Introducción a las API de flujos de trabajo de ciclo de vida
Flujos de trabajo de ciclo de vida es un servicio de gobernanza de identidades en Azure Active Directory (Azure AD) que permite a las organizaciones automatizar procesos de ciclo de vida básicos para sus usuarios en tres niveles:
- Joiner: cuando una persona entra en el ámbito de la necesidad de acceso; por ejemplo, un nuevo empleado que se une a una empresa u organización.
- Mover: cuando un individuo se mueve entre los límites dentro de una organización; por ejemplo, un usuario que estaba en marketing ahora es miembro de la organización de ventas. Este movimiento puede requerir más acceso, autorización o revocación de otros privilegios.
- Leaver: cuando una persona deja el ámbito de necesidad de acceso, es posible que sea necesario revocar el acceso y desaprovisionar al usuario. Por ejemplo, un empleado que se retira o ha terminado.
Por este motivo, los flujos de trabajo de ciclo de vida se pueden denominar flujo de trabajo Joiner-Mover-Leaver (JML). Actualmente, solo se implementan los procesos de combinación y de salida .
Las API de flujos de trabajo de ciclo de vida de Microsoft Graph le permiten automatizar las funcionalidades de flujos de trabajo de ciclo de vida para su organización. En este artículo se introdujo el conjunto de API que habilitan el servicio Flujos de trabajo de ciclo de vida en Azure AD.
Las API de flujos de trabajo de ciclo de vida se definen en el subnombre de ODataspace, microsoft.graph.identityGovernance.
Nota:
En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre, el título del trabajo, la dirección o el número de teléfono de un usuario, en el entorno de Azure Active Directory (Azure AD).
Flujos de trabajo
Los flujos de trabajo son contenedores para los procesos implicados en la administración del ciclo de vida de los usuarios de la organización. En su núcleo se encuentran las tareas y las condiciones de ejecución.
- Las tareas son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo.
- Las condiciones de ejecución definen el ámbito de "quién" y el desencadenador de "cuándo" se ejecutará un flujo de trabajo.
Para crear flujos de trabajo, se recomienda usar una de las plantillas de flujo de trabajo predefinidas.
Plantillas de flujo de trabajo
Azure AD proporciona las seis plantillas de flujo de trabajo predefinidas siguientes que definen las plantillas para combinaciones de tareas y condiciones de ejecución que pueden formar parte de un flujo de trabajo. Puede usar las plantillas de flujo de trabajo para crear los flujos de trabajo mediante programación.
| Tipo de plantilla de flujo de trabajo | Categoría ciclo de vida |
|---|---|
| Incorporación de empleados de pre-contratación | Joiner |
| Incorporación de nuevos empleados de contratación | Joiner |
| Incorporación posterior a un nuevo empleado de contratación | Joiner |
| Cambio de empleado en tiempo real | Mover |
| Terminación de empleados en tiempo real | Licenciado |
| Eliminación previa de un empleado | Licenciado |
| Offboard a un empleado | Licenciado |
| Post-Offboarding de un empleado | Licenciado |
Use el tipo de recurso workflowTemplate y sus métodos asociados para identificar las plantillas preconfiguradas, las tareas y las condiciones de ejecución que admiten, y copie y use las plantillas para crear los flujos de trabajo mediante programación.
Información general del flujo de trabajo
Cada flujo de trabajo contiene información descriptiva general, como su identificador, nombre, descripción y si está habilitado para ejecutarse como programado o a petición.
Tareas de flujo de trabajo
Las tareas de flujo de trabajo son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo. Los flujos de trabajo de ciclo de vida definen las siguientes tareas preconfiguradas y de solo lectura que se permiten para las categorías de flujo de trabajo especificadas. Estas definiciones de tareas muestran la configuración del tipo de tarea, lo que le guía a medida que crea tareas para el flujo de trabajo.
