Planeamiento de una implementación de aprovisionamiento automático de usuarios en Microsoft Entra ID
Muchas organizaciones confían en aplicaciones de software como servicio (SaaS) como ServiceNow, Zscaler y Slack para la productividad del usuario final. Históricamente, el personal de TI ha confiado en métodos de aprovisionamiento manual, como la carga de archivos .csv o el uso de scripts personalizados, para administrar de manera segura identidades de usuario en cada aplicación SaaS. Estos procesos son propensos a errores, inseguros y difíciles de administrar.
El aprovisionamiento automático de usuarios de Microsoft Entra simplifica este proceso mediante la automatización segura de la creación, el mantenimiento y la eliminación de las identidades de usuarios en aplicaciones SaaS basadas en reglas de negocio. Esta automatización permite escalar de manera eficaz los sistemas de administración de identidades en entornos híbridos y solo en la nube a medida que se extiende su dependencia de soluciones basadas en la nube.
Consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID para comprender mejor la funcionalidad.
Además del aprovisionamiento en aplicaciones SaaS, el aprovisionamiento automático de usuarios de Microsoft Entra también admite el aprovisionamiento en muchas aplicaciones de nube local y privada. Para obtener más información, consulte Arquitectura de aprovisionamiento de identidades de aplicaciones locales de Microsoft Entra.
Obtener información
El aprovisionamiento de usuarios crea las bases de una gobernanza continua de identidades y mejora la calidad de los procesos de negocio que se basan en datos de identidades fidedignos.
Ventajas principales
Las ventajas principales de habilitar el aprovisionamiento automático de usuarios son:
Mayor productividad. Puede administrar las identidades de usuario en las distintas aplicaciones SaaS con una interfaz de administración de aprovisionamiento de usuarios única. Esta interfaz tiene un solo conjunto de directivas de aprovisionamiento.
Administración de los riesgos. Para aumentar la seguridad, puede automatizar los cambios en función del estado de los empleados o de las pertenencias a grupos que definen los roles o el acceso.
Solución para el cumplimiento y la gobernanza. Microsoft Entra ID admite registros de auditoría nativos para cada solicitud de aprovisionamiento de usuarios. Las solicitudes se ejecutan en los sistemas de origen y de destino. Los registros de auditoría le permiten realizar un seguimiento de quién tiene acceso a las aplicaciones desde una sola pantalla.
Reducción del costo. El aprovisionamiento automático de usuarios reduce los costos al evitar ineficiencias y errores humanos asociados con el aprovisionamiento manual. Disminuye la necesidad de registros de auditoría, scripts y soluciones de aprovisionamiento de usuarios desarrollados de manera personalizada.
Licencias
Microsoft Entra ID ofrece la integración de autoservicio de cualquier aplicación mediante las plantillas que se proporcionan en el menú de la galería de aplicaciones. Para una lista completa de los requisitos de licencia, consulte la página de licencias de Microsoft Entra.
Licencias de aplicaciones
Necesitará las licencias adecuadas para las aplicaciones que quiera aprovisionar de manera automática. Hable con los propietarios de la aplicación para saber los usuarios asignados a la aplicación tienen las licencias adecuadas para sus roles de aplicación. Si Microsoft Entra ID administra el aprovisionamiento automático basado en roles, los roles asignados en Microsoft Entra ID deben alinearse con las licencias de aplicación. Las licencias incorrectas que se poseen en la aplicación pueden dar lugar a errores durante el aprovisionamiento o la actualización de un usuario.
Términos
En este artículo se usan los términos siguientes:
Operaciones CRUD: acciones realizadas en las cuentas de usuario: Crear, leer, actualizar, eliminar.
Inicio de sesión único (SSO): la capacidad de un usuario de iniciar sesión una vez y acceder a todas las aplicaciones habilitadas para SSO. En el contexto del aprovisionamiento de usuarios, SSO es el resultado de que los usuarios tengan una cuenta única para acceder a todos los sistemas que usan el aprovisionamiento automático de usuarios.
Sistema de origen: el repositorio de los usuarios desde donde se aprovisiona Microsoft Entra ID. Microsoft Entra ID es el sistema de origen para la mayoría de los conectores de aprovisionamiento integrados previamente. Sin embargo, hay algunas excepciones para las aplicaciones en la nube, como SAP, WorkDay y AWS. Por ejemplo, consulte el aprovisionamiento de usuarios de WorkDay a AD.
Sistema de destino: el repositorio de los usuarios hacia donde se aprovisiona Microsoft Entra ID. Por lo general, el sistema de destino es una aplicación SaaS como ServiceNow, Zscaler y Slack. El sistema de destino también puede ser un sistema local, como AD.
