Aprovisionando con el conector de servicios web

  • Artículo

En la siguiente documentación se proporciona información sobre el conector de servicios web genéricos. Microsoft Entra ID Governance permite aprovisionar cuentas en varias aplicaciones, como SAP ECC, Oracle eBusiness Suite y aplicaciones de línea de negocio que exponen API REST o SOAP. Los clientes que han implementado previamente MIM para conectarse a estas aplicaciones pueden cambiar fácilmente al uso del agente de aprovisionamiento ligero de Microsoft Entra, al tiempo que reutilizan el mismo conector de servicios web creado para MIM.

Funcionalidades admitidas

  • Cree usuarios en la aplicación.
  • Elimine usuarios de su aplicación cuando ya no necesiten acceso.
  • Mantenga sincronizados los atributos de usuario entre Microsoft Entra ID y su aplicación.
  • Descubra el esquema de la aplicación.

El conector de servicios web implementa las siguientes funciones:

  • Detección de SOAP: permite al administrador escribir la ruta de acceso WSDL expuesta por el servicio web de destino. La detección generará una estructura de árbol de sus servicios web hospedados de la aplicación con sus puntos de conexión internos u operaciones junto con la descripción de metadatos de la operación. No hay ningún límite en el número de operaciones de detección que se pueden realizar (paso a paso). Las operaciones detectadas se utilizan posteriormente para configurar el flujo de operaciones que implementan las operaciones del conector contra el origen de datos (como Import/Export).

  • Detección de REST: permite al administrador escribir detalles del servicio REST, incluidos el punto de conexión de servicio, ruta de acceso de recursos, método y detalles de parámetros. La información de los servicios de REST se almacenará en el archivo discovery.xml del proyecto wsconfig. Serán usados más tarde por el administrador para configurar la actividad Rest Web Service en el flujo de trabajo.

  • Configuración del esquema: permite al administrador configurar el esquema. La configuración del esquema incluirá una lista de tipos de objetos y atributos para una aplicación específica. El administrador también puede elegir los atributos que formarán parte del esquema.

  • Configuración del flujo de operaciones: UI del diseñador de flujos de trabajo para configurar la implementación de operaciones de importación y exportación por tipo de objeto mediante funciones de operaciones de servicio web expuestas, incluyendo la asignación de parámetros del usuario que se aprovisiona a funciones de servicio web.

Requisitos previos para el aprovisionamiento

Requisitos previos locales

El equipo que ejecuta el agente de aprovisionamiento debe tener:

  • Conectividad a los puntos de conexión SOAP o REST de la aplicación con conectividad saliente a login.microsoftonline.com, otros servicios de Microsoft Online Services y dominios de Azure. Un ejemplo es una máquina virtual de Windows Server 2016 hospedada en IaaS de Azure o detrás de un proxy.
  • Al menos 3 GB de RAM para hospedar un agente de aprovisionamiento.
  • .NET Framework 4.7.2
  • Windows Server 2016 o una versión posterior.

Antes de configurar el aprovisionamiento, asegúrese de hacer lo siguiente:

  • Exponga las API de SOAP o REST necesarias en la aplicación para crear, actualizar y eliminar usuarios.

Requisitos de la nube

  • Un inquilino de Microsoft Entra con Microsoft Entra ID P1 o Premium P2 (o EMS E3 o E5).

    El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.

  • El rol Administrador de identidad híbrida para configurar el agente de aprovisionamiento y los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube para configurar el aprovisionamiento en Azure Portal.

  • Los usuarios de Microsoft Entra que se van a aprovisionar en la aplicación deben estar rellenados con los atributos necesarios para la aplicación.

Instalación y configuración del agente de aprovisionamiento de Microsoft Entra Connect

  1. Inicie sesión en Azure Portal.
  2. Vaya a Aplicaciones empresariales y seleccione Nueva aplicación.
  3. Busque la aplicación ECMA local, asigne un nombre a la aplicación y seleccione Crear para agregarla al inquilino.
  4. En el menú, vaya a la página de aprovisionamiento de la aplicación.
  5. Seleccione Comenzar.
  6. En la página Aprovisionamiento, cambie el modo a Automático.

Captura de pantalla de cómo seleccionar Automático.

  1. En Conectividad local, seleccione Descargar e instalar y seleccione Aceptar términos descargar.

  2. Salga del portal y ejecute el instalador del agente de aprovisionamiento, acepte los términos de servicio y seleccione Instalar.

