Introducción a las API de flujos de trabajo de ciclo de vida
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Flujos de trabajo de ciclo de vida es un servicio de gobernanza de identidades en Microsoft Entra ID que permite a las organizaciones automatizar procesos de ciclo de vida básico para sus usuarios en tres niveles:
- Joiner: cuando una persona entra en el ámbito de la necesidad de acceso; por ejemplo, un nuevo empleado que se une a una empresa u organización.
- Mover: cuando un individuo se mueve entre los límites dentro de una organización; por ejemplo, un usuario que estaba en marketing ahora es miembro de la organización de ventas. Este movimiento puede requerir más acceso, autorización o revocación de otros privilegios.
- Leaver: cuando una persona deja el ámbito de necesidad de acceso, es posible que sea necesario revocar el acceso y desaprovisionar al usuario. Por ejemplo, un empleado que se retira o termina.
Por este motivo, los flujos de trabajo de ciclo de vida se pueden denominar flujo de trabajo Joiner-Mover-Leaver (JML).
Las API de flujo de trabajo de ciclo de vida de Microsoft Graph le permiten automatizar las funcionalidades de flujo de trabajo del ciclo de vida de su organización. En este artículo se introdujo el conjunto de API que habilitan el servicio Flujos de trabajo de ciclo de vida en Microsoft Entra ID.
Las API de flujos de trabajo de ciclo de vida se definen en el subnombre de ODataspace, microsoft.graph.identityGovernance.
Nota:
En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre de un usuario, el título del trabajo, la dirección o el número de teléfono, en su entorno de Microsoft Entra ID.
Flujos de trabajo
Los flujos de trabajo son contenedores para los procesos implicados en la administración del ciclo de vida de los usuarios de la organización. En su núcleo se encuentran las tareas y las condiciones de ejecución.
- Las tareas son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo.
- Las condiciones de ejecución definen el ámbito de "quién" y el desencadenador de "cuándo" se ejecuta un flujo de trabajo.
Para crear flujos de trabajo, se recomienda usar una de las plantillas de flujo de trabajo predefinidas.
Plantillas de flujo de trabajo
Microsoft Entra ID proporciona las siguientes plantillas de flujo de trabajo predefinidas que definen las plantillas para combinaciones de tareas y condiciones de ejecución que pueden formar parte de un flujo de trabajo. Puede usar las plantillas de flujo de trabajo para crear los flujos de trabajo mediante programación.
| Tipo de plantilla de flujo de trabajo | Categoría ciclo de vida |
|---|---|
| Incorporación de empleados de pre-contratación | Joiner |
| Incorporación de nuevos empleados de contratación | Joiner |
| Incorporación posterior a un nuevo empleado de contratación | Joiner |
| Cambio de empleado en tiempo real | Mover |
| Cambios en la pertenencia a grupos de empleados | Mover |
| Cambio del perfil de trabajo del empleado | Mover |
| Terminación de empleados en tiempo real | Licenciado |
| Eliminación previa de un empleado | Licenciado |
| Offboard a un empleado | Licenciado |
| Post-Offboarding de un empleado | Licenciado |
Use el tipo de recurso workflowTemplate y sus métodos asociados para identificar las plantillas preconfiguradas, las tareas y las condiciones de ejecución que admiten, y copie y use las plantillas para crear los flujos de trabajo mediante programación.
Información general del flujo de trabajo
Cada flujo de trabajo contiene información descriptiva general, como su identificador, nombre, descripción y si está habilitado para ejecutarse como programado o a petición.
Tareas de flujo de trabajo
Las tareas de flujo de trabajo son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo. Los flujos de trabajo de ciclo de vida definen las siguientes tareas preconfiguradas y de solo lectura que se permiten para las categorías de flujo de trabajo especificadas. Estas definiciones de tareas muestran la configuración del tipo de tarea, lo que le guía a medida que crea tareas para el flujo de trabajo.
