Conceptos de aprovisionamiento de entrada controlados por API

En este documento se proporciona información general conceptual sobre el aprovisionamiento de usuarios entrantes controlado por la API de Microsoft Entra.

Introducción

Hoy en día las empresas tienen varios sistemas autoritativos de registro. Para establecer el ciclo de vida completo de identidad, reforzar la postura de seguridad y cumplir las normativas, los datos de identidad de Microsoft Entra ID deben mantenerse sincronizados con los datos de los empleados administrados en estos sistemas de registro. El sistema de registro puede ser una aplicación de RR. HH., una aplicación de nóminas, una hoja de cálculo o tablas SQL en una base de datos hospedada en el entorno local o en la nube.

Con el aprovisionamiento de entrada controlado por API, el servicio de aprovisionamiento de Microsoft Entra ahora admite la integración con cualquier sistema de registro. Los clientes y asociados pueden utilizar cualquier herramienta de automatización de su elección para recuperar datos de los empleados del sistema de registro e ingerirlos en Microsoft Entra ID. El administrador de TI tiene control total sobre cómo se procesan y transforman los datos con asignaciones de atributos. Una vez que los datos de los empleados están disponibles en Microsoft Entra ID, el administrador de TI puede configurar los procesos empresariales de usuario que se une, usuario que abandona y usuario que se traslada adecuados mediante flujos de trabajo del ciclo de vida.

Escenarios admitidos

Se habilitan varios escenarios de aprovisionamiento de usuarios entrantes mediante el aprovisionamiento de entrada controlado por API. En este diagrama se muestran los escenarios más comunes.

Diagrama que muestra escenarios de flujo de trabajo de API.

Escenario 1: Habilitar los equipos de TI para importar extractos de datos de RR. HH. mediante cualquier herramienta de automatización

Los archivos planos, los archivos CSV y las tablas de almacenamiento provisional de SQL se usan normalmente en escenarios de integración empresarial. La información de empleados, contratistas y proveedores se exporta periódicamente a uno de estos formatos y se utiliza una herramienta de automatización para sincronizar estos datos con los directorios de identidad de la empresa. Con el aprovisionamiento de entrada controlado por API, los equipos de TI pueden usar cualquier herramienta de automatización de su elección (ejemplo: scripts de PowerShell o Azure Logic Apps) para modernizar y simplificar esta integración.

Escenario 2: Permitir que los ISV creen una integración directa con Microsoft Entra ID

Con el aprovisionamiento de entrada basado en API, los ISV de RR. HH. pueden ofrecer experiencias de sincronización nativas para que los cambios en el sistema de RR. HH. fluyan automáticamente a Microsoft Entra ID y a los dominios de Active Directory locales conectados. Por ejemplo, una aplicación de RR. HH. o de sistemas de información de estudiantes puede enviar datos a Microsoft Entra ID en cuanto se complete una transacción o como actualización masiva al final del día.

Escenario 3: Habilitar integradores de sistemas para crear más conectores en sistemas de registro

Los asociados pueden crear conectores de RR. HH. personalizados para satisfacer diferentes requisitos de integración en torno al flujo de datos desde los sistemas de registro a Microsoft Entra ID.

En todos los casos anteriores la integración se simplifica considerablemente, ya que el servicio de aprovisionamiento de Microsoft Entra asume la responsabilidad de comparar los perfiles de identidad, lo que restringe la sincronización de datos a la lógica de ámbito configurada por el administrador de TI y ejecuta el flujo de atributos basado en reglas y la transformación administrada en el portal de administración de Microsoft Entra.

Flujo integral

Diagrama del flujo de trabajo de un extremo a otro del aprovisionamiento de entrada.

Pasos del flujo de trabajo

  1. El administrador de TI configura una aplicación de aprovisionamiento de usuarios entrantes controlada por API desde la galería de aplicaciones empresariales de Microsoft Entra.
  2. El administrador de TI concede permisos de acceso y proporciona los detalles de acceso al punto de conexión al desarrollador, asociado o integrador de sistemas de API.
  3. El desarrollador, asociado o integrador de sistemas de API crea un cliente de API para enviar datos de identidad autorizados a Microsoft Entra ID.
  4. El cliente de API lee los datos de identidad del origen autoritativo.
  5. El cliente de API envía una solicitud POST para aprovisionar el punto de conexión de la API /bulkUpload asociado a la aplicación de aprovisionamiento.

    Nota

    El cliente de API no necesita realizar ninguna comparación entre los atributos de origen y los valores de atributo de destino para determinar qué operación (crear, actualizar, habilitar o deshabilitar) invocar. Esto lo controla automáticamente el servicio de aprovisionamiento. El cliente de la API simplemente carga los datos de identidad leídos del sistema de origen mediante el empaquetado como solicitud masiva utilizando construcciones de esquema SCIM.

  6. Si se ejecuta correctamente, se devuelve Accepted 202 Status.
  7. El servicio de aprovisionamiento de Microsoft Entra procesa los datos recibidos, aplica las reglas de asignación de atributos y completa el aprovisionamiento de usuarios.
  8. En función de la aplicación de aprovisionamiento configurada, el usuario se aprovisiona en Active Directory local (para usuarios híbridos) o Microsoft Entra ID (para usuarios solo de nube).
  9. A continuación, el cliente de API consulta el punto de conexión de API de registros de aprovisionamiento para el estado de cada registro enviado.
  10. Si se produce un error en el procesamiento de algún registro, el cliente de la API puede comprobar los detalles del error e incluir los registros correspondientes a las operaciones con errores en la siguiente solicitud masiva (paso 5).
  11. En cualquier momento, el administrador de TI puede comprobar el estado del trabajo de aprovisionamiento y ver los eventos en los registros de aprovisionamiento.