  3. Espere al Asistente para configuración del agente de aprovisionamiento de Microsoft Entra y, después, seleccione Siguiente.

  4. En el paso Seleccione la extensión, seleccione Aprovisionamiento de aplicaciones locales y Siguiente.

  5. El agente de aprovisionamiento usa el navegador web del sistema operativo para mostrar una ventana emergente para que el usuario se autentique en Microsoft Entra ID y, potencialmente, también en el proveedor de identidades de su organización. Si usa Internet Explorer como explorador en Windows Server, es posible que tenga que agregar sitios web de Microsoft a la lista de sitios de confianza del explorador para permitir que JavaScript se ejecute correctamente.

  6. Proporcione las credenciales de un administrador de Microsoft Entra cuando se le solicite para la autorización. Es necesario que el usuario tenga el rol Administrador de identidad híbrida o Administrador global.

  7. Seleccione Confirmar para confirmar la configuración. Una vez que la instalación se haya realizado correctamente, puede seleccionar Salir y cerrar también el instalador de paquete del agente de aprovisionamiento.

Configuración de la aplicación ECMA local

  1. En el portal, en la sección Conectividad local, seleccione el agente que ha implementado y seleccione Asignar agentes.

    Captura de pantalla en la que se muestra cómo seleccionar y asignar un agente.

  2. Mantenga abierta esta ventana del explorador, ya que completará el siguiente paso de configuración con el Asistente para configuración.

Configurar el certificado de host del conector ECMA de Microsoft Entra

  1. En la instancia de Windows Server donde está instalado el agente de aprovisionamiento, haga clic con el botón derecho en el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio y ejecútelo como administrador. Debe ejecutarlo como administrador de Windows para que el asistente cree los registros de eventos de Windows necesarios.

  2. Una vez iniciada la configuración del host del conector ECMA, si es la primera vez que se ha ejecutado el asistente, se le pedirá que cree un certificado. Deje el puerto predeterminado 8585 y seleccione Generar certificado para generar un certificado. El certificado autogenerado se firma automáticamente como parte de la raíz de confianza. El certificado SAN coincide con el nombre de host.

    Captura de pantalla que muestra la configuración de los valores.

  3. Seleccione Guardar.

Creación de una plantilla de conector de servicios web

Antes de crear la configuración del conector de servicios web, deberá crear una plantilla de conector de servicios web y personalizar la plantilla para satisfacer las necesidades de su entorno específico. Asegúrese de que ServiceName, EndpointName y OperationName son correctos.

Puede encontrar plantillas de ejemplo e instrucciones sobre cómo integrarse con aplicaciones populares como SAP ECC 7.0 y Oracle eBusiness Suite en el paquete de descarga de conectores. Puede aprender a crear un nuevo proyecto para el origen de datos en la herramienta de configuración de servicios web mediante la guía de flujo de trabajo para SOAP.

Para obtener más información sobre cómo configurar una plantilla para conectarse a la API REST o SOAP de su propia aplicación, consulte la información general del conector de servicio web genérico en la biblioteca de documentación de MIM.

Configuración del conector de servicios web genéricos

En esta sección, creará la configuración del conector para la aplicación.

Conexión del agente de aprovisionamiento en la aplicación

Para conectar el agente de aprovisionamiento de Microsoft Entra con la aplicación, siga estos pasos:

  1. Copie su archivo .wsconfig de plantilla de conector de servicio web en la carpeta C:\Program Files\Microsoft ECMA2Host\Service\ECMA.

  2. Genere un token secreto que se utilizará para autenticar Microsoft Entra ID en el conector. Debe tener un mínimo de 12 caracteres y un valor único para cada aplicación.

  3. Si aún no lo ha hecho, inicie el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio de Windows.

  4. Seleccione Nuevo conector.

    Captura de pantalla que muestra que se ha seleccionado Nuevo conector.

  5. En la página Propiedades, rellene los cuadros con los valores especificados en la tabla que sigue a la imagen y seleccione Siguiente.

    Captura de pantalla que muestra la especificación de propiedades.

    Propiedad. Valor
    Nombre El nombre que eligió para el conector, que debe ser único en todos los conectores del entorno.
    Temporizador de sincronización automática (minutos) 120
    Token secreto Escriba el token secreto que generó para este conector. La clave debe tener un mínimo de 12 caracteres.
    DLL de extensión En el conector de servicios web, seleccione Microsoft.IdentityManagement.MA.WebServices.dll.

