Compartir a través de

Aprovisionamiento de usuarios en aplicaciones mediante PowerShell

En la siguiente documentación se proporciona información de configuración y tutorial. Muestra cómo se puede usar el conector genérico de PowerShell y el host del conector extensible (ECMA) para integrar Microsoft Entra ID con sistemas externos que ofrecen API basadas en Windows PowerShell.

Para obtener más información, consulte Referencia técnica del conector de Windows PowerShell.

Requisitos previos para el aprovisionamiento a través de PowerShell

En las siguientes secciones se detallan los requisitos previos para este tutorial.

Descargar los archivos de configuración de PowerShell

Descargue los archivos de instalación de PowerShell desde nuestro repositorio de GitHub. Los archivos de configuración consisten en el archivo de configuración, el archivo de entrada, el archivo de esquema y los scripts que se usan.

Requisitos previos locales

El conector proporciona un puente entre las capacidades del host del conector ECMA y Windows PowerShell. Antes de usar el conector, asegúrese de que el servidor que lo hospeda dispone de los siguientes elementos

  • Windows Server 2016 o una versión posterior.
  • Al menos 3 GB de RAM para hospedar un agente de aprovisionamiento.
  • .NET Framework 4.7.2
  • Windows PowerShell 2.0, 3.0 o 4.0
  • Conectividad entre el servidor de hospedaje, el conector y el sistema de destino con el que interactúan los scripts de PowerShell.
  • La directiva de ejecución en el servidor debe estar configurada para permitir que el conector ejecute scripts de Windows PowerShell. A menos que los scripts que ejecutan el conector estén firmados digitalmente, configure la directiva de ejecución mediante la ejecución de este comando:
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • La implementación de este conector requiere uno o más scripts PowerShell. Algunos productos de Microsoft pueden proporcionar secuencias de comandos para su uso con este conector, y la declaración de soporte para esas secuencias de comandos sería proporcionada por ese producto. Si va a desarrollar sus propios scripts para su uso con este conector, debe estar familiarizado con la API del Agente de administración de conectividad extensible para desarrollar y mantener esos scripts. Si va a realizar la integración con sistemas de terceros mediante sus propias secuencias de comandos en un entorno de producción, le recomendamos que trabaje con el proveedor de terceros o con un socio de implementación para obtener ayuda, orientación y soporte para esta integración.

Requisitos de la nube

  • Un inquilino de Microsoft Entra con Microsoft Entra ID P1 o Premium P2 (o EMS E3 o E5). El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Microsoft Entra ID.
  • El rol Administrador de identidad híbrida para configurar el agente de aprovisionamiento y los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube para configurar el aprovisionamiento en Azure Portal.
  • Los usuarios de Microsoft Entra que se van a aprovisionar ya deben tener los atributos requeridos por el esquema.

Descarga, instale y configure el paquete del agente de aprovisionamiento de Microsoft Entra Connect

Si ya ha descargado el agente de aprovisionamiento y lo ha configurado para otra aplicación local, continúe la lectura en la sección siguiente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
  2. Vaya a Entra ID>Entra Connect>Cloud sync>Agentes.

Captura de pantalla de la nueva pantalla de experiencia de usuario.

  1. Seleccione Descargar agente local, revise los términos de servicio y, a continuación, seleccione Aceptar términos y descargar.

    Nota:

    Use diferentes agentes de aprovisionamiento para el aprovisionamiento de aplicaciones locales y para la sincronización en la nube de Microsoft Entra Connect o el aprovisionamiento impulsado por recursos humanos. No se deben administrar los tres escenarios en el mismo agente.

  2. Abra el instalador del agente de aprovisionamiento, acepte los términos de servicio y seleccione Instalar.

  3. Cuando se abra el Asistente para la configuración del agente de aprovisionamiento de Microsoft Entra, continúe con la pestaña Seleccionar extensión y seleccione Aprovisionamiento de aplicaciones locales cuando se le solicite la extensión que desea habilitar.

  4. El agente de aprovisionamiento usa el explorador web del sistema operativo para mostrar una ventana emergente para que el usuario se autentique en Microsoft Entra ID y, potencialmente, también en el proveedor de identidades de su organización. Si usa Internet Explorer como explorador en Windows Server, es posible que tenga que agregar sitios web de Microsoft a la lista de sitios de confianza del explorador para permitir que JavaScript se ejecute correctamente.