Actualmente, los flujos de trabajo de ciclo de vida admiten las siguientes tareas:
| Tarea | taskdefinitionID | Categoría |
|---|---|---|
| Enviar correo electrónico de bienvenida a la nueva contratación | 70b29d51-b59a-4773-9280-8841dfd3f2ea | Joiner |
| Enviar correo electrónico de recordatorio de incorporación | 3C860712-2D37-42A4-928F-5C93935D26A1 | Joiner |
| Generación de pase de acceso temporal y envío por correo electrónico al administrador del usuario | 1b555e50-7f65-41d5-b514-5894a026d10d | Joiner |
| Solicitud de asignación de paquetes de acceso de usuario | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | Joiner, Mover |
| Asignación de licencias a usuarios (versión preliminar) | 683c87a4-2ad4-420b-97d4-220d90afcd24 | Joiner, Mover |
| Enviar correo electrónico al administrador de notificaciones del traslado del usuario | aab41899-9972-422a-9d97-f626014578b7 | Mover |
| Agregar usuario a grupos | 22085229-5809-45e8-97fd-270d28d66910 | Joiner, Leaver, Mover |
| Adición de un usuario a los equipos | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner, Leaver, Mover |
| Habilitar cuenta de usuario | 6fc52c9d-398b-4305-9763-15f42c1676fc | Joiner, Leaver |
| Ejecución de una extensión de tarea personalizada | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner, Leaver |
| Deshabilitar la cuenta de usuario | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | Licenciado |
| Eliminación del usuario del grupo seleccionado | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner,Leaver, Mover |
| Eliminación de usuarios de todos los grupos | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | Licenciado |
| Eliminación del usuario de los equipos | 06aa7acb-01af-4824-8899-b14e5ed788d6 | Licenciado |
| Eliminación del usuario de todos los equipos | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | Licenciado |
| Eliminación de todas las asignaciones de licencias del usuario | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | Licenciado |
| Eliminación de la asignación de paquetes de acceso para el usuario | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | Leaver, Mover |
| Eliminación de las asignaciones de licencias seleccionadas del usuario (versión preliminar) | 5fc402a8-daaf-4b7b-9203-da868b05fc5f | Leaver, Mover |
| Eliminación de todas las asignaciones de paquetes de acceso para el usuario | 42ae2956-193d-4f39-be06-691b8ac4fa1d | Licenciado |
| Cancelar todas las solicitudes de asignación de paquetes de acceso pendientes para el usuario | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | Licenciado |
| Eliminar usuario | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | Licenciado |
| Enviar correo electrónico al administrador antes del último día del usuario | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | Licenciado |
| Enviar correo electrónico a los usuarios el último día | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | Licenciado |
| Envío de correo electrónico fuera del panel al administrador de usuarios después de su último día | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | Licenciado |
Use el tipo de recurso taskDefinition y sus métodos asociados para detectar todas las tareas predefinidas que puede configurar para el flujo de trabajo y la configuración de las propiedades. El tipo de recurso task y sus métodos GET asociados permiten ver las tareas configuradas para el flujo de trabajo.
Condiciones de ejecución
Para cada tarea de flujo de trabajo, hay una condición de ejecución que define el ámbito de "quién" y el desencadenador de "cuándo" se ejecuta un flujo de trabajo y sus tareas asociadas. Por ejemplo, una condición de ejecución puede especificar que un flujo de trabajo se ejecute para salir de los empleados, siete días antes de la fecha de finalización de su empleo, si están en el departamento de R&D. La tarea asociada en el flujo de trabajo puede especificar que el usuario se quite de los grupos y equipos de R&D.
⁄⁄Sample snippet for the executionConditions object
"executionConditions": {
"@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
"scope": {
"@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
"rule": "department eq 'R&D'"
},
"trigger": {
"@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
"timeBasedAttribute": "employeeLeaveDateTime",
"offsetInDays": -7
}
}
Al crear o actualizar un flujo de trabajo, use el tipo de recurso workflowExecutionConditions para configurar las condiciones de ejecución. Use este objeto para configurar también un flujo de trabajo que se ejecute solo a petición.
