Compartir a través de


Configuración de G Suite para el aprovisionamiento automático de usuarios con microsoft Entra ID

En este artículo se describen los pasos que debe realizar en G Suite y microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios y grupos en G Suite mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Nota

En este artículo se describe un conector basado en el servicio de aprovisionamiento de usuarios de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Funcionalidades admitidas

  • Crear usuarios en G Suite
  • Quitar usuarios de G Suite cuando ya no necesiten acceso (nota: quitar un usuario del ámbito de sincronización no da lugar a la eliminación del objeto en GSuite)
  • Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y G Suite
  • Aprovisionar grupos y pertenencias a grupos en G Suite
  • Inicio de sesión único en G Suite (recomendado)

Requisitos previos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

Paso 1: Planear la implementación de aprovisionamiento

  1. Obtenga información sobre cómo funciona el servicio de aprovisionamiento.
  2. Determine quién está en el ámbito de aprovisionamiento.
  3. Determine qué datos quiere asignar entre Microsoft Entra ID y G Suite.

Paso 2: Configuración de G Suite para admitir el aprovisionamiento con Microsoft Entra ID

Antes de configurar G Suite para el aprovisionamiento automático de usuarios con Microsoft Entra ID, debe habilitar el aprovisionamiento de SCIM en G Suite.

  1. Inicie sesión en la consola de administración de G Suite con su cuenta de administrador y, a continuación, seleccione Menú principal y, a continuación, seleccione Seguridad. Si no lo ve, es posible que esté oculto bajo el menú Show More (Mostrar más).

    Seguridad de G Suite

    Más información sobre G Suite

  2. Vaya a Seguridad:> control de acceso y datos:> controles de API. Active la casilla Confiar en aplicaciones internas de dominio y, a continuación, seleccione GUARDAR.

    API de G Suite

    Importante

    El nombre en Microsoft Entra ID de cada uno de los usuarios que quiera aprovisionar en G Suite tiene que estar vinculado a un dominio personalizado. Por ejemplo, G Suite no acepta nombres de usuario similares bob@contoso.onmicrosoft.com . Por otro lado, bob@contoso.com se acepta. Puede cambiar el dominio de un usuario existente siguiendo las instrucciones indicadas aquí.

  3. Una vez que agregue y compruebe los dominios personalizados deseados con Microsoft Entra ID, debe comprobarlos de nuevo con G Suite. Para comprobar los dominios en G Suite, consulte los pasos siguientes:

    1. En la consola de administración de G Suite, vaya a Account -> Domains -> Manage Domains (Cuenta - Dominios - Administrar dominios).

      Dominios de G Suite

    2. En la página Administrar dominio, seleccione Agregar un dominio.

      Adición de un dominio de G Suite

    3. En la página para agregar un dominio, escriba el nombre del dominio que desea agregar.

      Dominio de comprobación de G Suite

    4. Seleccione ADD DOMAIN & START VERIFICATION (AGREGAR DOMINIO - INICIAR VERIFICACIÓN). A continuación, siga los pasos para comprobar que posee el nombre de dominio. Para obtener instrucciones completas sobre cómo comprobar un dominio con Google, consulte Verificar que eres el propietario de un sitio web.

    5. Repita los pasos anteriores para todos los dominios adicionales que vaya a agregar a G Suite.

  4. A continuación, determine qué cuenta de administrador quiere usar para administrar el aprovisionamiento de usuarios en G Suite. Vaya a Account->Admin roles (Cuenta - Administrar roles).

    Administrador de G Suite

  5. En el rol administrativo de esa cuenta, edite los valores de Privileges (Privilegios) para ese rol. Asegúrese de que habilita todos los privilegios de la API de administración para que esta cuenta pueda usarse para el aprovisionamiento.

    Privilegios de administración de G Suite

Para empezar a administrar el aprovisionamiento de G Suite, agregue G Suite desde la galería de aplicaciones de Microsoft Entra. Si ha configurado previamente G Suite para el inicio de sesión único, puede usar la misma aplicación. Sin embargo, se recomienda crear una aplicación independiente al probar la integración inicialmente. Puede encontrar más información sobre cómo agregar una aplicación desde la galería aquí.