  5. Proporcione las credenciales de un administrador de Microsoft Entra cuando se le solicite para la autorización. El usuario debe tener al menos el rol Administrador de identidades híbridas .

  6. Seleccione Confirmar para confirmar la configuración. Una vez que la instalación se haya realizado correctamente, puede seleccionar Salir y cerrar también el instalador del paquete del agente de aprovisionamiento.

Configuración de la aplicación ECMA local

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
  2. Vaya a Entra ID>Aplicaciones empresariales.
  3. Seleccione Nueva aplicación.
  4. Busque la aplicación ECMA local, asigne un nombre a la aplicación y seleccione Crear para agregarla al arrendatario.
  5. Vaya a la página Aprovisionamiento de la aplicación.
  6. Seleccione Introducción.
  7. En la página Aprovisionamiento , cambie el modo a Automático.
  8. En la sección Conectividad local , seleccione el agente que acaba de implementar y seleccione Asignar agentes.
  9. Mantenga abierta esta ventana del explorador, ya que completará el siguiente paso de configuración con el Asistente para configuración.

Coloque el archivo InputFile.txt y Schema.xml en ubicaciones

Antes de crear el conector PowerShell para este tutorial, debe copiar el archivo InputFile.txt y Schema.xml en las ubicaciones correctas. Estos archivos son los que necesita para descargar en la sección Descargar los archivos de instalación de PowerShell.

Archivo ubicación
InputFile.txt C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData
Schema.xml C:\Program Files\Microsoft ECMA2Host\Service\ECMA

Configurar el certificado de host del conector ECMA de Microsoft Entra

  1. En Windows Server donde está instalado el agente de aprovisionamiento, seleccione con el botón derecho el Asistente para configuración de Microsoft ECMA2Host en el menú Inicio y ejecute como administrador. Debes ejecutarlo como administrador de Windows para que el asistente pueda crear los registros de eventos de Windows necesarios.
  2. Una vez iniciada la configuración del host del conector ECMA, si es la primera vez que se ha ejecutado el asistente, se le pedirá que cree un certificado. Deje el puerto predeterminado 8585 y seleccione Generar certificado para generar un certificado. El certificado generado automáticamente se autofirma como parte integrante de la raíz de confianza. El certificado SAN coincide con el nombre del host.
  3. Seleccione Guardar.

Creación del conector de PowerShell

Pantalla general

  1. Inicie el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio.

  2. En la parte superior, seleccione Importar y seleccione el archivo configuration.xml del paso 1.

  3. El nuevo conector debería crearse y aparecer en rojo. Seleccione Editar.

  4. Genere un token secreto utilizado para autenticar Microsoft Entra ID en el conector. Debe tener un mínimo de 12 caracteres y un valor único para cada aplicación. Si aún no tiene un generador de secretos, puede usar un comando de PowerShell como el siguiente para generar una cadena aleatoria de ejemplo.

    -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})

  5. En la página Propiedades , se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

    Propiedad Importancia
    Nombre El nombre que eligió para el conector, que debe ser único en todos los conectores del entorno. Por ejemplo, PowerShell.
    Temporizador de sincronización automática (minutos) 120
    Token secreto Escriba aquí el token secreto. Debe tener un mínimo de 12 caracteres.
    DLL de extensión En el conector de PowerShell, seleccione Microsoft.IAM.Connector.PowerShell.dll.

Captura de pantalla de la pantalla general.

Conectividad

La pestaña de conectividad le permite suministrar parámetros de configuración para conectarse a un sistema remoto. Configure la pestaña de conectividad con la información proporcionada en la tabla.

  • En la página Conectividad , se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

Captura de pantalla de la pantalla de conectividad.