Sistema para la administración de identidades entre dominios (SCIM): un estándar abierto que permite la automatización del aprovisionamiento de usuarios. SCIM comunica los datos de identidad de usuario entre proveedores de identidades y proveedores de servicios. Microsoft es un ejemplo de un proveedor de identidades. Salesforce es un ejemplo de un proveedor de servicios. Los proveedores de servicios requieren información de identidad de usuario y un proveedor de identidades cumple esa necesidad. SCIM es el mecanismo que usan el proveedor de identidades y el proveedor de servicios para enviar información de acá para allá.
Recursos de aprendizaje
| Recursos | Vínculo y descripción |
|---|---|
| Seminarios web a petición | Administración de aplicaciones empresariales con Microsoft Entra ID Obtenga información sobre cómo Microsoft Entra ID puede ayudarlo a lograr SSO a las aplicaciones SaaS empresariales y procedimientos recomendados para controlar el acceso. |
| Vídeos | ¿Qué es el aprovisionamiento de usuarios en Active Azure Directory? ¿Cómo implementar el aprovisionamiento de usuarios en Azure Active Directory? Integración de Salesforce con Microsoft Entra ID: automatización del aprovisionamiento de usuarios |
| Cursos en línea | SkillUp Online: administración de identidades Obtenga información sobre cómo integrar Microsoft Entra ID con muchas aplicaciones SaaS y proteger el acceso del usuario a esas aplicaciones. |
| Libros | Modern Authentication with Microsoft Entra ID Directory for Web Applications (Developer Reference) (Autenticación remota con Microsoft Entra ID para aplicaciones web [referencia para desarrolladores]), primera edición. Se trata de una guía autoritativa y profunda sobre cómo compilar soluciones de autenticación de Active Directory para estos entornos nuevos. |
| Tutoriales | Consulte la lista de tutoriales sobre cómo integrar aplicaciones SaaS con Microsoft Entra ID. |
| Preguntas más frecuentes | Preguntas más frecuentes sobre el aprovisionamiento automatizado de usuarios |
Arquitecturas de las soluciones
El servicio de aprovisionamiento de Microsoft Entra aprovisiona usuarios para las aplicaciones SaaS y otros sistemas mediante la conexión de los puntos de conexión de la API de administración de usuarios que proporciona el proveedor de cada aplicación. Estos puntos de conexión de la API de administración de usuarios permiten a Microsoft Entra ID crear, actualizar y quitar usuarios mediante programación.
Aprovisionamiento automático de usuarios para empresas híbridas
En este ejemplo, los usuarios y los grupos se crean en una base de datos de recursos humanos conectada a un directorio local. El servicio de aprovisionamiento de Microsoft Entra administra el aprovisionamiento automático de usuarios en las aplicaciones SaaS de destino.
Descripción del flujo de trabajo:
Los usuarios o grupos se crean en un sistema o aplicación de recursos humanos local, como SAP.
El agente de Microsoft Entra Connect ejecuta sincronizaciones programadas de identidades (usuarios y grupos) desde la instancia de AD local a Microsoft Entra ID.
El servicio de aprovisionamiento de Microsoft Entra comienza un ciclo inicial en el sistema de origen y el sistema de destino.
El servicio de aprovisionamiento de Microsoft Entra consulta el sistema de origen para saber si algún usuario o grupo cambió desde el ciclo inicial y envía los cambios en ciclos incrementales.
Aprovisionamiento automático de usuarios para empresas solo en la nube
En este ejemplo, la creación de usuarios se produce en Microsoft Entra ID y el servicio de aprovisionamiento de Microsoft Entra administra el aprovisionamiento automático de usuarios en las aplicaciones de destino (SaaS).
Descripción del flujo de trabajo:
Los usuarios o grupos se crean en Microsoft Entra ID.
El servicio de aprovisionamiento de Microsoft Entra comienza un ciclo inicial en el sistema de origen y el sistema de destino.
El servicio de aprovisionamiento de Microsoft Entra consulta el sistema de origen para saber si algún usuario o grupo se actualizó desde el ciclo inicial y realiza cualquier ciclo incremental.
Aprovisionamiento automático de usuarios para aplicaciones de recursos humanos en la nube
En este ejemplo, los usuarios o grupos se crean en una aplicación de recursos humanos en la nube, como Workday y SuccessFactors. El servicio de aprovisionamiento de Microsoft Entra y el agente de aprovisionamiento de Microsoft Entra Connect aprovisionan los datos de los usuarios desde el inquilino de la aplicación de recursos humanos en la nube en AD. Una vez que se actualicen las cuentas en AD, se realice la sincronización con Microsoft Entra ID a través de Microsoft Entra Connect, y los atributos de dirección de correo electrónico y nombre de usuario se puedan volver a escribir en el inquilino de la aplicación de recursos humanos en la nube.