Actualmente, los flujos de trabajo de ciclo de vida admiten las siguientes tareas:
| Tarea | taskdefinitionID | Categoría |
|---|---|---|
| Enviar correo electrónico de bienvenida a la nueva contratación | 70b29d51-b59a-4773-9280-8841dfd3f2ea | Joiner |
| Enviar correo electrónico de recordatorio de incorporación | 3C860712-2D37-42A4-928F-5C93935D26A1 | Joiner |
| Generación de pase de acceso temporal y envío por correo electrónico al administrador del usuario | 1b555e50-7f65-41d5-b514-5894a026d10d | Joiner |
| Solicitud de asignación de paquetes de acceso de usuario | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | Joiner, Mover |
| Enviar correo electrónico al administrador de notificaciones del traslado del usuario | aab41899-9972-422a-9d97-f626014578b7 | Mover |
| Agregar usuario a grupos | 22085229-5809-45e8-97fd-270d28d66910 | Joiner, Leaver, Mover |
| Adición de un usuario a los equipos | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner, Leaver, Mover |
| Habilitar cuenta de usuario | 6fc52c9d-398b-4305-9763-15f42c1676fc | Joiner, Leaver |
| Ejecución de una extensión de tarea personalizada | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner, Leaver, Mover |
| Deshabilitar la cuenta de usuario | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | Licenciado |
| Eliminación del usuario del grupo seleccionado | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner, Leaver, Mover |
| Eliminación de usuarios de todos los grupos | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | Licenciado |
| Eliminación del usuario de los equipos | 06aa7acb-01af-4824-8899-b14e5ed788d6 | Joiner, Leaver, Mover |
| Eliminación del usuario de todos los equipos | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | Licenciado |
| Eliminación de todas las asignaciones de licencias del usuario | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | Licenciado |
| Eliminación de la asignación de paquetes de acceso para el usuario | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | Leaver, Mover |
| Eliminación de todas las asignaciones de paquetes de acceso para el usuario | 42ae2956-193d-4f39-be06-691b8ac4fa1d | Licenciado |
| Cancelar todas las solicitudes de asignación de paquetes de acceso pendientes para el usuario | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | Licenciado |
| Eliminar usuario | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | Licenciado |
| Enviar correo electrónico al administrador antes del último día del usuario | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | Licenciado |
| Enviar correo electrónico a los usuarios el último día | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | Licenciado |
| Envío de correo electrónico fuera del panel al administrador de usuarios después de su último día | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | Licenciado |
Use el tipo de recurso taskDefinition y sus métodos asociados para detectar todas las tareas predefinidas que puede configurar para el flujo de trabajo y la configuración de las propiedades El tipo de recurso task y sus métodos GET asociados le permiten ver las tareas configuradas para el flujo de trabajo.
Condiciones de ejecución
Para cada tarea de flujo de trabajo, hay una condición de ejecución que define el ámbito de "quién" y el desencadenador de "cuándo" se ejecutará un flujo de trabajo y sus tareas asociadas. Por ejemplo, una condición de ejecución puede especificar que un flujo de trabajo se ejecute para salir de los empleados, siete días antes de la fecha de finalización de su empleo, si están en el departamento de R&D. La tarea asociada en el flujo de trabajo puede especificar que el usuario se quite de los equipos y grupos de R&D.
⁄⁄Sample snippet for the executionConditions object
"executionConditions": {
"@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
"scope": {
"@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
"rule": "department eq 'R&D'"
},
"trigger": {
"@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
"timeBasedAttribute": "employeeLeaveDateTime",
"offsetInDays": -7
}
}
Al crear o actualizar un flujo de trabajo, use el tipo de recurso workflowExecutionConditions para configurar las condiciones de ejecución. Use este objeto para configurar también un flujo de trabajo que se ejecute solo a petición.
Creación y administración de flujos de trabajo
Después de identificar las tareas y las condiciones de ejecución que desea definir para el flujo de trabajo, use el tipo de recurso de flujo de trabajo y sus métodos asociados para crear y administrar el flujo de trabajo. Puede crear hasta 50 flujos de trabajo en un inquilino. La categoría de la tarea debe coincidir con la categoría del flujo de trabajo. Cada flujo de trabajo puede tener hasta 25 tareas. Por lo tanto:
- Una tarea admitida solo para la categoría de flujo de trabajo "leaver" no se puede especificar en un escenario de flujo de trabajo "joiner" y viceversa.
- Se puede especificar una tarea compatible con las categorías de flujo de trabajo "leaver" y "joiner" en un escenario de flujo de trabajo "joiner" o "leaver".