Parámetro Importancia Propósito
Servidor <En blanco> Nombre del servidor al que debe conectarse el conector.
Dominio <En blanco> Dominio de la credencial para almacenar para su uso cuando se ejecuta el conector.
Usuario <En blanco> Nombre de usuario de la credencial para almacenar para su uso cuando se ejecuta el conector.
Contraseña <En blanco> Contraseña de la credencial para almacenar para su uso cuando se ejecuta el conector.
Suplantación de la cuenta del conector No activado Cuando es true, el servicio de sincronización ejecuta los scripts de Windows PowerShell en el contexto de las credenciales suministradas. Cuando sea posible, se recomienda que se pase el parámetro $Credentials a cada script, en lugar de la suplantación.
Carga del perfil de usuario al suplantar No activado Indica a Windows que cargue el perfil de usuario de las credenciales del conector durante la suplantación. Si el usuario suplantado tiene un perfil móvil, el conector no carga el perfil móvil.
Tipo de inicio de sesión al hacerse pasar por otro usuario Ninguno Tipo de inicio de sesión durante la suplantación. Para obtener más información, consulte la documentación dwLogonType .
Solo scripts firmados No activado Si es true, el conector de Windows PowerShell valida que cada script tenga una firma digital válida. Si es false, asegúrese de que la directiva de ejecución de Windows PowerShell del servidor de servicio de sincronización es RemoteSigned o Unrestricted.
Nombre común del script del módulo (con extensión) xADSyncPSConnectorModule.psm1 : el conector le permite almacenar un módulo compartido de Windows PowerShell en la configuración. Cuando el conector ejecuta un script, extrae el módulo de Windows PowerShell en el sistema de archivos para que cada script pueda importarlo.
Script de módulo común Código del módulo del conector PowerShell de AD Sync como valor. Este módulo se creará automáticamente por el ECMA2Host cuando se ejecute el conector.
Script de validación <En blanco> El script de validación es un script de Windows PowerShell opcional que puede usarse para comprobar la validez de los parámetros de configuración del conector proporcionados por el administrador.
Script de esquema GetSchema code como valor.
Nombres de parámetros de configuración adicionales NombreDeArchivo,Delimitador,Codificación Además de la configuración estándar descrita hasta ahora, puede definir opciones de configuración personalizadas adicionales que son específicos de la instancia del conector. Estos parámetros se pueden especificar en los niveles del conector, partición o paso de ejecución y se puede acceder a ellos desde el script de Windows PowerShell competente.
Nombres de parámetros de configuración cifrados adicionales <En blanco>

Capacidades

La pestaña de capacidades define el comportamiento y la funcionalidad del conector. Las selecciones realizadas en esta pestaña no se pueden modificar cuando se crea el conector. Configure la pestaña de capacidades con la información proporcionada en la tabla.

  • En la página Funcionalidades , se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

Captura de pantalla de la pantalla de funcionalidades.

Parámetro Importancia Propósito
Estilo de nombre distintivo Ninguno Indica si el conector admite nombres distintivos y si es así, de qué estilo.
Tipo de exportación ObjectReplace Determina los tipos de objetos presentes en el script de exportación.
Normalización de datos Ninguno Indica al servicio de sincronización que normalice los atributos de anclaje antes de que se proporcionen a los scripts.
Confirmación de objeto Normal Esto se omite.
Usar el nombre distintivo como delimitador No activado Si se establece el estilo de nombre distintivo en LDAP, el atributo de anclaje del espacio del conector también es el nombre distintivo.
Operaciones simultáneas de varios conectores Activado Cuando está activada, se pueden ejecutar simultáneamente varios conectores de Windows PowerShell.
Particiones No activado Cuando está activada, el conector admite varias particiones y la detección de particiones.
Jerarquía No activado Cuando está activado, el conector admite una estructura jerárquica de estilo LDAP.
Habilitar importación Activado Cuando está activada, el conector importa datos a través de scripts de importación.
Habilitar importación diferencial No activado Cuando está activada, el conector puede solicitar los valores diferenciales de los scripts de importación.
Habilitar exportación Activado Cuando está activada, el conector exporta datos a través de scripts de exportación.
Habilitar exportación completa Activado No compatible. Esto se omitirá.
No hay valores de referencia en el primer paso de exportación No activado Cuando está activada, se exportan los atributos de referencia en un segundo paso de exportación.
Habilitar cambio de nombre de objeto No activado Cuando está activada, se pueden modificar los nombres distintivos.
Eliminar-agregar al reemplazar Activado No compatible. Esto se omitirá.
Habilitar contraseña de exportación en el primer paso No activado No compatible. Esto se omitirá.

Parámetros globales

La pestaña Parámetros globales permite configurar los scripts de Windows PowerShell que ejecuta el conector. También puede configurar valores globales para los parámetros de configuración personalizados definidos en la pestaña Conectividad. Configure la pestaña de parámetros globales con la información proporcionada en la tabla.

