Habilitación del aprovisionamiento automático de usuarios para aplicaciones multiinquilino de Microsoft Entra ID

El aprovisionamiento automático de usuarios es el proceso de automatizar la creación, el mantenimiento y la eliminación de identidades de usuario en sistemas de destino, como las aplicaciones de software como servicio.

¿Por qué debería habilitar el aprovisionamiento automático de usuarios?

Las aplicaciones que requieren un registro de usuario se encuentran en la aplicación antes de que el primer inicio de sesión de un usuario requiera el aprovisionamiento de usuarios. Existen beneficios para usted como proveedor de servicios y beneficios para sus clientes.

Beneficios para usted como proveedor de servicios

• Aumente la seguridad de su aplicación gracias a la plataforma de identidad de Microsoft.

• Reduzca el esfuerzo real y percibido del cliente para adoptar su aplicación.

• Reduzca los costos gracias a la integración con varios proveedores de identidades (IdP) para el aprovisionamiento automático de usuarios mediante el uso del aprovisionamiento basado en System for Cross-Domain Identity Management (SCIM).

• Reduzca los costos del soporte técnico al proporcionar registros enriquecidos para ayudar a los clientes a solucionar problemas de aprovisionamiento de usuarios.

• Aumente la visibilidad de su aplicación en la galería de aplicaciones de Microsoft Entra.

• Obtenga una lista prioritaria en la página de tutoriales de la aplicación.

Beneficios para sus clientes

• Aumento de la seguridad al eliminar automáticamente el acceso a la aplicación para los usuarios que cambian roles o dejan la organización en la aplicación.

• Oportunidad de simplificar la administración de usuarios de la aplicación evitando errores humanos y trabajos repetitivos asociados con el aprovisionamiento manual.

• Reducción de los costos de hospedaje y mantenimiento de las soluciones de aprovisionamiento desarrolladas de forma personalizada.

Elija un método de aprovisionamiento

Microsoft Entra ID proporciona varias rutas de integración para habilitar el aprovisionamiento automático de usuarios para la aplicación.

• El Servicio de aprovisionamiento de Microsoft Entra administra el aprovisionamiento y el desaprovisionamiento de usuarios desde Microsoft Entra ID a la aplicación (aprovisionamiento saliente) y desde la aplicación hacia Microsoft Entra ID (aprovisionamiento entrante). El servicio se conecta a los puntos de conexión de la API de administración de usuarios de System for Cross-Domain Identity Management (SCIM) que proporciona la aplicación.

• Al usar Microsoft Graph, la aplicación administra el aprovisionamiento entrante y saliente de usuarios y grupos desde Microsoft Entra ID a la aplicación, consultando para ello Microsoft Graph API.

• El aprovisionamiento de usuarios del lenguaje de marcado de aserción de seguridad de tipo Just-In-Time (SAML JIT) se puede habilitar si su aplicación está usando SAML para la federación. Usa la información de las notificaciones enviada en el token SAML para aprovisionar usuarios.

Para poder determinar qué opción de integración debe usar en la aplicación, consulte la tabla de comparación de alto nivel y, a continuación, lea la información más detallada sobre cada opción.

Capacidades habilitadas o mejoradas gracias al aprovisionamiento automático	servicio de aprovisionamiento de Microsoft Entra (SCIM 2.0)	Microsoft Graph API (OData v4.0)	SAML JIT
Administración de usuarios y grupos en Microsoft Entra ID	√	√	Solo usuario
Administrar usuarios y grupos sincronizados desde la instancia local de Active Directory	√*	√*	Solo usuario*
Acceso a los datos más allá de los usuarios y grupos durante el aprovisionamiento; acceso a los datos de Microsoft 365 (Teams, SharePoint, correo electrónico, calendario, documentos, etc.)	X+	√	X
Crear, leer y actualizar usuarios en función de las reglas de negocio	√	√	√
Eliminar usuarios según las reglas de negocio	√	√	X
Administrar el aprovisionamiento automático de usuarios para todas las aplicaciones desde el centro de administración de Microsoft Entra	√	X	√
Compatibilidad con varios proveedores de identidades	√	X	√
Compatibilidad con cuentas de invitado (B2B)	√	√	√
Compatibilidad con cuentas no empresariales (B2C)	X	√	√