- El equipo de recursos humanos realiza las transacciones en el inquilino de la aplicación de RR. HH. en la nube.
- Servicio de aprovisionamiento de Microsoft Entra ejecuta los ciclos programados desde el inquilino de la aplicación de RR. HH. en la nube e identifica los cambios que deben procesarse para la sincronización con AD.
- El servicio de aprovisionamiento de Microsoft Entra invoca al agente de aprovisionamiento de Microsoft Entra Connect con una carga de solicitud que contiene las operaciones de creación, actualización, habilitación o deshabilitación de las cuentas de AD.
- El agente de aprovisionamiento de Microsoft Entra Connect usa una cuenta de servicio para administrar los datos de la cuenta de AD.
- Microsoft Entra Connect ejecuta una sincronización diferencial para extraer las actualizaciones de AD.
- Las actualizaciones de AD se sincronizan con Microsoft Entra ID.
- El servicio de aprovisionamiento de Microsoft Entra realiza la escritura diferida del atributo de correo electrónico y el nombre de usuario de Microsoft Entra ID en el inquilino de la aplicación de RR. HH. en la nube.
Planeamiento del proyecto de implementación
Tenga en cuenta las necesidades de su organización para determinar la estrategia de implementación del aprovisionamiento de usuarios en el entorno.
Interactuar con las partes interesadas adecuadas
Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.
Planeamiento de las comunicaciones
La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comunique de forma proactiva a los usuarios sobre su experiencia, cómo cambia la experiencia, cuándo esperar cualquier cambio y cómo obtener soporte técnico si experimentan problemas.
Planeamiento de un piloto
Se recomienda que la configuración inicial del aprovisionamiento automático de usuarios esté en un entorno de prueba con un subconjunto de usuarios pequeño antes de escalarla a todos los usuarios de producción. Vea los procedimientos recomendados para ejecutar un piloto.
Procedimientos recomendados para un piloto
Un piloto le permite probar con un grupo pequeño antes de implementar una funcionalidad para todos. Asegúrese de que, como parte de sus pruebas, cada caso de uso de su organización se prueba de forma exhaustiva.
En su primera oleada, TI de destino, facilidad de uso y otros usuarios adecuados que pueden probar y proporcionar comentarios. Use estos comentarios para desarrollar aún más las comunicaciones e instrucciones que envía a sus usuarios y proporcionarles información sobre los tipos de problemas que puede ver su personal de soporte técnico.
Amplíe la implementación en grupos de usuarios más grandes mediante el aumento del ámbito de los grupos objetivo. Aumentar el alcance de los grupos se hace a través de la pertenencia dinámica a grupos o agregando usuarios manualmente a los grupos objetivo.
Planeamiento de la administración y conexiones de aplicación
Use el portal de Microsoft Entra para ver y administrar todas las aplicaciones que admiten el aprovisionamiento. Consulte Búsqueda de aplicaciones en el portal.
Determine el tipo de conector que se va a usar
Los pasos que son necesarios para habilitar y configurar el aprovisionamiento automático varían según la aplicación. Si la aplicación que quiere aprovisionar automáticamente aparece en la galería de aplicaciones SaaS de Microsoft Entra, debe seleccionar el tutorial de integración específico de la aplicación para configurar el conector de aprovisionamiento de usuarios integrado previamente.
Si no es así, siga los pasos:
Cree una solicitud para un conector de aprovisionamiento de usuarios integrado previamente. Nuestro equipo trabajará con usted y con el desarrollador de la aplicación para incorporar la aplicación a nuestra plataforma si es compatible con SCIM.
Use la compatibilidad con el aprovisionamiento genérico de usuarios BYOA SCIM de la aplicación. Este es un requisito de Microsoft Entra ID para aprovisionar usuarios en la aplicación sin un conector de aprovisionamiento integrado previamente.
Si la aplicación puede usar el conector BYOA SCIM, consulte el tutorial de integración de BYOA SCIM para configurar el conector para la aplicación.
Para obtener más información, consulte ¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Microsoft Entra?
Recopilación de información para autorizar el acceso a la aplicación
La configuración del aprovisionamiento automático de usuarios es un proceso por aplicación. Para cada aplicación, necesita proporcionar credenciales de administrador para conectarse al punto de conexión del usuario del sistema de destino.
