Aprovisionamiento de usuarios en aplicaciones mediante PowerShell

  • Artículo

En la siguiente documentación se proporciona información de configuración y tutorial que muestra cómo se puede usar el conector genérico de PowerShell y el host del conector extensible (ECMA) para integrar Microsoft Entra ID con sistemas externos que ofrecen API basadas en Windows PowerShell.

Para más información, consulte Referencia técnica del conector Windows PowerShell.

Requisitos previos para el aprovisionamiento a través de PowerShell

En las siguientes secciones se detallan los requisitos previos para este tutorial.

Descargar los archivos de configuración de PowerShell

Descargue los archivos de instalación de PowerShell desde nuestro repositorio de GitHub. Los archivos de configuración consisten en el archivo de configuración, el archivo de entrada, el archivo de esquema y los scripts que se usan.

Requisitos previos locales

El conector proporciona un puente entre las capacidades del host del conector ECMA y Windows PowerShell. Antes de usar el conector, asegúrese de que el servidor que lo hospeda dispone de los siguientes elementos

  • Windows Server 2016 o una versión posterior.
  • Al menos 3 GB de RAM para hospedar un agente de aprovisionamiento.
  • .NET Framework 4.7.2
  • Windows PowerShell 2.0, 3.0 o 4.0
  • Conectividad entre el servidor de hospedaje, el conector y el sistema de destino con el que interactúan los scripts de PowerShell.
  • La directiva de ejecución en el servidor debe estar configurada para permitir que el conector ejecute scripts de Windows PowerShell. A menos que los scripts que ejecutan el conector estén firmados digitalmente, configure la directiva de ejecución mediante la ejecución de este comando:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • La implementación de este conector requiere uno o más scripts PowerShell. Algunos productos de Microsoft pueden proporcionar secuencias de comandos para su uso con este conector, y la declaración de soporte para esas secuencias de comandos sería proporcionada por ese producto. Si desarrolla sus propios scripts para usarlos con este conector, deberá estar familiarizado con Extensible Connectivity Management Agent API para desarrollar y mantener dichos scripts. Si va a realizar la integración con sistemas de terceros mediante sus propias secuencias de comandos en un entorno de producción, le recomendamos que trabaje con el proveedor de terceros o con un socio de implementación para obtener ayuda, orientación y soporte para esta integración.

Requisitos de la nube

  • Un inquilino de Microsoft Entra con Microsoft Entra ID P1 o Premium P2 (o EMS E3 o E5). El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
  • El rol Administrador de identidad híbrida para configurar el agente de aprovisionamiento y los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube para configurar el aprovisionamiento en Azure Portal.
  • Los usuarios de Microsoft Entra que se van a aprovisionar ya deben tener los atributos requeridos por el esquema.

Descarga, instale y configure el paquete del agente de aprovisionamiento de Microsoft Entra Connect

Si ya ha descargado el agente de aprovisionamiento y lo ha configurado para otra aplicación local, continúe la lectura en la sección siguiente.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync>Agentes.

Screenshot of new UX screen.

  1. Seleccione Descargar agente local, revise los términos de servicio y, después, seleccione Aceptar términos y descargar.

    Nota:

    Use agentes de aprovisionamiento diferentes para el aprovisionamiento de aplicaciones locales y el aprovisionamiento controlado por la sincronización de nube de Microsoft Entra Connect o HR. No se deben administrar los tres escenarios en el mismo agente.

  2. Abra el instalador del agente de aprovisionamiento, acepte los términos del servicio y seleccione Instalar.

  3. Cuando se abra el asistente para la configuración del agente de aprovisionamiento de Microsoft Entra, vaya a la pestaña Seleccionar extensión y seleccione Aprovisionamiento de aplicaciones locales cuando se le solicite la extensión que quiere habilitar.

  4. El agente de aprovisionamiento usa el explorador web del sistema operativo para mostrar una ventana emergente para que el usuario se autentique en Microsoft Entra ID y, potencialmente, también en el proveedor de identidades de su organización. Si usa Internet Explorer como explorador en Windows Server, es posible que tenga que agregar sitios web de Microsoft a la lista de sitios de confianza del explorador para permitir que JavaScript se ejecute correctamente.