^*: es necesaria la configuración de Microsoft Entra Connect para sincronizar usuarios de AD con Microsoft Entra ID.
⁺: el uso de SCIM para el aprovisionamiento no le impide integrar su aplicación con Microsoft Graph para otros fines.

servicio de aprovisionamiento de Microsoft Entra (SCIM)

El servicio de aprovisionamiento de Microsoft Entra usa SCIM, un estándar del sector para el aprovisionamiento compatible con muchos proveedores de identidades (IdP), así como aplicaciones (por ejemplo, Slack, G Suite o Dropbox). Le recomendamos que use el servicio de aprovisionamiento de Microsoft Entra si quiere admitir IdP además de Microsoft Entra ID, ya que cualquier IdP compatible con SCIM puede conectarse a su punto de conexión de SCIM. Al compilar un punto de conexión de usuario sencillo, puede habilitar el aprovisionamiento sin tener que mantener su propio motor de sincronización.

Para obtener más información sobre cómo usa el servicio de aprovisionamiento de Microsoft Entra la especificación SCIM, consulte:

• Más información acerca del estándar SCIM

• Uso de System for Cross-Domain Identity Management (SCIM) para aprovisionar automáticamente a los usuarios y grupos de Microsoft Entra ID para aplicaciones

• Descripción de la implementación de SCIM de Microsoft Entra

Microsoft Graph para el aprovisionamiento

Cuando usa Microsoft Graph para el aprovisionamiento, tiene acceso a todos los datos de usuario enriquecidos disponibles en Graph. Además de los detalles de los usuarios y grupos, también puede obtener información adicional como los roles del usuario, el administrador y los informes directos, los dispositivos propios y registrados y cientos de otras partes de datos disponibles en Microsoft Graph.

Más de 15 millones de organizaciones y el 90 % de las compañías de la lista Fortune 500 usan Microsoft Entra ID a la vez que se suscriben a servicios en la nube de Microsoft como Microsoft 365, Microsoft Azure o Enterprise Mobility Suite. Puede usar Microsoft Graph para integrar su aplicación con flujos de trabajo administrativos, como la incorporación (y finalización de contratos) de empleados, el mantenimiento de los perfiles y muchas cosas más.

Más información sobre el uso de Microsoft Graph para el aprovisionamiento:

• Página principal de Microsoft Graph

• Overview of Microsoft Graph (Información general de Microsoft Graph)

• Información general de la autenticación de Microsoft Graph

• Introducción a Microsoft Graph

Usar SAML JIT para el aprovisionamiento

Si quiere aprovisionar usuarios solo cuando inicien sesión por primera vez en la aplicación, y no necesita desaprovisionar usuarios automáticamente, SAML JIT es una opción que puede usar. Para poder usar SAML JIT, su aplicación debe ser compatible con SAML 2.0 como protocolo de federación.

SAML JIT usa la información de notificaciones en el token SAML para crear y actualizar la información del usuario en la aplicación. Los clientes pueden configurar estas notificaciones necesarias en la aplicación Microsoft Entra según sea necesario. A veces, el aprovisionamiento de JIT debe habilitarse desde el lado de la aplicación para que el cliente pueda usar esta característica. SAML JIT es útil para crear y actualizar usuarios, pero no puede eliminar o desactivar los usuarios de la aplicación.

Pasos siguientes

• Habilitar el inicio de sesión único en la aplicación

• Envíe el listado de aplicaciones y asóciese con Microsoft para crear la documentación en el sitio web de Microsoft.

• Únase a Microsoft Partner Network (gratis) y cree su plan de comercialización.