La imagen muestra una versión de las credenciales de administración necesarias:
Si bien algunas aplicaciones requieren la contraseña y el nombre de usuario del administrador, es posible que otras necesiten un token de portador.
Planeamiento del aprovisionamiento de usuarios y grupos
Si habilita el aprovisionamiento de usuarios para aplicaciones empresariales, el centro de administración de Microsoft Entra controla sus valores de atributos a través de la asignación de atributos.
Determinación de las operaciones para cada aplicación SaaS
Cada aplicación puede tener atributos de usuario o de grupo únicos que deben asignarse a los atributos de Microsoft Entra ID. La aplicación puede tener solo un subconjunto de las operaciones CRUD disponibles.
Para cada aplicación, documente la información siguiente:
Las operaciones CRUD de aprovisionamiento que se realizarán en los objetos de usuario o grupo para los sistemas de destino. Por ejemplo, es posible que cada propietario de empresa de una aplicación SaaS no quiera todas las operaciones posibles.
Atributos disponibles en el sistema de origen
Atributos disponibles en el sistema de destino
Asignación de los atributos entre sistemas.
Elección de usuarios y grupos que se van a aprovisionar
Antes de implementar el aprovisionamiento automático de usuarios, debe determinar los usuarios y grupos que se aprovisionarán en la aplicación.
Use filtros de ámbito para definir reglas basadas en atributos que determinen qué usuarios se aprovisionan en una aplicación.
A continuación, use asignaciones de usuarios y grupos según sea necesario para el filtrado adicional.
Definición de la asignación de atributos de usuario y grupo
Para implementar el aprovisionamiento automático de usuarios, debe definir los atributos de usuario y grupo necesarios para la aplicación. Hay un conjunto preconfigurado de atributos y asignaciones de atributos entre los objetos de usuario de Microsoft Entra y los objetos de usuario de cada aplicación SaaS. No todas las aplicaciones SaaS habilitan atributos de grupo.
Microsoft Entra ID admite la asignación de atributo a atributo directa, lo que proporciona valores constantes o permite escribir expresiones para asignaciones de atributos. Esta flexibilidad le brinda un control preciso de lo que se rellenará en el atributo del sistema de destino. Puede usar Microsoft Graph API y Probador de Graph para exportar el esquema y las asignaciones de atributos de aprovisionamiento de usuarios a un archivo JSON e importarlos de nuevo en Microsoft Entra ID.
Para obtener más información, consulte Personalización de las asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID.
Consideraciones especiales para el aprovisionamiento de usuarios
Tenga en cuenta lo siguiente para disminuir los problemas posteriores a la implementación:
Asegúrese de que los atributos usados para asignar objetos de usuario o grupo entre las aplicaciones de origen y de destino sean resistentes. No deberían hacer que los usuarios o grupos se aprovisionen de manera incorrecta si los atributos cambian (por ejemplo, un usuario se mueve a otra parte de la empresa).
Las aplicaciones pueden tener restricciones o requisitos específicos que deben cumplirse para que el aprovisionamiento de usuarios funcione correctamente. Por ejemplo, Slack trunca los valores de ciertos atributos. Consulte los tutoriales de aprovisionamiento automático de usuarios específicos para cada aplicación.
Confirme la coherencia del esquema entre los sistemas de origen y de destino. Entre los problemas comunes se incluyen atributos como UPN o correo que no coinciden. Por ejemplo, UPN en Microsoft Entra ID se establece como john_smith@contoso.com y en la aplicación, es jsmith@contoso.com. Para más información, consulte la referencia del esquema de usuario y grupo.
Planeamiento de pruebas y seguridad
En cada fase de la implementación, asegúrese de que está probando que los resultados son los esperados y auditando los ciclos de aprovisionamiento.
Planeamiento de pruebas
En primer lugar, configure el aprovisionamiento automático de usuarios para la aplicación. A continuación, ejecute casos de prueba para comprobar que la solución cumpla los requisitos de su organización.
| Escenarios | Resultados esperados |
|---|---|
| El usuario se agrega a un grupo asignado al sistema de destino. | El objeto de usuario se aprovisiona en el sistema de destino. El usuario puede iniciar sesión en el sistema de destino y realizar las acciones deseadas. |
| El usuario se quita de un grupo asignado al sistema de destino. | El objeto de usuario se desaprovisiona en el sistema de destino. El usuario no puede iniciar sesión en el sistema de destino. |
| La información de usuario se actualiza en Microsoft Entra ID con cualquier método. | Los atributos de usuario actualizados se reflejan en el sistema de destino después de un ciclo incremental. |
| El usuario está fuera del ámbito. | El objeto de usuario está deshabilitado o eliminado. Nota: Este comportamiento se invalida para el aprovisionamiento de Workday. |
Planeamiento de seguridad
Es habitual que se requiera una revisión de seguridad como parte de una implementación. Si necesita una revisión de seguridad, consulte las muchas notas del producto de Microsoft Entra ID que proporcionan información general sobre la identidad como servicio.