Paso 4: Definición de quién está en el ámbito de aprovisionamiento

El servicio de aprovisionamiento de Microsoft Entra permite definir el ámbito de quién se aprovisiona en función de la asignación a la aplicación o en función de los atributos del usuario o grupo. Si decide determinar quién tiene acceso a su aplicación en función de la asignación, puede usar los pasos para asignar usuarios y grupos a la aplicación. Si decide definir el ámbito del aprovisionamiento únicamente en función de los atributos del usuario o grupo, puede usar un filtro de delimitación.

  • Empiece por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Cuando el ámbito del aprovisionamiento se define en los usuarios y grupos asignados, puede controlarlo asignando uno o dos usuarios o grupos a la aplicación. Cuando el ámbito se establece en todos los usuarios y grupos, puede especificar un filtro de ámbito basado en atributos.

  • Si necesita roles adicionales, puede actualizar el manifiesto de la aplicación para agregar nuevos roles.

Paso 5: Configuración del aprovisionamiento automático de usuarios en G Suite

En esta sección, se le guiará por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios o grupos en TestApp en función de las asignaciones de usuarios o grupos de Microsoft Entra ID.

Nota

Para más información sobre el punto de conexión de la API de directorio de G Suite, consulte la documentación de referencia de la API de directorio.

Para configurar el aprovisionamiento automático de usuarios para G Suite en Microsoft Entra ID :

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Navegue a Entra ID>Aplicaciones empresariales.

    Hoja Aplicaciones empresariales

    Hoja Todas las aplicaciones

  3. En la lista de aplicaciones, seleccione G Suite.

    Vínculo a G Suite en la lista de aplicaciones

  4. Seleccione la pestaña Aprovisionamiento . Seleccione Introducción.

    Captura de pantalla de las opciones de administración con la opción Aprovisionamiento seleccionada.

  5. Establezca el Modo de aprovisionamiento enAutomático.

    Captura de pantalla de la lista desplegable Modo de aprovisionamiento con la opción Automático seleccionada.

  6. En la sección Credenciales de administrador , seleccione Autorizar. Se le redirigirá a un cuadro de diálogo de autorización de Google en una nueva ventana del explorador.

    Autorización de G Suite

  7. Confirme que quiere conceder permisos de Microsoft Entra para realizar cambios en el inquilino de G Suite. Seleccione Aceptar.

    Autorización de un inquilino de G Suite

  8. Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a la aplicación G Suite. Si la conexión no se establece, asegúrese de que la cuenta de G Suite tiene permisos de administrador y pruebe de nuevo. Luego vuelva a intentar el paso Autorizar.

  9. En el campo Correo electrónico de notificación, escriba la dirección de correo electrónico de una persona o grupo que deba recibir las notificaciones de error de aprovisionamiento y active la casilla Enviar una notificación por correo electrónico cuando se produzca un error.

    Correo electrónico de notificación

  10. Selecciona Guardar.

  11. En la sección Asignaciones, seleccione Aprovisionar usuarios de Microsoft Entra.

  12. Revise los atributos de usuario que se sincronizan entre Microsoft Entra ID y G Suite en la sección Asignación de atributos. Seleccione el botón Guardar para confirmar los cambios.

Nota

Actualmente, el aprovisionamiento de GSuite solo admite el uso de primaryEmail como atributo coincidente.