Principales características del aprovisionamiento de usuarios entrantes controlado por API

  • Disponible como una aplicación de aprovisionamiento que expone un punto de conexión asíncrono de la API de aprovisionamiento /bulkUpload de Microsoft Graph al que se accede mediante un token de OAuth válido.
  • Los administradores de inquilinos deben permitir a los clientes de API que interactúen con esta aplicación de aprovisionamiento con el permiso de Graph SynchronizationData-User.Upload.
  • El punto de conexión de Graph API acepta cargas de solicitud masiva válidas mediante construcciones de esquema SCIM.
  • Con las extensiones de esquema SCIM, puede enviar cualquier atributo en la carga de la solicitud masiva.
  • El límite de velocidad de la API de aprovisionamiento de entrada es de 40 solicitudes de carga masiva por segundo. Cada solicitud masiva puede contener un máximo de 50 registros de usuario, lo que admite una tasa de carga de 2000 registros por segundo.
  • Cada punto de conexión de API está asociado a una aplicación de aprovisionamiento específica en Microsoft Entra ID. Puede integrar varios orígenes de datos mediante la creación de una aplicación de aprovisionamiento para cada origen de datos.
  • Las cargas de solicitudes masivas entrantes se procesan casi en tiempo real.
  • Los administradores pueden comprobar el progreso del aprovisionamiento viendo los registros de aprovisionamiento.
  • Los clientes de API pueden realizar un seguimiento del progreso consultando la API de registros de aprovisionamiento.

Requisitos de licencia

Esta característica está disponible con las licencias de Microsoft Entra ID P1, P2 y Gobierno de Microsoft Entra ID. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Guía de uso de API

El punto de conexión de API /bulkUpload expande el número de formas en que puede administrar usuarios en Entra ID. Para ayudarle a determinar si el punto de conexión de API /bulkUpload es adecuado para el escenario de integración, consulte esta tabla que lo compara con otras opciones de integración basadas en API.

Casos de uso de asignación de escenario a API API de creación de usuario API masiva de entrada de RR. HH. API de invitación de usuario API de asignación directa
Cuando el escenario de creación de identidad es... Creación de usuarios ad hoc en Id. de Entra para un usuario no asociado a ningún trabajo de RR. HH Obtener registros de empleados de un origen de RR. HH. autoritativo y desea que esos empleados tengan cuentas de "miembro" en Entra ID o Active Directory local Creación de usuarios invitados ad hoc en Entra ID, con fines de uso compartido, donde el invitado tiene derechos de acceso únicos Asignación de acceso para usuarios existentes y creación de invitados (versión preliminar) en Entra ID, para conceder al nuevo invitado acceso estandarizado
...Uso de la API... Crear usuario Ejecute bulkUpload. Crear invitación Crear accessPackageAssignmentRequest
El usuario resultante se crea primero en... Entra ID Active Directory local o Id. de Entra Entra ID Entra ID
El usuario resultante se autentifica en... Entra ID, con la contraseña que proporcione Active Directory local de Entra ID, con un Pase de acceso temporal proporcionado por los flujos de trabajo del ciclo de vida de Entra Inquilino principal u otro proveedor de identidades Inquilino principal u otro proveedor de identidades
Las actualizaciones posteriores del usuario se pueden realizar a través de Graph API o el portal de Entra Graph API o API masiva de entrada de RR. HH. o el portal de Entra Graph API o el portal de Entra Graph API o el portal de Entra
El ciclo de vida del usuario cuando comienza su uso, viene determinado por... Procesos manuales Flujos de trabajo del ciclo de vida de incorporación de Entra que se desencadenan en función del atributo employeeHireDate Administración de derechos Asignación automática mediante paquetes de acceso de Administración de derechos
El ciclo de vida del usuario cuando finaliza su uso viene determinado por... Procesos manuales Flujos de trabajo del ciclo de vida de retirada de Entra que se desencadenan en función del atributo employeeLeaveDateTime Revisiones de acceso Se retira la Administración de derechos cuando el usuario pierde su última asignación de paquete de acceso
# Objetivo de aprendizaje Guía
1. Si desea obtener más información sobre las especificaciones de la API de aprovisionamiento de entrada. Consulte el documento de especificación de API /bulkUpload.
2. Quiere familiarizarse más con los conceptos, escenarios y limitaciones del aprovisionamiento controlado por API. Consulte Preguntas más frecuentes sobre el aprovisionamiento de entrada controlado por API.
3. Como usuario administrador, quiere probar rápidamente la API de aprovisionamiento de entrada. * Cree unaaplicación de aprovisionamiento de entrada controlada por API.
* Probar la API mediante el Explorador de Graph
4. Con una cuenta de servicio o una identidad administrada, quiere probar rápidamente la API de aprovisionamiento de entrada. * Cree unaaplicación de aprovisionamiento de entrada controlada por API.
* Conceda permisos de API
* Prueba de la API mediante cURL o Postman
5. Quiere ampliar la aplicación de aprovisionamiento controlada por API para procesar más atributos personalizados. Consulte el tutorial Extensión del aprovisionamiento controlado por API para sincronizar atributos personalizados
6. Quiere automatizar la carga de datos desde el sistema de registro al punto de conexión de la API de aprovisionamiento de entrada. Consulte los tutoriales
* Inicio rápido con PowerShell
* Inicio rápido con Azure Logic Apps
7. Quiere solucionar problemas de la API de aprovisionamiento de entrada Consulte la Guía de solución de problemas.

Recursos de aprendizaje externo

El siguiente contenido, creado por nuestros asociados y MVP de Microsoft, ofrece instrucciones adicionales sobre cómo implementar y configurar el aprovisionamiento controlado por API para varios escenarios de integración.

Pasos siguientes