  5. Proporcione las credenciales de un administrador de Microsoft Entra cuando se le solicite para la autorización. Es necesario que el usuario tenga el rol Administrador de identidad híbrida o Administrador global.

  6. Seleccione Confirmar para confirmar la configuración. Una vez que la instalación se haya realizado correctamente, puede seleccionar Salir y cerrar también el instalador de paquete del agente de aprovisionamiento.

Configuración de la aplicación ECMA local

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
  3. Seleccione Nueva aplicación.
  4. Busque la aplicación ECMA local, asigne un nombre a la aplicación y seleccione Crear para agregarla al inquilino.
  5. Vaya a la página de aprovisionamiento de la aplicación.
  6. Seleccione Comenzar.
  7. En la página Aprovisionamiento, cambie el modo a Automático.
  8. En la sección Conectividad local, seleccione el agente que acaba de implementar y luego Asignar agentes.
  9. Mantenga abierta esta ventana del explorador, ya que completará el siguiente paso de configuración con el Asistente para configuración.

Coloque el archivo InputFile.txt y Schema.xml en ubicaciones

Antes de crear el conector PowerShell para este tutorial, debe copiar el archivo InputFile.txt y Schema.xml en las ubicaciones correctas. Estos archivos son los que tuvo que descargar en la sección Descargar los archivos de configuración de PowerShell.

Archivo ubicación
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Configurar el certificado de host del conector ECMA de Microsoft Entra

  1. En la instancia de Windows Server donde está instalado el agente de aprovisionamiento, haga clic con el botón derecho en el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio y ejecútelo como administrador. Debe ejecutarlo como administrador de Windows para que el asistente cree los registros de eventos de Windows necesarios.
  2. Una vez iniciada la configuración del host del conector ECMA, si es la primera vez que se ha ejecutado el asistente, se le pedirá que cree un certificado. Deje el puerto predeterminado 8585 y seleccione Generar certificado para generar un certificado. El certificado autogenerado se firma automáticamente como parte de la raíz de confianza. El certificado SAN coincide con el nombre de host.
  3. Seleccione Guardar.

Creación del conector de PowerShell

Pantalla general

  1. Inicie el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio.

  2. En la parte superior, seleccione Importar y seleccione el archivo configuration.xml del paso 1.

  3. El nuevo conector debería crearse y aparecer en rojo. Haga clic en Editar.

  4. Genere un token secreto utilizado para autenticar Microsoft Entra ID en el conector. Debe tener un mínimo de 12 caracteres y un valor único para cada aplicación. Si aún no tiene un generador de secretos, puede usar un comando de PowerShell como el siguiente para generar una cadena aleatoria de ejemplo.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})

  5. En la página Propiedades, debe rellenarse toda la información. La tabla se proporciona como referencia. Haga clic en Next.

    Propiedad Valor
    Nombre El nombre que eligió para el conector, que debe ser único en todos los conectores del entorno. Por ejemplo, PowerShell.
    Temporizador de sincronización automática (minutos) 120
    Token secreto Escriba aquí el token secreto. Debe tener un mínimo de 12 caracteres.
    DLL de extensión Para el conector PowerShell, seleccione Microsoft.IAM.Connector.PowerShell.dll.

Screenshot of general screen.

Conectividad

La pestaña de conectividad le permite suministrar parámetros de configuración para conectarse a un sistema remoto. Configure la pestaña de conectividad con la información proporcionada en la tabla.

  • En la página Conectividad, debe rellenarse toda la información. La tabla se proporciona como referencia. Haga clic en Next.

Screenshot of the connectivity screen.