  • En la página Parámetros globales , se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

Captura de pantalla de la pantalla global.

Parámetro Importancia
Script de partición <En blanco>
Script de jerarquía <En blanco>
Inicio del script de importación <En blanco>
Importación del script Pegue el script de importación como valor
Finalizar el script de importación <En blanco>
Inicio del script de exportación <En blanco>
Exportar script Pegue el script de importación como valor
Fin del script de exportación <En blanco>
Inicio del script de contraseña <En blanco>
Extensión del script de contraseña <En blanco>
Fin del script de contraseña <En blanco>
FileName_Global InputFile.txt
Delimiter_Global ;
Encoding_Global <En blanco> (el valor predeterminado es UTF8)

Particiones, Ejecutar perfiles, Exportar, Importación completa

Mantenga los valores predeterminados y seleccione siguiente.

Tipos de objeto

Configure la pestaña de tipos de objeto con la información proporcionada en la tabla.

  • En la página Tipos de objeto, se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

Captura de pantalla de la pantalla de tipos de objeto.

Parámetro Importancia
Objeto de destino Persona
Ancla AzureObjectID
Atributo de consulta AzureObjectID
DN AzureObjectID

Seleccionar atributos

Asegúrese de que están seleccionados los siguientes atributos:

  • En la página Seleccionar atributos , se debe rellenar toda la información. La tabla se proporciona como referencia. Seleccione Siguiente.

  • AzureObjectID

  • IsActive

  • DisplayName

  • Identificación de empleado

  • Título

  • Nombre de usuario

  • Correo electrónico

Captura de pantalla de la pantalla seleccionar atributos.

Desaprovisionamiento

En la página Desaprovisionamiento, puede especificar si desea que Microsoft Entra ID elimine usuarios del directorio cuando salgan del ámbito de la aplicación. Si es así, en Deshabilitar flujo, seleccione Eliminar y, en Eliminar flujo, seleccione Eliminar. Si se selecciona Establecer valor de atributo, los atributos seleccionados en la página anterior no estarán disponibles para seleccionarlos en la página de Desaprovisionamiento.

  • En la página Desaprovisionamiento , toda la información debe rellenarse. La tabla se proporciona como referencia. Seleccione Siguiente.

Captura de pantalla de la pantalla de desaprovisionamiento.

Asegúrese de que el servicio ECMA2Host se ejecuta y puede leer desde el archivo a través de PowerShell

Siga estos pasos para confirmar que el host del conector se inició e identificó a los usuarios existentes del sistema de destino.

  1. En el servidor que ejecuta el host del conector ECMA de Microsoft Entra, seleccione Iniciar.
  2. Seleccione Ejecutar si es necesario y escriba services.msc en el cuadro.
  3. En la lista Servicios , asegúrese de que Microsoft ECMA2Host está presente y en ejecución. Si no se está ejecutando, seleccione Iniciar.
  4. En el servidor en el que se ejecuta el host del conector ECMA de Microsoft Entra, inicie PowerShell.
  5. Cambie a la carpeta en la que se instaló el host ECMA, como C:\Program Files\Microsoft ECMA2Host.
  6. Cambie al subdirectorio Troubleshooting.
  7. Ejecute el script TestECMA2HostConnection.ps1 en el directorio que se muestra y proporcione como argumentos el nombre del conector y el valor ObjectTypePathcache. Si el host del conector no escucha en el puerto TCP 8585, es posible que también tenga que proporcionar el argumento -Port. Cuando se le solicite, escriba el token secreto configurado para ese conector. 
    PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9
Supply values for the following parameters:
SecretToken: ************
  8. Si el script muestra un mensaje de error o advertencia, compruebe que el servicio se esté ejecutando y que el nombre del conector y el token secreto coincidan con los valores configurados en el asistente para configuración.
  9. Si el script muestra la salida False, entonces el conector no ha visto ninguna entrada en el sistema de destino de origen para usuarios existentes. Si se trata de una nueva instalación del sistema de destino, este comportamiento es de esperar y puede continuar en la siguiente sección.
  10. Sin embargo, si el sistema de destino ya contiene uno o varios usuarios y el script mostró False, este estado indica que el conector no pudo leer del sistema de destino. Si intenta aprovisionar, es posible que Microsoft Entra ID no coincida correctamente con los usuarios de ese directorio de origen con los usuarios en Microsoft Entra ID. Espere varios minutos a que el host del conector termine de leer objetos del sistema de destino existente y, a continuación, vuelva a ejecutar la secuencia de comandos. Si la salida continúa siendo False, entonces comprueba que la configuración de tu conector y los permisos en el sistema de destino están permitiendo al conector leer a los usuarios existentes.