  6. En la página Conectividad, rellene los cuadros con los valores especificados en la tabla que sigue a la imagen y seleccione Siguiente.

    Captura de pantalla de la página Conectividad.

    Propiedad. Descripción
    Proyecto de servicio web Nombre de la plantilla de servicios web.
    Host Nombre de host del punto de conexión SOAP de la aplicación, por ejemplo, vhcalnplci.dummy.nodomain
    Port Puerto de punto de conexión SOAP de la aplicación, por ejemplo, 8000

  7. En la página Funcionalidades, rellene los cuadros con los valores especificados en la siguiente tabla y seleccione Siguiente.

    Propiedad Value
    Estilo de nombre distintivo Genérico
    Tipo de exportación ObjectReplace
    Normalización de datos None
    Confirmación de objeto Normal
    Habilitar importación Activada
    Importación diferencial habilitada No activado
    Habilitar exportación Activada
    Habilitar exportación completa No activado
    Habilitar contraseña de exportación en el primer paso Activada
    No hay valores de referencia en el primer paso de exportación No activado
    Habilitar cambio de nombre de objeto No activado
    Eliminar-agregar al reemplazar No activado

Nota:

Si la plantilla del conector de servicios web se abre para su edición en la herramienta de configuración del servicio web, obtendrá un error.

  1. En la página Global, rellene los cuadros y seleccione Siguiente.

  2. En la página Particiones, seleccione Siguiente.

  3. En la página Perfiles de ejecución, mantenga activada la casilla Exportar. Active la casilla Importación completa y seleccione Siguiente. Se utilizará el perfil de ejecución Export (Exportación) cuando el host de conector ECMA necesite enviar cambios de Microsoft Entra ID a la aplicación para insertar, actualizar y eliminar registros. El perfil de ejecución Importación completa se usará cuando se inicie el servicio host del conector de ECMA para leer el contenido actual de la aplicación.

    Propiedad Value
    Exportación Perfil de ejecución que exportará datos a la aplicación Este perfil de ejecución es necesario.
    Importación completa Perfil de ejecución que importará todos los datos de la aplicación.
    Importación diferencial Perfil de ejecución que importará solo los cambios de la aplicación desde la última importación completa o diferencial.

  4. En la página Tipos de objeto, rellene los cuadros y seleccione Siguiente. Use la tabla que sigue a la imagen como guía sobre los cuadros individuales.

    • Delimitador: los valores de este atributo deben ser únicos para cada objeto del sistema de destino. El servicio de aprovisionamiento de Microsoft Entra consulta el host del conector de ECMA usando este atributo después del ciclo inicial. Este valor se define en la plantilla del conector de servicios web.

    • DN: la opción Generado automáticamente debe seleccionarse en la mayoría de los casos. Si no está seleccionada, asegúrese de que el atributo DN esté asignado a un atributo de Microsoft Entra ID que almacene el DN en este formato: CN = anchorValue, Object = objectType. Para más información sobre los delimitadores y el DN, vea Acerca de los atributos delimitadores y los nombres distintivos.

      Propiedad Value
      Objeto de destino Usuario
      Delimitador userName
      DN userName
      Generado automáticamente Activada

  5. El host del conector de ECMA detecta los atributos que admite la aplicación. Luego, puede elegir cuál de los atributos detectados desea exponer a Microsoft Entra ID. A continuación, estos atributos se pueden configurar en Azure Portal para el aprovisionamiento. En la página Seleccionar atributos, agregue todos los atributos de la lista desplegable, uno a la vez. La lista desplegable Atributo muestra cualquier atributo que se haya detectado en la aplicación y que no se haya elegido en la página Seleccionar atributos anterior. Una vez que haya agregado todos los atributos pertinentes, seleccione Siguiente.

    Captura de pantalla de la página Seleccionar atributos.

  6. En la página Desaprovisionando, en Deshabilitar flujo, seleccione Eliminar. Los atributos seleccionados en la página anterior no estarán disponibles para seleccionar en la página Desaprovisionando. Seleccione Finalizar.

Nota

Si usa la opción Establecer valor de atributo, tenga en cuenta que solo se permiten valores booleanos.