Parámetro Value Propósito
Server <En blanco> Nombre del servidor al que debe conectarse el conector.
Dominio <En blanco> Dominio de la credencial para almacenar para su uso cuando se ejecuta el conector.
Usuario <En blanco> Nombre de usuario de la credencial para almacenar para su uso cuando se ejecuta el conector.
Contraseña <En blanco> Contraseña de la credencial para almacenar para su uso cuando se ejecuta el conector.
Suplantación de la cuenta del conector No activado Cuando es true, el servicio de sincronización ejecuta los scripts de Windows PowerShell en el contexto de las credenciales suministradas. Cuando sea posible, se recomienda que se use el parámetro $Credentials pasado a cada script en lugar de la suplantación.
Carga del perfil de usuario al suplantar No activado Indica a Windows que cargue el perfil de usuario de las credenciales del conector durante la suplantación. Si el usuario suplantado tiene un perfil móvil, el conector no carga el perfil móvil.
Tipo de inicio de sesión al suplantar None Tipo de inicio de sesión durante la suplantación Para obtener más información, consulte la documentación de dwLogonType.
Solo scripts firmados No activado Si es true, el conector de Windows PowerShell valida que cada script tenga una firma digital válida. Si es false, asegúrese de que la directiva de ejecución de Windows PowerShell del servidor de servicio de sincronización es RemoteSigned o Unrestricted.
Nombre común del script del módulo (con extensión) xADSyncPSConnectorModule.psm1 : el conector le permite almacenar un módulo compartido de Windows PowerShell en la configuración. Cuando el conector ejecuta un script, el módulo de Windows PowerShell se extrae en el sistema de archivos, por lo que puede importarlo cada script.
Script de módulo común Código del módulo del conector PowerShell de AD Sync como valor. Este módulo se creará automáticamente por el ECMA2Host cuando se ejecute el conector.
Script de validación <En blanco> El script de validación es un script de Windows PowerShell opcional que puede usarse para comprobar la validez de los parámetros de configuración del conector proporcionados por el administrador.
Script de esquema GetSchema code como valor.
Nombres de parámetros de configuración adicionales FileName,Delimiter,Encoding Además de la configuración estándar descrita hasta ahora, puede definir opciones de configuración personalizadas adicionales que son específicos de la instancia del conector. Estos parámetros se pueden especificar en los niveles del conector, partición o paso de ejecución y se puede acceder a ellos desde el script de Windows PowerShell competente.
Nombres de parámetros de configuración cifrados adicionales <En blanco>

Capacidades

La pestaña de capacidades define el comportamiento y la funcionalidad del conector. Las selecciones realizadas en esta pestaña no pueden modificarse cuando se crea el conector. Configure la pestaña de capacidades con la información proporcionada en la tabla.

  • En la página Capacidades, debe rellenarse toda la información La tabla se proporciona como referencia. Haga clic en Next.

Screenshot of the capabilities screen.

Parámetro Value Propósito
Estilo de nombre distintivo None Indica si el conector admite nombres distintivos y si es así, de qué estilo.
Tipo de exportación ObjectReplace Determina los tipos de objetos presentes en el script de exportación.
Normalización de datos None Indica al servicio de sincronización que normalice los atributos de anclaje antes de que se proporcionen a los scripts.
Confirmación de objeto Normal Esto se omite.
Usar el nombre distintivo como delimitador No activado Si se establece el estilo de nombre distintivo en LDAP, el atributo de anclaje del espacio del conector también es el nombre distintivo.
Operaciones simultáneas de varios conectores Activada Cuando está activada, se pueden ejecutar simultáneamente varios conectores de Windows PowerShell.
Particiones No activado Cuando está activada, el conector admite varias particiones y la detección de particiones.
Hierarchy No activado Cuando está activada, el conector admite una estructura jerárquica de estilo LDAP.
Habilitar importación Activada Cuando está activada, el conector importa datos a través de scripts de importación.
Habilitar importación diferencial No activado Cuando está activada, el conector puede solicitar los valores diferenciales de los scripts de importación.
Habilitar exportación Activada Cuando está activada, el conector exporta datos a través de scripts de exportación.
Habilitar exportación completa Activada No compatible. Esto se omitirá.
No hay valores de referencia en el primer paso de exportación No activado Cuando está activada, se exportan los atributos de referencia en un segundo paso de exportación.
Habilitar cambio de nombre de objeto No activado Cuando está activada, se pueden modificar los nombres distintivos.
Eliminar-agregar al reemplazar Activada No compatible. Esto se omitirá.
Habilitar contraseña de exportación en el primer paso No activado No compatible. Esto se omitirá.

