Aprovisionamiento a petición en Microsoft Entra ID

Use el aprovisionamiento a petición para aprovisionar un usuario o grupo en cuestión de segundos. Entre otras cosas, puede usar esta capacidad para:

• Soluciar problemas de configuración rápidamente.
• Validar las expresiones que haya definido.
• Probar filtros de ámbito.

Procedimiento para usar el aprovisionamiento a petición

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales> y seleccione su aplicación.
3. Seleccione Aprovisionamiento.

2. Vaya a Identidad>Identidades externas>Sincronización entre inquilinos>Configuraciones.
3. Seleccione la configuración y luego vaya a la página de configuración de Aprovisionamiento.

4. Configure el aprovisionamiento al proporcionar las credenciales de administrador.

5. Seleccione Aprovisionamiento a petición.

6. Busque un usuario por nombre, apellidos, nombre para mostrar, nombre principal de usuario o dirección de correo electrónico. Como alternativa, puede buscar un grupo y seleccionar hasta cinco usuarios.

   Nota:

   En el caso de la aplicación de aprovisionamiento de RR. HH. en la nube (Workday/SuccessFactors en Active Directory/ Microsoft Entra ID), el valor de entrada es diferente. En el caso de WorkDay, proporcione el "WorkerID" o "WID" para el usuario de WorkDay. En el caso de SuccessFactors, proporcione "personIdExternal" para el usuario de SuccessFactors.

7. Seleccione Aprovisionar en la parte inferior de la página.

   

Descripción de los pasos de aprovisionamiento

El proceso de aprovisionamiento a petición intenta mostrar los pasos que realiza el servicio de aprovisionamiento al aprovisionar un usuario. Normalmente, hay cinco pasos para aprovisionar a un usuario. Durante la experiencia de aprovisionamiento a petición se mostrarán uno o varios de estos pasos, que se explican en las secciones siguientes.

Paso 1: Prueba de conexión

El servicio de aprovisionamiento intenta autorizar el acceso al sistema de destino realizando una solicitud para un "usuario de prueba". El servicio de aprovisionamiento espera una respuesta que indique que está autorizado para continuar con los pasos de aprovisionamiento. Este paso solo se muestra cuando se produce un error. No se muestra en la experiencia de aprovisionamiento a petición cuando el paso se realiza correctamente.

Sugerencias de solución de problemas

• Asegúrese de que haya proporcionado credenciales válidas, como el token secreto y la dirección URL del inquilino, al sistema de destino. Las credenciales requeridas varían según la aplicación. Para ver tutoriales de configuración detallados, consulte la lista de tutoriales.
• Asegúrese de que el sistema de destino admita el filtrado por los atributos emparejados definidos en el panel Asignaciones de atributos. Es posible que deba consultar la documentación de la API proporcionada por el desarrollador de la aplicación a fin de entender los filtros admitidos.
• En el caso de las aplicaciones System for Cross-domain Identity Management (SCIM), puede usar una herramienta como Postman. Estas herramientas le ayudan a asegurarse de que la aplicación responde a las solicitudes de autorización de la forma que espera el servicio de aprovisionamiento de Microsoft Entra. Consulte una solicitud de ejemplo.

Paso 2: Importación de usuario

Después, el servicio de aprovisionamiento recupera el usuario desde el sistema de origen. Los atributos de usuario que el servicio recupera se usan más adelante para:

• Evaluar si el usuario está en el ámbito del aprovisionamiento.
• Comprobar si hay un usuario existente en el sistema de destino.
• Determinar qué atributos de usuario se exportarán al sistema de destino.

Ver detalles

En la sección Ver detalles se muestran las propiedades del usuario que se han importado desde el sistema de origen (por ejemplo, Microsoft Entra ID).

Sugerencias de solución de problemas

• Se puede producir un error al importar el usuario si falta el atributo emparejado en el objeto de usuario del sistema de origen. Para resolver este error, pruebe uno de estos métodos:

  • Actualice el objeto de usuario con un valor para el atributo coincidente.
  • Cambie el atributo coincidente en la configuración de aprovisionamiento.

• Si falta un atributo que esperaba en la lista que se ha importado, asegúrese de que el atributo tenga un valor en el objeto de usuario del sistema de origen. El servicio de aprovisionamiento no admite actualmente el aprovisionamiento de atributos NULL.

• Asegúrese de que la página Asignación de atributos de la configuración de aprovisionamiento contiene el atributo que espera.

Paso 3: Determinación de si el usuario está en el ámbito

A continuación, el servicio de aprovisionamiento determina si el usuario está en el ámbito del aprovisionamiento. El servicio tiene en cuenta aspectos como:

• Si el usuario está asignado a la aplicación.
• Si el ámbito está establecido en Sync assigned (Sincronizar asignación) o Sincronizar todo.
• Los filtros de ámbito definidos en la configuración de aprovisionamiento.

Ver detalles

En la sección Ver detalles se muestran las condiciones de ámbito que se han evaluado. Puede ver una o varias de las siguientes propiedades:

• Activo en sistema de origen indica que el usuario tiene la propiedad IsActive establecida en true en Microsoft Entra ID.
• Asignado a aplicación indica que el usuario está asignado a la aplicación en Microsoft Entra ID.
• Ámbito sincronizar todo indica que la configuración de ámbito permite todos los usuarios y grupos del inquilino.
• Usuario tiene rol requerido indica que el usuario tiene los roles necesarios para aprovisionarse en la aplicación.
• Filtros de ámbito también aparece si se han definido filtros de ámbito para la aplicación. El filtro se muestra con el siguiente formato: {título del filtro de ámbito} {atributo del filtro de ámbito} {operador del filtro de ámbito} {valor del filtro de ámbito}.

