Aprovisionamiento de aplicaciones locales de Microsoft Entra a aplicaciones habilitadas para SCIM

  • Artículo

El servicio de aprovisionamiento de Microsoft Entra admite un cliente de SCIM 2.0 que se puede usar para aprovisionar automáticamente a los usuarios en aplicaciones locales o en la nube. Este artículo describe cómo usar el servicio de aprovisionamiento de Microsoft Entra para aprovisionar usuarios en una aplicación local habilitada para SCIM. Si desea aprovisionar usuarios en aplicaciones locales que no son SCIM y que usan SQL como almacén de datos, vea Conector SQL genérico del host del conector ECMA de Microsoft Entra. Si quiere aprovisionar usuarios en aplicaciones en la nube, como DropBox o Atlassian, revise los tutoriales específicos de la aplicación.

Diagram that shows SCIM architecture.

Requisitos previos

  • Un inquilino de Microsoft Entra con Microsoft Entra ID P1 o Premium P2 (o EMS E3 o E5). El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
  • Rol Administrador para instalar el agente. Esta tarea solo será necesaria una vez, y debe ser una cuenta de Azure que sea o administrador de identidades híbridas o global.
  • Rol de administrador para configurar la aplicación en la nube (administrador de aplicaciones, administrador de aplicaciones en la nube, administrador global o un rol personalizado con permisos).
  • Un equipo con al menos 3 GB de RAM para hospedar un agente de aprovisionamiento. El equipo debe tener Windows Server 2016 o una versión posterior, con conectividad a la aplicación de destino y con conectividad saliente a login.microsoftonline.com y otros dominios de Microsoft Online Services y Azure. Un ejemplo es una máquina virtual de Windows Server 2016 hospedada en IaaS de Azure o detrás de un proxy.
  • Asegúrese de que la implementación de SCIM cumpla los requisitos de Microsoft Entra SCIM. Microsoft Entra ID ofrece código de referencia de código abierto que los desarrolladores pueden usar para arrancar su implementación de SCIM, tal y como se describe en Tutorial: desarrollar un punto de conexión SCIM de muestra en Microsoft Entra ID.
  • Admita el punto de conexión /schemas para reducir la configuración necesaria en Azure Portal.

Instalación y configuración del agente de aprovisionamiento de Microsoft Entra Connect

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
  3. Busca la aplicación SCIM en el entorno local, asigna un nombre a la aplicación y selecciona Crear para agregarla a tu inquilino.
  4. En el menú, vaya a la página de aprovisionamiento de la aplicación.
  5. Seleccione Comenzar.
  6. En la página Aprovisionamiento, cambie el modo a Automático.

Screenshot of selecting Automatic.

  1. En Conectividad local, seleccione Descargar e instalar y seleccione Aceptar términos descargar.

Screenshot of download location for agent.

  1. Abandone el portal y abra el instalador del agente de aprovisionamiento, acepte los términos de servicio y seleccione Instalar.
  2. Espere al Asistente para configuración del agente de aprovisionamiento de Microsoft Entra y seleccione Siguiente.
  3. En el paso Seleccione la extensión, seleccione Aprovisionamiento de aplicaciones locales y Siguiente.
  4. El agente de aprovisionamiento usa el navegador web del sistema operativo para mostrar una ventana emergente para que el usuario se autentique en Microsoft Entra ID y, potencialmente, también en el proveedor de identidades de su organización. Si usa Internet Explorer como explorador en Windows Server, es posible que tenga que agregar sitios web de Microsoft a la lista de sitios de confianza del explorador para permitir que JavaScript se ejecute correctamente.
  5. Proporcione las credenciales de un administrador de Microsoft Entra cuando se le solicite para la autorización. Es necesario que el usuario tenga el rol Administrador de identidad híbrida o Administrador global.
  6. Seleccione Confirmar para confirmar la configuración. Una vez que la instalación se haya realizado correctamente, puede seleccionar Salir y cerrar también el instalador de paquete del agente de aprovisionamiento.

Configuración de la conexión mediante el agente de aprovisionamiento

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

  3. Busca la aplicación creada anteriormente.

  4. En el menú, vaya a la página de aprovisionamiento de la aplicación.

  5. En el portal, en la sección Conectividad local, seleccione el agente que ha implementado y seleccione Asignar agentes.

    Screenshot that shows how to select and assign an agent.

  6. Reinicia el servicio del agente de aprovisionamiento o espera 10 minutos antes de probar la conexión.

  7. En el campo Dirección URL del inquilino, escriba la dirección URL del punto de conexión SCIM de la aplicación. Ejemplo: https://api.contoso.com/scim/

  8. Copia el token de portador de OAuth necesario para el punto de conexión SCIM en el campo Token secreto.

  9. Seleccione Probar conexión para que Microsoft Entra ID intente conectarse al punto de conexión de SCIM. Si se produce un error en el intento, se muestra la información de error.

  10. Cuando el intento de conexión se realice con éxito, a continuación, selecciona Guardar para guardar las credenciales de administrador.

  11. Mantenga abierta esta ventana del explorador, ya que completará el siguiente paso de configuración con el Asistente para configuración.

Aprovisionamiento para aplicaciones habilitadas con SCIM

Una vez instalado el agente, no se necesita ninguna configuración local adicional, y todas las configuraciones de aprovisionamiento se administrarán desde el portal. Repita los pasos siguientes para cada aplicación local que se aprovisiona a través de SCIM.

  1. Configure las asignaciones de atributos o las reglas de ámbito necesarias para la aplicación.
  2. Agregue usuarios al ámbito mediante la asignación de usuarios y grupos a la aplicación.
  3. Pruebe el aprovisionamiento de algunos usuarios a petición.
  4. Para agregar usuarios adicionales al ámbito, asígnelos a la aplicación.
  5. Vaya al panel Aprovisionamiento y seleccione Iniciar aprovisionamiento.
  6. Supervise mediante los registros de aprovisionamiento.

El siguiente vídeo proporciona información general sobre el aprovisionamiento local.

Pasos siguientes