Parámetros globales

La pestaña Parámetros globales permite configurar los scripts de Windows PowerShell que ejecuta el conector. También puede configurar valores globales para los parámetros de configuración personalizados definidos en la pestaña Conectividad. Configure la pestaña de parámetros globales con la información proporcionada en la tabla.

  • En la página Parámetros globales, debe rellenarse toda la información. La tabla se proporciona como referencia. Haga clic en Next.

Screenshot of the global screen.

Parámetro Valor
Script de partición <En blanco>
Script de jerarquía <En blanco>
Inicio del script de importación <En blanco>
Importación del script Pegue el script de importación como valor
Finalizar el script <En blanco>
Inicio del script de exportación <En blanco>
Exportar secuencia de comandos Pegue el script de importación como valor
Fin del script de exportación <En blanco>
Inicio del script de contraseña <En blanco>
Extensión del script de contraseña <En blanco>
Fin del script de contraseña <En blanco>
FileName_Global InputFile.txt
Delimiter_Global ;
Encoding_Global <En blanco> (el valor predeterminado es UTF8)

Particiones, Ejecutar perfiles, Exportar, Importación completa

Mantenga los valores predeterminados y haga clic en siguiente.

Tipos de objeto

Configure la pestaña de tipos de objeto con la información proporcionada en la tabla.

  • En la página Tipos de objeto, debe rellenarse toda la información. La tabla se proporciona como referencia. Haga clic en Next.

Screenshot of the object types screen.

Parámetro Valor
Objeto de destino Person
Delimitador AzureObjectID
Atributo de consulta AzureObjectID
DN AzureObjectID

Seleccionar atributos

Asegúrese de que están seleccionados los siguientes atributos:

  • En la página Seleccionar atributos, debe aparecer toda la información. La tabla se proporciona como referencia. Haga clic en Next.

  • AzureObjectID

  • IsActive

  • DisplayName

  • EmployeeId

  • Título

  • UserName

  • Email

Screenshot of the select attributes screen.

Deprovisioning

En la página Desaprovisionamiento, puede especificar si desea que Microsoft Entra ID elimine usuarios del directorio cuando salgan del ámbito de la aplicación. Si es así, en Deshabilitar flujo, seleccione Eliminar y, en Eliminar flujo, seleccione Eliminar. Si se selecciona Establecer valor de atributo, los atributos seleccionados en la página anterior no estarán disponibles para seleccionarlos en la página de Desaprovisionamiento.

  • En la página Desaprovisionamiento, toda la información debe estar rellenada. La tabla se proporciona como referencia. Haga clic en Next.

Screenshot of the deprovisioning screen.

Asegúrese de que el servicio ECMA2Host se ejecuta y puede leer desde el archivo a través de PowerShell

Siga estos pasos para confirmar que el host del conector se inició e identificó a los usuarios existentes del sistema de destino.

  1. En el servidor en el que se ejecuta el host del conector ECMA de Microsoft Entra, seleccione Iniciar.
  2. Seleccione Ejecutar si es necesario y escriba services.msc en el cuadro.
  3. En la lista Servicios, asegúrese de que Microsoft ECMA2Host esté presente y en ejecución. Si no se está ejecutando, seleccione Iniciar.
  4. En el servidor en el que se ejecuta el host del conector ECMA de Microsoft Entra, inicie PowerShell.
  5. Cambie a la carpeta en la que se instaló el host ECMA, como C:\Program Files\Microsoft ECMA2Host.
  6. Cambie al subdirectorio Troubleshooting.
  7. Ejecute el script TestECMA2HostConnection.ps1 en el directorio que se muestra y proporcione como argumentos el nombre del conector y el valor ObjectTypePathcache. Si el host del conector no escucha en el puerto TCP 8585, es posible que también tenga que proporcionar el argumento -Port. Cuando se le solicite, escriba el token secreto configurado para ese conector. 
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
  8. Si el script muestra un mensaje de error o advertencia, compruebe que el servicio se esté ejecutando y que el nombre del conector y el token secreto coincidan con los valores configurados en el asistente para configuración.
  9. Si el script muestra la salida False, entonces el conector no ha visto ninguna entrada en el sistema de destino de origen para usuarios existentes. Si se trata de una nueva instalación del sistema de destino, este comportamiento es de esperar y puede continuar en la siguiente sección.
  10. Sin embargo, si el sistema de destino ya contiene uno o más usuarios pero la secuencia de comandos muestra False, este estado indica que el conector no ha podido leer del sistema de destino. Si intenta aprovisionar, es posible que Microsoft Entra ID no coincida correctamente con los usuarios de ese directorio de origen con los usuarios en Microsoft Entra ID. Espere varios minutos a que el host del conector termine de leer objetos del sistema de destino existente y, a continuación, vuelva a ejecutar la secuencia de comandos. Si la salida continúa siendo False, entonces comprueba que la configuración de tu conector y los permisos en el sistema de destino están permitiendo al conector leer a los usuarios existentes.