Prueba de la conexión de Microsoft Entra ID al host del conector

  1. Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación en el portal.

    Nota:

    Si la ventana ha expirado, entonces necesitas volver a seleccionar el agente.

    1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
    2. Vaya a Entra ID>Aplicaciones empresariales.
    3. Seleccione la aplicación ECMA local .
    4. Seleccione Aprovisionamiento.
    5. Si aparece Introducción , cambie el modo a Automático, en la sección Conectividad local, seleccione el agente que acaba de implementar y seleccione Asignar agentes y espere 10 minutos. De lo contrario, vaya a Editar aprovisionamiento.

  2. En la sección Credenciales de administrador , escriba la siguiente dirección URL. Reemplace la parte connectorName por el nombre del conector en el host ECMA, como PowerShell. Si proporcionó un certificado de la entidad de certificación para el host ECMA, reemplace localhost por el nombre de host del servidor donde está instalado el host ECMA.

    Propiedad Importancia
    URL de inquilino https://localhost:8585/ecma2host_connectorName/scim

  3. Escriba el valor de Token secreto que definió al crear el conector.

    Nota:

    Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el servicio Microsoft Entra Connect Provisioning Agent , seleccione el servicio con el botón derecho y reinicie.

  4. Seleccione Probar conexión y espere un minuto.

  5. Una vez que la prueba de conexión se haya realizado correctamente e indique que las credenciales proporcionadas están autorizadas para habilitar el aprovisionamiento, seleccione Guardar.

Configuración de la conexión de la aplicación

Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación.

Nota:

Si la ventana ha expirado, entonces necesitas volver a seleccionar el agente.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.

  2. Vaya a Entra ID>Aplicaciones empresariales.

  3. Seleccione la aplicación ECMA local .

  4. Seleccione Aprovisionamiento.

  5. Si aparece Introducción , cambie el modo a Automático, en la sección Conectividad local, seleccione el agente que implementó y seleccione Asignar agentes. De lo contrario, vaya a Editar aprovisionamiento.

  6. En la sección Credenciales de administrador , escriba la siguiente dirección URL. Reemplace la {connectorName} parte por el nombre del conector en el host del conector ECMA, como CSV. El nombre del conector distingue mayúsculas de minúsculas y debe tener las mismas que las que se configuraron en el asistente. También puede reemplazar localhost por el nombre de host de la máquina.

    Propiedad Importancia
    URL de inquilino https://localhost:8585/ecma2host_CSV/scim

  7. Escriba el valor de Token secreto que definió al crear el conector.

    Nota:

    Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el servicio microsoft Entra Connect Provisioning Agent, seleccione el servicio con el botón derecho y reinicie.

  8. Seleccione Probar conexión y espere un minuto.

  9. Una vez que la prueba de conexión se haya realizado correctamente e indique que las credenciales proporcionadas están autorizadas para habilitar el aprovisionamiento, seleccione Guardar.

Configuración de las asignaciones de atributos

Ahora necesita asignar atributos entre la representación del usuario en Microsoft Entra ID y la representación de un usuario en el InputFile.txt local.

Utilizará Azure Portal para configurar la asignación entre los atributos del usuario de Microsoft Entra y los atributos que ha seleccionado previamente en el asistente de configuración del host ECMA.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.

  2. Vaya a Entra ID>Aplicaciones empresariales.

  3. Seleccione la aplicación ECMA local .

  4. Seleccione Aprovisionamiento.

  5. Seleccione Editar aprovisionamiento y espere 10 segundos.

  6. Expanda Mapeos y seleccione Provisionar usuarios de Microsoft Entra. Si esta es la primera vez que ha configurado los mapeos de atributos para esta aplicación, solo habrá un mapeo presente, correspondiente a un marcador de posición.

