IdP:
      The Test IdP page showing the field names and their associated values.
      Copia la cadena completa de la columna 'Nombres de campo' para el campo que deseas usar en el campo de texto del campo IdP.
  19. Para probar el inicio de sesión iniciado por IdP, vaya a https://myapplications.microsoft.com/.
  20. Busca la empresa que creaste y haz clic en ella para iniciar sesión.

Configurar SSO SAML con Microsoft AD FS

Para configurar SAML SSO con Microsoft AD FS, siga estos pasos:

  1. Instalar y configurar AD DS y AD FS en una instancia de Windows Server.
  2. En Totara (asegúrate de estar usando https y de haber purgado tu caché), ve a Menú de acceso rápido > Plugins > Autenticación > SAML 2.0 (SSO) > Configuración y crea un IdP. Obtener los metadatos XML de federación de AD FS. 
  3. Añadir los metadatos en Totara como XML.
  4. Asignar 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress' al identificador de usuario .
  5. Configurar las siguientes asignaciones:
    • Dirección de correo electrónico → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • Nombre →  http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
    • Apellido → http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  6. Haga clic en Guardar.
  7. Descarga los metadatos de Totara.
  8. Conectar al servidor AD FS.
  9. Abra la herramienta de gestión de AD FS (Administrador de servidores > Herramientas > AD FS).
  10. Selecciona Confiabilidad de la parte en la barra lateral izquierda y elige Añadir confianza de la parte en cuestión.
  11. Selecciona Reclamaciones conscientes.
  12. Carga los metadatos de Totara.
  13. Dale un nombre para que pueda ser fácilmente identificado.
  14. Selecciona Permitir a todos.
  15. Haga clic en Finalizar.
  16. Es posible que no importe las URL de ACS/SLO, por lo que debe hacer clic con el botón secundario en la entrada que agregó y luego ir a Propiedades > Terminales. Si está vacío, sigue estos pasos:
    1. Haz clic en Añadir SAML y selecciona Consumidor de Aserción.
    2. Copia la URL de ACS de Totara a la URL de confianza, establece la vinculación a POST y marca la opción Predeterminado, luego haz clic en Guardar.
    3. Haz lo mismo para SLO.
    4. Cerrar propiedades.
  17. Haga clic con el botón derecho en la entrada y haga clic en Editar política de emisión de reclamaciones.
  18. Añadir una regla y seleccionar Enviar atributos LDAP como reclamos.
  19. Introduzca un nombre.
  20. Elija Active Directory como el almacén de atributos.
  21. Asignar los siguientes campos (LDAP → Saliente):
    • Nombre principal del usuario → ID del nombre (esto es importante, ya que si el ID del nombre no está asignado, AD FS no enviará SessionIndex)
    • Dirección de correo electrónico → Dirección de correo electrónico
    • Nombre → Nombre
    • Apellido → Apellido

Join the Totara Community for more resources to help you get the most out of Totara. 


© Copyright 2026 Totara Learning Solutions. All rights reserved.

Síguenos

Si tienes alguna pregunta o comentario sobre la documentación de Totara, por favor contacta con documentation@totara.com.

Para informar de un problema de seguridad de un cliente, por favor contacta con nuestro Equipo de Seguridad a través de security@totara.com. Si eres cliente de TotaraGov y tienes un problema de seguridad, por favor contacta con nuestro Equipo de Seguridad del Sector Público a través de security@totaraclouddirect.com.

© Copyright 2026 Totara Learning Solutions. Todos los derechos reservados. Parte del contenido se obtuvo originalmente bajo la licencia GPLv3 y continúa disponible bajo GPLv3. Todo el demás contenido es propiedad exclusiva de Totara Learning Solutions.

Totara se compromete a respetar y proteger tu privacidad. Para más información, visita nuestra Política de privacidad.