Prueba de la conexión de Microsoft Entra ID al host del conector

  1. Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación en el portal.

    Nota

    SSi la ventana se cerró, entonces necesitas volver a seleccionar el agente.

    1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
    2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
    3. Seleccione la aplicación Aplicación ECMA local.
    4. Seleccione Aprovisionamiento.
    5. Si aparece Comenzar, cambie el modo a Automático. En la sección Conectividad local, seleccione el agente que acaba de implementar, seleccione Asignar agentes y espere 10 minutos. De lo contrario, vaya a Editar aprovisionamiento.

  2. En la sección Credenciales de administración, escriba la siguiente dirección URL. Reemplace la parte connectorName por el nombre del conector en el host ECMA, como PowerShell. Si proporcionó un certificado de la entidad de certificación para el host ECMA, reemplace localhost por el nombre de host del servidor donde está instalado el host ECMA.

    Propiedad Valor
    URL de inquilino https://localhost:8585/ecma2host_connectorName/scim

  3. Escriba el valor de Token secreto que ha definido al crear el conector.

    Nota

    Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el servicio Agente de aprovisionamiento de Microsoft Entra Connect, haga clic con el botón derecho en el servicio y reinicie.

  4. Seleccione Probar conexión y espere un minuto.

  5. Una vez que la prueba de conexión funcione correctamente e indique que las credenciales suministradas están autorizadas a habilitar el aprovisionamiento, seleccione Guardar.

Configuración de la conexión de la aplicación

Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación.

Nota

SSi la ventana se cerró, entonces necesitas volver a seleccionar el agente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Seleccione la aplicación Aplicación ECMA local.

  4. Seleccione Aprovisionamiento.

  5. Si aparece Comenzar, cambie el modo a Automático. En la sección Conectividad local, seleccione el agente que acaba de implementar y Asignar agentes. De lo contrario, vaya a Editar aprovisionamiento.

  6. En la sección Credenciales de administración, escriba la siguiente dirección URL. Reemplace la parte {connectorName} por el nombre del conector en el host del conector ECMA, como CSV. El nombre del conector distingue mayúsculas de minúsculas y debe tener las mismas que las que se configuraron en el asistente. También puede reemplazar localhost por el nombre de host de la máquina.

    Propiedad Valor
    URL de inquilino https://localhost:8585/ecma2host_CSV/scim

  7. Escriba el valor de Token secreto que ha definido al crear el conector.

    Nota

    Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el Servicio del agente de aprovisionamiento de Microsoft Entra Connect, haga clic con el botón derecho en el servicio y reinicie.

  8. Seleccione Probar conexión y espere un minuto.

  9. Una vez que la prueba de conexión funcione correctamente e indique que las credenciales suministradas están autorizadas a habilitar el aprovisionamiento, seleccione Guardar.

configuración de las asignaciones de atributos

Ahora necesita asignar atributos entre la representación del usuario en Microsoft Entra ID y la representación de un usuario en el InputFile.txt local.

Utilizará Azure Portal para configurar la asignación entre los atributos del usuario de Microsoft Entra y los atributos que ha seleccionado previamente en el asistente de configuración del host ECMA.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Seleccione la aplicación Aplicación ECMA local.

  4. Seleccione Aprovisionamiento.

  5. Seleccione Editar aprovisionamiento y espere 10 segundos.

  6. Expanda Asignaciones y seleccione Aprovisionar usuarios de Microsoft Entra. Si esta es la primera vez que ha configurado las asignaciones de atributos para esta aplicación, solo habrá una asignación presente para un marcador de posición.