Puede programar un flujo de trabajo para que se ejecute en función de la programación de todo el inquilino o ejecutarlo a petición. La programación de inquilinos puede encargarse de las nuevas contrataciones y terminaciones periódicas, mientras que puede ejecutar un flujo de trabajo a petición para finalizar inmediatamente el acceso de un empleado en caso de un evento confidencial.
El siguiente objeto JSON muestra un flujo de trabajo de ejemplo con la siguiente configuración:
- El flujo de trabajo está habilitado y programado para ejecutarse.
- Es un flujo de trabajo "leaver" que especifica las siguientes tareas y condiciones de ejecución:
- Condiciones de ejecución: ejecute el flujo de trabajo para los usuarios en el departamento de R&D, siete días antes de su employeeLeaveDateTime.
- Tareas: quite el usuario de un grupo y un equipo.
Versiones de flujo de trabajo
Mientras un flujo de trabajo está en uso, es posible que tenga que actualizar las condiciones de ejecución y las tareas de un flujo de trabajo. Sin embargo, los flujos de trabajo de ciclo de vida no permiten actualizar estas propiedades para un flujo de trabajo existente.
En lugar de crear flujos de trabajo nuevos, use el tipo de recurso workflowVersion y sus métodos asociados para crear y administrar una nueva versión de flujo de trabajo, en función de un objeto de flujo de trabajo existente. La versión del flujo de trabajo puede tener un conjunto similar o diferente de tareas y condiciones de ejecución.
Informes
Los flujos de trabajo de ciclo de vida admiten amplias capacidades de generación de informes para realizar un seguimiento del estado del procesamiento del flujo de trabajo en el nivel de ejecución del flujo de trabajo, en el nivel de tarea y en el nivel de usuario.
Para obtener más información sobre las funcionalidades de generación de informes para flujos de trabajo de ciclo de vida, consulte la introducción a las API de informes de flujos de trabajo de ciclo de vida.
Extensiones
A veces, es posible que las tareas integradas no sean adecuadas para satisfacer todos los escenarios empresariales. Para ampliar los escenarios de administración del ciclo de vida, los flujos de trabajo de ciclo de vida admiten la definición de tareas personalizadas para integrarse con sistemas externos a través de Azure Logic Apps. Por ejemplo, para un escenario "leaver", es posible que también quiera conceder al administrador del usuario acceso a la cuenta de correo electrónico del usuario.
Use el tipo de recurso customTaskExtension y sus métodos asociados para definir la configuración de la aplicación lógica de Azure.
Configuración
Cada inquilino define una programación para todo el inquilino cuando se ejecutan todos los flujos de trabajo programados. El inquilino puede adoptar la programación predeterminada definida por Azure AD donde los flujos de trabajo se ejecutan cada tres horas o modificar la programación para que se ejecute entre 1 hora y 24 horas.
Comprobaciones de licencia
El uso de esta característica requiere licencias de Gobierno de id. de Microsoft Entra. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Micorosft Azure AD.
Comprobaciones de autorización de permisos de rol y aplicación
Los siguientes roles de Azure AD son necesarios para que un usuario que realiza la llamada administre flujos de trabajo de ciclo de vida.
| Operación | Permisos de la aplicación | Rol de directorio necesario del usuario que realiza la llamada |
|---|---|---|
| Leer | LifecycleWorkflows.Read.All o LifecycleWorkflows.ReadWrite.All | Administrador de flujos de trabajo de ciclo de vida o lector global |
| Crear, actualizar o eliminar | LifecycleWorkflows.ReadWrite.All | Administrador de flujos de trabajo de ciclo de vida |
Vea también
- ¿Qué son los flujos de trabajo del ciclo de vida? (versión preliminar pública)
- Conceptos de los flujos de trabajo del ciclo de vida
- Tutorial: Automatización de tareas de retirada de empleados después de su último día de trabajo con Microsoft Graph (versión preliminar)
- Tutorial: Ejecución de tareas de retirada de empleados en tiempo real en su último día de trabajo con Microsoft Graph (versión preliminar)
- Tutorial: Automatización de las tareas de incorporación de empleados antes de su primer día de trabajo con Microsoft Graph (versión preliminar)