Atributo Tipo
correo electrónico principal Cuerda
relations.[type eq "manager"].value Cuerda
name.familyName Cuerda
name.givenName Cuerda
suspendido Cuerda
externalIds.[type eq "custom"].value Cuerda
externalIds.[type eq "organization"].value Cuerda
addresses.[type eq "work"].country Cuerda
addresses.[type eq "work"].streetAddress Cuerda
addresses.[type eq "work"].region Cuerda
addresses.[type eq "work"].locality Cuerda
addresses.[type eq "work"].postalCode Cuerda
emails.[type eq "work"].address Cuerda
organizations.[type eq "work"].department Cuerda
organizations.[type eq "work"].title Cuerda
phoneNumbers.[type eq "work"].value Cuerda
phoneNumbers.[type eq "mobile"].value Cuerda
phoneNumbers.[type eq "work_fax"].value Cuerda
emails.[type eq "work"].address Cuerda
organizations.[type eq "work"].department Cuerda
organizations.[type eq "work"].title Cuerda
addresses.[type eq "home"].country Cuerda
addresses.[type eq "home"].formatted Cuerda
addresses.[type eq "home"].locality Cuerda
addresses.[type eq "home"].postalCode Cuerda
addresses.[type eq "home"].region Cuerda
addresses.[type eq "home"].streetAddress Cuerda
addresses.[type eq "other"].country Cuerda
addresses.[type eq "other"].formatted Cuerda
addresses.[type eq "other"].locality Cuerda
addresses.[type eq "other"].postalCode Cuerda
addresses.[type eq "other"].region Cuerda
addresses.[type eq "other"].streetAddress Cuerda
addresses.[type eq "work"].formatted Cuerda
changePasswordAtNextLogin Cuerda
emails.[type eq "home"].address Cuerda
emails.[type eq "other"].address Cuerda
externalIds.[type eq "account"].value Cuerda
externalIds.[type eq "custom"].customType Cuerda
externalIds.[type eq "customer"].value Cuerda
externalIds.[type eq "login_id"].value Cuerda
externalIds.[type eq "network"].value Cuerda
gender.type Cuerda
GeneratedImmutableId Cuerda
Identificador Cuerda
ims.[type eq "home"].protocol Cuerda
ims.[type eq "other"].protocol Cuerda
ims.[type eq "work"].protocol Cuerda
incluirEnLaListaDeDireccionesGlobales Cuerda
ipWhitelisted Cuerda
organizations.[type eq "school"].costCenter Cuerda
organizations.[type eq "school"].department Cuerda
Organizaciones.[tipo eq "escuela"].dominio Cuerda
organizations.[type eq "school"].fullTimeEquivalent Cuerda
organizations.[type eq "school"].location Cuerda
organizations.[type eq "school"].name Cuerda
organizations.[type eq "school"].symbol Cuerda
organizations.[type eq "school"].title Cuerda
organizations.[type eq "work"].costCenter Cuerda
organizations.[type eq "work"].domain Cuerda
organizations.[type eq "work"].fullTimeEquivalent Cuerda
organizations.[type eq "work"].location Cuerda
organizations.[type eq "work"].name Cuerda
organizations.[type eq "work"].symbol Cuerda
OrgUnitPath Cuerda
phoneNumbers.[type eq "home"].value Cuerda
phoneNumbers.[type eq "other"].value Cuerda
websites.[type eq "home"].value Cuerda
websites.[type eq "other"].value Cuerda
websites.[type eq "work"].value Cuerda
  1. En la sección Asignaciones, seleccione Aprovisionar grupos de Microsoft Entra.

  2. Revise los atributos de grupos que se sincronizan entre Microsoft Entra ID y G Suite en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para establecer coincidencias con los grupos de G Suite con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.

    Atributo Tipo
    Correo electrónico Cuerda
    Miembros Cuerda
    nombre Cuerda
    descripción Cuerda
  3. Para configurar los filtros de ámbito, consulte las instrucciones siguientes que se proporcionan en el artículo sobre filtros de ámbito.

  4. Para habilitar el servicio de aprovisionamiento de Microsoft Entra para G Suite, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.

    Estado de aprovisionamiento activado

  5. Elija los valores deseados en Ámbito, en la sección Configuración, para definir los usuarios o grupos que desea que se aprovisionen en G Suite.

    Ámbito del aprovisionamiento

  6. Cuando esté listo para aprovisionar, seleccione Guardar.

    Guardar la configuración de aprovisionamiento

Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito en la sección Configuración. El ciclo inicial tarda más en realizarse que los ciclos posteriores, que tienen lugar aproximadamente cada 40 minutos, siempre y cuando se esté ejecutando el servicio de aprovisionamiento de Microsoft Entra.

Nota

Si los usuarios ya tienen una cuenta personal o de consumidor existente mediante la dirección de correo electrónico del usuario de Microsoft Entra, podría provocar algún problema que podría resolverse mediante la herramienta de transferencia de Google antes de realizar la sincronización del directorio.