  7. Para confirmar que el esquema está disponible en microsoft Entra ID, active la casilla Mostrar opciones avanzadas y seleccione Editar lista de atributos para ScimOnPremises. Asegúrese de que se muestran todos los atributos seleccionados en el Asistente para configuración. Si no es así, espere varios minutos para que el esquema se actualice y vuelva a cargar la página. Una vez que vea los atributos enumerados, seleccione Cancelar en esta página para volver a la lista de asignaciones.

  8. Ahora, seleccione la asignación del marcador de posición userPrincipalName. Esta asignación se agrega de forma predeterminada cuando se configura por primera vez el aprovisionamiento local. Cambie el valor para que coincida con lo siguiente:

    Tipo de mapeo Atributo de origen Atributo de destino
    Directo nombre principal de usuario urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  9. Ahora seleccione Agregar nueva asignación y repita el paso siguiente para cada asignación.

  10. Especifique los atributos de origen y destino para cada una de las asignaciones de la tabla siguiente.

    Tipo de mapeo Atributo de origen Atributo de destino
    Directo objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID
    Directo nombre principal de usuario urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName
    Directo DisplayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName
    Directo ID de empleado urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId
    Directo título del trabajo urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title
    Directo correo urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email
    Expresión Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive

    Captura de pantalla de las asignaciones de atributos.

  11. Una vez que se hayan agregado todas las asignaciones, seleccione Guardar.

Asignación de usuarios a una aplicación

Ahora que el host del conector ECMA de Microsoft Entra se comunica con Microsoft Entra ID y se ha configurado la asignación de atributos, puede pasar a configurar quién está dentro del alcance del aprovisionamiento.

Importante

Si estaba utilizando un rol de Administrador de Identidades Híbridas, debe cerrar sesión e iniciar sesión con una cuenta que tenga al menos el rol de Administrador de Aplicaciones para esta sección. El rol Administrador de identidad híbrida no tiene permisos para asignar usuarios a aplicaciones.

Si hay usuarios existentes en el InputFile.txt, debe crear asignaciones de roles de aplicación para esos usuarios existentes. Para obtener más información sobre cómo crear asignaciones de roles de aplicación de forma masiva, consulte Gobernanza de los usuarios existentes de una aplicación en el identificador de Microsoft Entra.

De lo contrario, si no hay usuarios actuales de la aplicación, seleccione un usuario de prueba de Microsoft Entra que se aprovisionará a la aplicación.

  1. Asegúrese de que el usuario seleccionado tiene todas las propiedades asignadas a los atributos necesarios del esquema.
  2. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
  3. Vaya a Entra ID>Aplicaciones empresariales.
  4. Seleccione la aplicación ECMA local .
  5. A la izquierda, en Administrar, seleccione Usuarios y grupos.
  6. Seleccione Agregar usuario o grupo.
  7. En Usuarios, seleccione Ninguno seleccionado.
  8. Seleccione los usuarios de la derecha y seleccione el botón Seleccionar .
  9. Ahora seleccione Asignar.

Prueba del aprovisionamiento

Ahora que tus atributos están mapeados y los usuarios están asignados, puedes probar el aprovisionamiento a petición con uno de tus usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones.
  2. Vaya a Entra ID>Aplicaciones empresariales.
  3. Seleccione la aplicación ECMA local .
  4. Seleccione Aprovisionamiento.
  5. Seleccione Aprovisionar a petición.
  6. Busca uno de tus usuarios de prueba y selecciona Aprovisionar.
  7. Después de varios segundos, aparece el mensaje Usuario creado correctamente en el sistema de destino , con una lista de los atributos de usuario.

Inicio del aprovisionamiento de usuarios

  1. Una vez que el aprovisionamiento a petición se realice correctamente, vuelva a la página de configuración del aprovisionamiento. Asegúrese de que el ámbito está establecido en solo usuarios y grupos asignados, active el aprovisionamiento Eny seleccione Guardar.
  2. Espere varios minutos para que se inicie el aprovisionamiento. Puede tardar hasta 40 minutos. Una vez completado el trabajo de aprovisionamiento, como se describe en la sección siguiente, si ha terminado de probar, puede cambiar el estado de aprovisionamiento a Desactivado y seleccionar Guardar. Esta acción evita que el servicio de aprovisionamiento se ejecute en el futuro.

Pasos siguientes