  7. Para confirmar que el esquema está disponible en Microsoft Entra ID, seleccione la casilla Mostrar opciones avanzadas y seleccione Editar lista de atributos para ScimOnPremises. Asegúrese de que se muestran todos los atributos seleccionados en el Asistente para configuración. Si no es así, espere varios minutos para que el esquema se actualice y vuelva a cargar la página. Una vez que vea los atributos enumerados, seleccione Cancelar en esta página para volver a la lista de asignaciones.

  8. Ahora, haga clic en la asignación del marcador de posición userPrincipalName. Esta asignación se agrega de forma predeterminada cuando se configura por primera vez el aprovisionamiento local. Cambie el valor para que coincida con lo siguiente:

    Tipo de asignación Atributo de origen Atributo de destino
    Directo userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  9. Ahora, seleccione Agregar nueva asignación y repita el paso siguiente para cada asignación.

  10. Especifique los atributos de origen y destino para cada una de las asignaciones de la tabla siguiente.

    Tipo de asignación Atributo de origen Atributo de destino
    Directo objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Directo userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Directo DisplayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Directo employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId
    Directo jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Directo mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Expresión Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Screenshot of attribute mappings.

  11. Una vez que se hayan agregado todas las asignaciones, seleccione Guardar.

Asignación de usuarios a una aplicación

Ahora que el host del conector ECMA de Microsoft Entra se comunica con Microsoft Entra ID y se ha configurado la asignación de atributos, puede pasar a configurar quién está dentro del alcance del aprovisionamiento.

Importante

Si ha iniciado sesión con un rol Administrador de identidad híbrida, en esta sección, debe cerrar sesión e iniciarla con una cuenta que tenga el rol de administrador de aplicaciones, administrador de aplicaciones en la nube o administrador global. El rol Administrador de identidad híbrida no tiene permisos para asignar usuarios a aplicaciones.

Si hay usuarios existentes en el InputFile.txt, debe crear asignaciones de roles de aplicación para esos usuarios existentes. Para obtener más información sobre cómo crear asignaciones de roles de aplicación en bloque, consulte Gobernanza de los usuarios existentes de una aplicación en Microsoft Entra ID.

De lo contrario, si no hay usuarios actuales de la aplicación, seleccione un usuario de prueba de Microsoft Entra que se aprovisionará a la aplicación.

  1. Asegúrese de que el usuario seleccionado tiene todas las propiedades asignadas a los atributos necesarios del esquema.
  2. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
  3. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
  4. Seleccione la aplicación Aplicación ECMA local.
  5. A la izquierda, en Administrar, seleccione Usuarios y grupos.
  6. Seleccione Agregar usuario o grupo.
  7. En Usuarios, seleccione Ninguno seleccionado.
  8. Seleccione usuarios de la derecha y luego el botón Seleccionar.
  9. Ahora seleccione Asignar.

Prueba del aprovisionamiento

Ahora que los atributos y usuarios están asignados, puede probar el aprovisionamiento a petición con uno de los usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
  3. Seleccione la aplicación Aplicación ECMA local.
  4. Seleccione Aprovisionamiento.
  5. Seleccione Aprovisionamiento a petición.
  6. Busque alguno de los usuarios de prueba y seleccione Aprovisionar.
  7. Transcurridos varios segundos, aparecerá el mensaje Usuario creado con éxito en el sistema de destino, con una lista de los atributos del usuario.

Inicio del aprovisionamiento de usuarios

  1. Una vez que el aprovisionamiento a petición se realice correctamente, vuelva a la página de configuración del aprovisionamiento. Asegúrese de que el ámbito esté establecido solo en los usuarios y grupos asignados, active el aprovisionamiento y seleccione Guardar.
  2. Espere varios minutos para que se inicie el aprovisionamiento. Puede tardar hasta 40 minutos. Una vez completado el trabajo de aprovisionamiento, como se explica en la sección siguiente, si terminó con las pruebas, puede desactivar el estado de aprovisionamiento y seleccionar Guardar. Esta acción evita que el servicio de aprovisionamiento se ejecute en el futuro.

Pasos siguientes