Sugerencias de solución de problemas

• Asegúrese de que haya definido un rol de ámbito válido. Por ejemplo, evite usar el operador Greater_Than con un valor no entero.
• Si el usuario no tiene el rol necesario, revise las recomendaciones para aprovisionar a los usuarios asignados al rol de acceso predeterminado.

Paso 4: Emparejamiento del usuario entre origen y destino

En este paso, el servicio intenta emparejar el usuario que se ha recuperado en el paso de importación con un usuario del sistema de destino.

Ver detalles

En la página Ver detalles se muestran las propiedades de los usuarios que se han emparejado en el sistema de destino. El panel de contexto cambia de la siguiente manera:

• Si no hay ningún usuario coincidente en el sistema de destino, no se muestran propiedades.
• Si un usuario coincide en el sistema de destino, se muestran las propiedades de ese usuario.
• Si coinciden varios usuarios, se muestran las propiedades de ambos usuarios.
• Si hay varios atributos emparejados que forman parte de las asignaciones de atributos, cada atributo emparejado se evalúa secuencialmente y se muestran los usuarios emparejados del atributo.

Sugerencias de solución de problemas

• Es posible que el servicio de aprovisionamiento no pueda emparejar de forma única a un usuario del sistema de origen con un usuario del destino. Resuelva este problema asegurándose de que el atributo emparejado sea único.
• Asegúrese de que el sistema de destino admita el filtrado por el atributo definido como atributo emparejado.

Paso 5: Realización de acción

Por último, el servicio de aprovisionamiento realiza una acción, como crear, actualizar, eliminar u omitir el usuario.

Este es un ejemplo de lo que podría ver después del aprovisionamiento a petición correcto de un usuario:

Ver detalles

La sección Ver detalles muestra los atributos que se han modificado en el sistema de destino. Esta visualización representa la salida final de la actividad del servicio de aprovisionamiento y los atributos que se han exportado. Si se produce un error en este paso, los atributos mostrados representan los atributos que el servicio de aprovisionamiento ha intentado modificar.

Sugerencias de solución de problemas

• Los errores para exportar cambios pueden variar considerablemente. Consulte la documentación de los registros de aprovisionamiento para conocer los errores habituales.
• El aprovisionamiento a petición indica que el grupo o el usuario no se pueden aprovisionar porque no están asignados a la aplicación. Hay un retraso de replicación de hasta unos minutos entre el momento en que se asigna un objeto a una aplicación y el cumplimiento de esa asignación en el aprovisionamiento a petición. Es posible que tenga que esperar unos minutos e intentarlo de nuevo.

Preguntas más frecuentes

• ¿Es necesario desactivar el aprovisionamiento para usar el aprovisionamiento a petición? En las aplicaciones que usan un token de portador de larga duración o un nombre de usuario y una contraseña para la autorización, no se necesitan pasos adicionales. Las aplicaciones que usan OAuth para la autorización actualmente requieren que el trabajo de aprovisionamiento se detenga para usar el aprovisionamiento a petición. En esta categoría se encuentran aplicaciones como G Suite, Box, Workplace by Facebook y Slack. Se está trabajando para permitir la ejecución del aprovisionamiento a petición para todas las aplicaciones, sin necesidad de detener los trabajos de aprovisionamiento.

• ¿Cuánto tarda el aprovisionamiento a petición? El aprovisionamiento a petición normalmente tarda menos de 30 segundos.

Restricciones conocidas

Actualmente, hay algunas limitaciones conocidas para el aprovisionamiento a petición. Publique sus comentarios y sugerencias para que podamos determinar mejor las mejoras que deben realizarse a continuación.

Nota:

Las siguientes limitaciones son específicas de la capacidad de aprovisionamiento a petición. Para obtener información sobre si una aplicación admite el aprovisionamiento de grupos, las eliminaciones u otras funciones, consulte el tutorial de esa aplicación.

• El aprovisionamiento a petición de grupos admite la actualización de hasta cinco miembros a la vez. Los conectores para la sincronización entre inquilinos, Workday, etc., no admiten el aprovisionamiento de grupos y, como resultado, no admiten el aprovisionamiento a petición de grupos.
• La API de solicitud de aprovisionamiento a petición solo puede aceptar un único grupo con hasta 5 miembros a la vez.

• No se admite el aprovisionamiento a petición de grupos para la sincronización entre inquilinos.

• El aprovisionamiento a petición admite el aprovisionamiento de un usuario a la vez a través del centro de administración de Microsoft Entra.
• No se admite la restauración de un usuario que previamente se ha eliminado temporalmente en el inquilino de destino con aprovisionamiento a petición. Si intenta eliminar temporalmente un usuario con el aprovisionamiento a petición y, después, quiere restaurarlo, puede dar como resultado usuarios duplicados.
• No se admite el aprovisionamiento a petición de roles.
• El aprovisionamiento a petición admite la deshabilitación de usuarios que se han desasignado de la aplicación. Sin embargo, no admite la deshabilitación o eliminación de usuarios que se han deshabilitado o eliminado de Microsoft Entra ID. Estos usuarios no aparecen al buscar un usuario.
• El aprovisionamiento a petición no admite grupos anidados que no estén asignados directamente a la aplicación.

Pasos siguientes

• Solución de problemas de aprovisionamiento