Creación y administración de flujos de trabajo
Después de identificar las tareas y las condiciones de ejecución que desea definir para el flujo de trabajo, use el tipo de recurso de flujo de trabajo y sus métodos asociados para crear y administrar el flujo de trabajo. Puede crear hasta 50 flujos de trabajo en un inquilino. La categoría de la tarea debe coincidir con la categoría del flujo de trabajo. Cada flujo de trabajo puede tener hasta 25 tareas. Por lo tanto:
- Una tarea admitida solo para la categoría de flujo de trabajo "leaver" no se puede especificar en un escenario de flujo de trabajo "joiner" o "mover" y viceversa.
- Se puede especificar una tarea compatible con las categorías de flujo de trabajo "joiner", "mover" y "leaver" en un escenario de flujo de trabajo "joiner", "mover" o "leaver".
Puede programar un flujo de trabajo para que se ejecute en función de la programación de todo el inquilino o ejecutarlo a petición. La programación de inquilinos puede encargarse de las nuevas contrataciones y terminaciones programadas, mientras que puede ejecutar un flujo de trabajo a petición inmediatamente para finalizar el acceso de un empleado si hay un evento confidencial.
Versiones de flujo de trabajo
Mientras se usa un flujo de trabajo, es posible que tenga que actualizar las condiciones de ejecución y las tareas de un flujo de trabajo. Sin embargo, los flujos de trabajo de ciclo de vida no permiten actualizar estas propiedades para un flujo de trabajo existente.
En lugar de crear nuevos flujos de trabajo, use el tipo de recurso workflowVersion y sus métodos asociados para crear y administrar una nueva versión de flujo de trabajo, en función de un objeto de flujo de trabajo existente. La versión del flujo de trabajo puede tener un conjunto similar o diferente de tareas y condiciones de ejecución.
Informes
Los flujos de trabajo de ciclo de vida admiten amplias capacidades de generación de informes para realizar un seguimiento del estado del procesamiento del flujo de trabajo en el nivel de ejecución del flujo de trabajo, en el nivel de tarea y en el nivel de usuario.
Para obtener más información sobre las funcionalidades de generación de informes para flujos de trabajo de ciclo de vida, consulte la introducción a las API de informes de flujos de trabajo de ciclo de vida.
Extensiones
A veces, es posible que las tareas integradas no sean adecuadas para satisfacer todos los escenarios empresariales. Para ampliar los escenarios de administración del ciclo de vida, los flujos de trabajo de ciclo de vida admiten la definición de tareas personalizadas para integrarse con sistemas externos a través de Azure Logic Apps. Por ejemplo, para un escenario "leaver", es posible que también quiera conceder acceso al administrador del usuario a la cuenta de correo electrónico del usuario.
Use el tipo de recurso customTaskExtension y sus métodos asociados para definir la configuración de la aplicación lógica de Azure.
Configuración
Cada inquilino define una programación para todo el inquilino cuando se ejecutan todos los flujos de trabajo programados. El inquilino puede adoptar la programación predeterminada definida por Microsoft Entra ID donde los flujos de trabajo se ejecutan cada tres horas o modificar la programación para que se ejecute entre 1 hora y 24 horas.
Comprobaciones de licencia
El uso de esta característica requiere licencias de Gobierno de Microsoft Entra ID. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Microsoft Microsoft Entra ID.
Comprobaciones de autorización de permisos de rol y aplicación
Los siguientes roles de Microsoft Entra son necesarios para que un usuario que realiza la llamada administre los flujos de trabajo del ciclo de vida.
| Operación | Permisos de la aplicación | Rol de directorio necesario del usuario que realiza la llamada |
|---|---|---|
| Lectura | LifecycleWorkflows.Read.All o LifecycleWorkflows.ReadWrite.All | Administrador de flujos de trabajo de ciclo de vida o lector global |
| Crear, actualizar o eliminar | LifecycleWorkflows.ReadWrite.All | Administrador de flujos de trabajo de ciclo de vida |
Contenido relacionado
- ¿Qué son los flujos de trabajo del ciclo de vida?
- Conceptos de los flujos de trabajo del ciclo de vida
- Tutorial: Automatización de tareas de retirada de empleados después de su último día de trabajo con Microsoft Graph
- Tutorial: Ejecución de tareas de retirada de empleados en tiempo real en su último día de trabajo con Microsoft Graph
- Tutorial: Automatización de las tareas de incorporación de empleados antes de su primer día de trabajo con Microsoft Graph
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de