Paso 6: Supervisión de la implementación

Una vez configurado el aprovisionamiento, use los recursos siguientes para supervisar la implementación:

  1. Use los registros de aprovisionamiento de para determinar qué usuarios se aprovisionan correctamente o sin éxito
  2. Consulte la barra de progreso para ver el estado del ciclo de aprovisionamiento y cuánto falta para que finalice
  3. Si la configuración de aprovisionamiento parece ser incorrecta, la aplicación pasará a estar en cuarentena. Obtenga más información sobre los estados de cuarentena en el artículo estado de cuarentena de aprovisionamiento de aplicaciones .

Consejos para la solución de problemas

  • Al quitar un usuario del ámbito de sincronización, se deshabilita en GSuite, pero no se elimina el usuario de G Suite

Acceso a aplicaciones Just-In-Time (JIT) con PIM para grupos

Con PIM para grupos, puede proporcionar acceso Just-In-Time a grupos en Google Cloud / Google Workspace y reducir el número de usuarios que tienen acceso permanente a grupos con privilegios en Google Cloud / Google Workspace.

Configuración de su aplicación empresarial para inicio de sesión único y aprovisionamiento

  1. Agregue Google Cloud o Google Workspace al inquilino, configúrelo para el aprovisionamiento como se describe en este artículo e inicie el aprovisionamiento.
  2. Configure el inicio de sesión único para Google Cloud/ Google Workspace.
  3. Cree un grupo que proporcione a todos los usuarios acceso a la aplicación.
  4. Asigne el grupo a la aplicación de Google Cloud / Google Workspace.
  5. Asigne al usuario de prueba el rol de miembro directo del grupo creado en el paso anterior o proporciónele acceso al grupo a través de un paquete de acceso. Este grupo se puede usar para el acceso persistente y de no administrador en Google Cloud / Google Workspace.

Habilitación de PIM para grupos

  1. Cree un segundo grupo en Microsoft Entra ID. Este grupo proporciona acceso a los permisos de administrador en Google Cloud / Google Workspace.
  2. Coloque el grupo bajo administración en Microsoft Entra PIM.
  3. Defina al usuario de prueba como apto para el grupo en PIM con el rol establecido en miembro.
  4. Asigne el segundo grupo a la aplicación de Google Cloud / Google Workspace.
  5. Use el aprovisionamiento a petición para crear el grupo en Google Cloud / Google Workspace.
  6. Inicie sesión en Google Cloud / Google Workspace y asigne al segundo grupo los permisos necesarios para realizar tareas de administración.

Ahora cualquier usuario final que se definiese como apto para el grupo en PIM puede obtener acceso JIT al grupo en Google Cloud / Google Workspace activando su pertenencia al grupo. Cuando expira su asignación, el usuario es eliminado del grupo en Google Cloud/Google Workspace. Durante el siguiente ciclo incremental el servicio de aprovisionamiento intenta eliminar de nuevo al usuario del grupo. Esto puede provocar un error en los registros de aprovisionamiento. Este error es esperable porque ya se eliminó la pertenencia al grupo. El mensaje de error puede ignorarse.

  • ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?
    • Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
    • Cuando un usuario activa su pertenencia a grupos en PIM de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en 2 a 10 minutos. Cuando hay una alta tasa de solicitudes a la vez, las solicitudes se limitan a una velocidad de cinco solicitudes por cada 10 segundos.
      • Para los cinco primeros usuarios en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en un plazo de 2 a 10 minutos.
      • Para el sexto usuario y los siguientes que, dentro de un periodo de 10 segundos, activan su membresía de grupo para una aplicación específica, la membresía de grupo se configura en la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
  • Si el usuario no puede acceder al grupo necesario en Google Cloud o Google Workspace, revise los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se diseñe la aplicación de destino, la pertenencia a grupos puede tardar más tiempo en surtir efecto en la aplicación.
  • Puede crear alertas de errores mediante Azure Monitor.

Registro de cambios

  • 17/10/2020 - Se ha agregado compatibilidad con atributos adicionales de usuario y grupo de G Suite.
  • 17/10/2020 - Se han actualizado los nombres de atributo de destino de G Suite para que coincidan con lo que se define aquí.
  • 17/10/2020 - Se han actualizado las asignaciones de atributos predeterminadas.

Más recursos