Planeamiento de la reversión
Si la implementación del aprovisionamiento automático de usuarios no funciona como se desea en el entorno de producción, los pasos de reversión pueden ayudarlo a revertir a un estado correcto conocido anterior:
Revise los registros de aprovisionamiento para determinar qué operaciones incorrectas se produjeron en los usuarios o grupos afectados.
Use los registros de auditoría del aprovisionamiento para determinar el último estado correcto conocido de los usuarios o grupos afectados. Revise también los sistemas de origen (Microsoft Entra ID o AD).
Trabaje con el propietario de la aplicación para actualizar los usuarios o grupos afectados directamente en la aplicación con los últimos valores de estado correctos conocidos.
Implementación del servicio de aprovisionamiento automático de usuarios
Elija los pasos que se ajusten a los requisitos de la solución.
Preparación del ciclo inicial
Cuando el servicio de aprovisionamiento de Microsoft Entra se ejecuta por primera vez, el ciclo inicial en el sistema de origen y el sistema de destino crea una instantánea de todos los objetos de usuario para cada sistema de destino.
Al habilitar el aprovisionamiento automático para una aplicación, el ciclo inicial tardará desde 20 minutos hasta varias horas. La duración depende del tamaño del directorio de Microsoft Entra y el número de usuarios en el ámbito del aprovisionamiento.
El servicio de aprovisionamiento almacena el estado de ambos sistemas después del ciclo inicial, lo que permite mejorar el rendimiento de los ciclos incrementales siguientes.
Configuración del aprovisionamiento automático de usuarios
Use el centro de administración de Microsoft Entra para administrar el aprovisionamiento y el desaprovisionamiento automáticos de las cuentas de usuario en las aplicaciones que lo admitan. Siga los pasos que aparecen en ¿Cómo configuro el aprovisionamiento automático para una aplicación?
El servicio de aprovisionamiento de usuarios de Microsoft Entra también se puede configurar y administrar mediante Microsoft Graph API.
Administración del aprovisionamiento automático de usuarios
Ahora que realizó la implementación, es necesario administrar la solución.
Supervisión del estado de las operaciones de aprovisionamiento de usuarios
Después de un ciclo inicial exitoso, el servicio de aprovisionamiento de Microsoft Entra ejecutará actualizaciones incrementales de manera indefinida, a intervalos específicos para cada aplicación, hasta que se produce alguno de estos eventos:
El servicio se detiene de manera manual y se desencadena un ciclo inicial nuevo mediante el centro de administración de Microsoft Entra o con el comando adecuado de Microsoft Graph API.
Se desencadena un nuevo ciclo inicial debido a un cambio en las asignaciones de atributos o en los filtros del ámbito.
El proceso de aprovisionamiento entra en cuarentena debido a una alta tasa de errores y permanece en ese estado durante más de cuatro semanas, cuando se deshabilita automáticamente.
Para revisar estos eventos y todas las demás actividades realizadas por el servicio de aprovisionamiento, consulte los registros de aprovisionamiento de Microsoft Entra.
Para saber cuánto tiempo tardan los ciclos de aprovisionamiento y supervisar el progreso del trabajo de aprovisionamiento, puede comprobar el estado de aprovisionamiento de usuarios.
Obtención de información a partir de los datos
Microsoft Entra ID puede proporcionar información adicional sobre el uso del aprovisionamiento de usuarios y el estado operativo mediante registros de auditoría e informes. Para más información sobre la información del usuario, consulte Comprobación del estado del aprovisionamiento de usuarios.
Los administradores deben comprobar el informe de resumen del aprovisionamiento para supervisar el estado operativo del trabajo de aprovisionamiento. Todas las actividades realizadas por el servicio de aprovisionamiento se registran en los registros de auditoría de Microsoft Entra. Consulte Tutorial: Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.
Se recomienda asumir la propiedad de estos informes y consumirlos según una cadencia que cumpla con los requisitos de la organización. Microsoft Entra ID conserva la mayoría de los datos de auditoría durante 30 días.
Solución de problemas
Consulte los vínculos siguientes para solucionar los problemas que pueden surgir durante el aprovisionamiento:
Documentación útil
Omisión de la eliminación de cuentas de usuario que están fuera de ámbito
Agente de aprovisionamiento de Microsoft Entra Connect: historial de versiones