En la página Desaprovisionamiento, en Deshabilitar flujo, seleccione Ninguno si controlará el estado de la cuenta de usuario con una propiedad como expirationTime. En Eliminar flujo, seleccione Ninguno si no desea eliminar usuarios de la aplicación o Eliminar si desea eliminar usuarios. Seleccione Finalizar.

Comprobación de que el servicio ECMA2Host se está ejecutando

  1. En el servidor en el que se ejecuta el host del conector ECMA de Microsoft Entra, seleccione Iniciar.

  2. Escriba run y luego services.msc en el cuadro.

  3. En la lista Servicios, asegúrese de que Microsoft ECMA2Host esté presente y en ejecución. Si no es así, seleccione Iniciar.

    Captura de pantalla que muestra que el servicio se está ejecutando.

  4. Si ha iniciado recientemente el servicio y tiene muchos objetos de usuario en la aplicación, espere varios minutos para que el conector establezca una conexión con la aplicación y realice la importación completa inicial.

Configuración de la conexión de la aplicación en Azure Portal

  1. Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación.

    Nota

    Si la ventana agotó el tiempo de espera, tendrá que volver a seleccionar el agente.

    1. Inicie sesión en Azure Portal.
    2. Vaya a Aplicaciones empresariales y seleccione la aplicación ECMA local.
    3. Seleccione Aprovisionamiento.
    4. Seleccione Comenzar y, a continuación, cambie el modo a Automático. En la sección Conectividad local, seleccione el agente que acaba de implementar y Asignar agentes. De lo contrario, vaya a Editar aprovisionamiento.

  2. En la sección Credenciales de administración, escriba la siguiente dirección URL. Reemplace la parte {connectorName} por el nombre del conector en el host de conector ECMA. El nombre del conector distingue mayúsculas de minúsculas y debe tener las mismas que las que se configuraron en el asistente. También puede reemplazar localhost por el nombre de host de la máquina.

    Propiedad Valor
    URL de inquilino https://localhost:8585/ecma2host_APP1/scim

  3. Escriba el valor de Token secreto que ha definido al crear el conector.

    Nota

    Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el Servicio del agente de aprovisionamiento de Microsoft Entra Connect, haga clic con el botón derecho en el servicio y reinicie.

  4. Seleccione Probar conexión y espere un minuto.

  5. Una vez que la prueba de conexión funcione correctamente e indique que las credenciales suministradas están autorizadas a habilitar el aprovisionamiento, seleccione Guardar.

    Captura de pantalla de las pruebas de un agente.

configuración de las asignaciones de atributos

Ahora asignará atributos entre la representación del usuario en Microsoft Entra ID y la representación del usuario en la aplicación.

Utilizará Azure Portal para configurar la asignación entre los atributos del usuario de Microsoft Entra y los atributos que ha seleccionado previamente en el asistente de configuración del host ECMA.

  1. Asegúrese de que el esquema de Microsoft Entra incluya los atributos que necesita la aplicación. Si requiere que los usuarios tengan un atributo y ese atributo aún no forma parte del esquema de Microsoft Entra para un usuario, deberá usar la característica de extensión de directorio para agregar dicho atributo como una extensión.

  2. En el portal de Microsoft Entra, en Aplicaciones empresariales, seleccione Aplicación ECMA local y luego, la página Aprovisionamiento.

  3. Seleccione Editar aprovisionamiento y espere 10 segundos.

  4. Expanda Asignaciones y seleccione Aprovisionar usuarios de Microsoft Entra. Si esta es la primera vez que ha configurado las asignaciones de atributos para esta aplicación, solo habrá una asignación presente para un marcador de posición.

    Captura de pantalla que muestra el aprovisionamiento de un usuario.

  5. Para confirmar que el esquema de la aplicación está disponible en Microsoft Entra ID, seleccione la casilla Mostrar opciones avanzadas y seleccione Editar lista de atributos para ScimOnPremises. Asegúrese de que se muestran todos los atributos seleccionados en el Asistente para configuración. Si no es así, espere varios minutos para que el esquema se actualice y vuelva a cargar la página. Una vez que vea los atributos enumerados, seleccione Cancelar en esta página para volver a la lista de asignaciones.

  6. Ahora, haga clic en la asignación del marcador de posición userPrincipalName. Esta asignación se agrega de forma predeterminada cuando se configura por primera vez el aprovisionamiento local.

