¿Qué es el aprovisionamiento?

El aprovisionamiento y el desaprovisionamiento son los procesos que garantizan la coherencia de las identidades digitales en varios sistemas. Normalmente, estos procesos se utilizan como parte de la administración del ciclo de vida de la identidad.

El aprovisionamiento es el proceso de creación de una identidad en un sistema de destino según determinadas condiciones. El desaprovisionamiento es el proceso de eliminación de la identidad del sistema de destino cuando ya no se cumplen las condiciones. La sincronización es el proceso que permite mantener actualizado el objeto aprovisionado, de modo que el objeto de origen y el de destino sean similares.

Por ejemplo, cuando un nuevo empleado se une a una organización, se incorpora al sistema de RR. HH. En ese momento, el aprovisionamiento de RR. HH a Microsoft Entra ID puede crear una cuenta de usuario correspondiente en Microsoft Entra ID. Las aplicaciones que consultan Microsoft Entra ID pueden ver la cuenta de ese nuevo empleado. Si hay aplicaciones que no usan Microsoft Entra ID, el aprovisionamiento desde Microsoft Entra ID en las bases de datos de esas aplicaciones garantiza que el usuario pueda acceder a todas las aplicaciones que necesite. Este proceso permite al usuario empezar a trabajar y acceder a las aplicaciones y sistemas que necesitan desde el primer día. De manera similar, si las propiedades como, por ejemplo, su departamento o estado laboral, cambian en el sistema de RR. HH., la sincronización de esas actualizaciones del sistema de RR. HH. con Microsoft Entra ID y con otras aplicaciones y bases de datos de destino, garantiza la coherencia.

Actualmente, Microsoft Entra ID proporciona tres áreas de aprovisionamiento automatizado. Son:

Diagram of the identity lifecycle management.

Aprovisionamiento controlado por recursos humanos

Diagram of the HR provisioning.

El aprovisionamiento de recursos humanos en Microsoft Entra ID implica la creación de objetos, normalmente identidades de usuario que representan a cada empleado pero que, en algunos casos, también representan a departamentos u otras estructuras, según la información que se encuentra en el sistema de recursos humanos.

El escenario más común sería el siguiente: cuando un empleado nuevo empleado entra a formar parte de la empresa, se le incorpora al sistema de recursos humanos. Cuando esto sucede, se le aprovisiona automáticamente como nuevo usuario en Microsoft Entra ID, sin necesidad de intervención administrativa para cada nuevo contrato. Por lo general, el aprovisionamiento desde recursos humanos puede abarcar los siguientes escenarios.

  • Contratación de nuevos empleados: cuando se agrega un nuevo empleado a un sistema de RR. HH, se crea automáticamente una cuenta de usuario en Active Directory, Microsoft Entra ID y, opcionalmente, en los directorios de otras aplicaciones compatibles con Microsoft Entra ID, con escritura diferida de la dirección de correo electrónico en el sistema de RR. HH.
  • Actualizaciones de atributos y perfiles de empleados: si se actualiza un registro de empleado en el sistema de RR. HH (por ejemplo, el nombre, el cargo o el jefe), su cuenta de usuario se actualizará automáticamente en Active Directory, Microsoft Entra ID y, opcionalmente, en otras aplicaciones compatibles con Microsoft Entra ID.
  • Despidos de empleados: cuando se prescinde de un empleado en el sistema de RR. HH., se impide automáticamente a su cuenta de usuario el inicio de sesión o se elimina esa cuenta de Active Directory, Microsoft Entra ID y de otras aplicaciones.
  • Recontratación de empleados: cuando se vuelve a contratar a un empleado en el sistema de RR. HH. en la nube, su cuenta anterior se puede volver a activar o reaprovisionar automáticamente (según lo que prefiera).

Hay tres opciones de implementación para el aprovisionamiento controlado por recursos humanos con Microsoft Entra ID:

  1. Para las organizaciones con una suscripción única a Workday o SuccessFactors, y que no usan Active Directory
  2. Para las organizaciones con una suscripción única a Workday o SuccessFactors, y que usan Active Directory y Microsoft Entra ID
  3. Para las organizaciones con varios sistemas de recursos humanos, o un sistema de recursos humanos local como SAP, Oracle eBusiness o PeopleSoft

Para más información, consulte ¿Qué es el aprovisionamiento controlado por RR. HH.?

Aprovisionamiento de aplicaciones

Diagram that shows the app provisioning flow.

En Microsoft Entra ID, el término aprovisionamiento de aplicaciones hace referencia a la creación automática de copias de identidades de usuario en las aplicaciones a las que los usuarios necesitan acceder, para aquellas aplicaciones que tienen su propio almacén de datos y que son distintas de Microsoft Entra ID o Active Directory. Además de crear identidades de usuario, el aprovisionamiento de aplicaciones incluye el mantenimiento y la eliminación de identidades de usuario de esas aplicaciones a medida que el estado o los roles del usuario cambian. Algunos escenarios comunes incluyen el aprovisionamiento de un usuario de Microsoft Entra en aplicaciones como Dropbox, Salesforce o ServiceNow, ya que cada una de estas aplicaciones tiene su propio repositorio de usuarios distinto de Microsoft Entra ID.

Microsoft Entra ID también admite el aprovisionamiento de usuarios en aplicaciones hospedadas en un entorno local o en una máquina virtual, sin tener que abrir ningún firewall. Si la aplicación admite SCIM o ha creado una puerta de enlace SCIM para conectarse a la aplicación heredada, puede usar el agente de aprovisionamiento de Microsoft Entra para conectarse directamente con la aplicación y automatizar el aprovisionamiento y el desaprovisionamiento. Si tiene aplicaciones heredadas que no admiten SCIM y se basan en un almacén de usuarios LDAP o una base de datos SQL, o que tengan un SOAP o API de REST, Microsoft Entra ID también puede admitir esas aplicaciones.

Para más información, consulte ¿Qué es el aprovisionamiento de aplicaciones?

Aprovisionamiento entre directorios

Diagram that shows the inter-directory provisioning

Muchas organizaciones confían en Active Directory y Microsoft Entra ID, y pueden tener aplicaciones conectadas a Active Directory como, por ejemplo, servidores de archivos locales.

Como muchas organizaciones han implementado tradicionalmente el aprovisionamiento controlado por recursos humanos en el entorno local, es posible que ya tengan identidades de usuario para todos sus empleados en Active Directory. El escenario más común para el aprovisionamiento entre directorios se produce cuando un usuario que ya está en Active Directory se aprovisiona en Microsoft Entra ID. Este aprovisionamiento se suele realizar mediante sincronización de Microsoft Entra Connect o aprovisionamiento de nube de Microsoft Entra Connect.

Además, es posible que las organizaciones quieran también aprovisionar en sistemas locales desde Microsoft Entra ID. Por ejemplo, una organización puede haber incluido invitados en el directorio de Microsoft Entra, pero esos invitados deberán tener acceso a aplicaciones web basadas en la autenticación integrada de Windows local mediante el proxy de la aplicación. Este escenario requiere el aprovisionamiento de cuentas de AD locales para esos usuarios en Microsoft Entra ID.

Para más información, consulte ¿Qué es el aprovisionamiento entre directorios?

Pasos siguientes