Captura de pantalla del marcador de posición.

Cambie el valor para que coincida con lo siguiente:

Tipo de asignación Atributo de origen Atributo de destino
Directo userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Ahora, seleccione Agregar nueva asignación y repita el paso siguiente para cada asignación.

  2. Especifique los atributos de origen y destino para cada uno de los atributos que requiere la aplicación. Por ejemplo,

    Atributo de Microsoft Entra Atributo ScimOnPremises Precedencia de coincidencia Aplicar esta asignación
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creación del objeto
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creación del objeto
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Siempre
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Siempre
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Siempre
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Siempre
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Siempre
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Siempre
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Siempre
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Siempre
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Siempre

  3. Una vez que se hayan agregado todas las asignaciones, seleccione Guardar.

Asignación de usuarios a la aplicación

Ahora que el host del conector ECMA de Microsoft Entra se comunica con Microsoft Entra ID y se ha configurado la asignación de atributos, puede pasar a configurar quién está dentro del alcance del aprovisionamiento.

Importante

Si ha iniciado sesión con un rol Administrador de identidad híbrida, en esta sección, debe cerrar sesión e iniciarla con una cuenta que tenga el rol de administrador de aplicaciones, administrador de aplicaciones en la nube o administrador global. El rol Administrador de identidad híbrida no tiene permisos para asignar usuarios a aplicaciones.

Si existen usuarios en la aplicación, debe crear asignaciones de roles de aplicación para esos usuarios existentes. Para obtener más información sobre cómo crear asignaciones de roles de aplicación en bloque, consulte Gobernanza de los usuarios existentes de una aplicación en Microsoft Entra ID.

De lo contrario, si no hay usuarios actuales de la aplicación, seleccione un usuario de prueba de Microsoft Entra que se aprovisionará a la aplicación.

  1. Asegúrese de que el usuario que seleccione tenga todas las propiedades que se asignarán a los atributos necesarios de la aplicación.

  2. En Azure Portal, seleccione Aplicaciones empresariales.

  3. Seleccione la aplicación Aplicación ECMA local.

  4. A la izquierda, en Administrar, seleccione Usuarios y grupos.

  5. Seleccione Agregar usuario o grupo.

    Captura de pantalla que muestra la incorporación de un usuario.

  6. En Usuarios, seleccione Ninguno seleccionado.

    Captura de pantalla que muestra la opción Ninguno seleccionado.

  7. Seleccione usuarios de la derecha y luego el botón Seleccionar.

    Captura de pantalla que muestra Seleccionar usuarios.

  8. Ahora seleccione Asignar.

    Captura de pantalla que muestra la asignación de usuarios.

Prueba del aprovisionamiento

Ahora que los atributos y usuarios están asignados, puede probar el aprovisionamiento a petición con uno de los usuarios.

  1. En Azure Portal, seleccione Aplicaciones empresariales.

  2. Seleccione la aplicación Aplicación ECMA local.

  3. A la izquierda, seleccione Aprovisionamiento.

  4. Seleccione Aprovisionamiento a petición.

  5. Busque alguno de los usuarios de prueba y seleccione Aprovisionar.

    Captura de pantalla que muestra las pruebas de aprovisionamiento.

  6. Después de varios segundos, aparecerá el mensaje Se ha creado correctamente el usuario en el sistema de destino, con una lista de los atributos de usuario.

Inicio del aprovisionamiento de usuarios

  1. Una vez que el aprovisionamiento a petición se realice correctamente, vuelva a la página de configuración del aprovisionamiento. Asegúrese de que el ámbito esté establecido solo en los usuarios y grupos asignados, active el aprovisionamiento y seleccione Guardar.

    Captura de pantalla que muestra el inicio del aprovisionamiento.

  2. Espere hasta 40 minutos para que se inicie el servicio de aprovisionamiento. Una vez completado el trabajo de aprovisionamiento, como se explica en la sección siguiente, si terminó con las pruebas, puede desactivar el estado de aprovisionamiento y seleccionar Guardar. Esta acción evita que el servicio de aprovisionamiento se ejecute en el futuro.

Solución de errores de aprovisionamiento

Si se muestra un error, seleccione Ver registros de aprovisionamiento. Busque en el registro una fila en la que el estado sea Error y selecciónela.

Para más información, cambie a la pestaña de Recomendaciones y Resolución de problemas.

Pasos siguientes