Administración del aprovisionamiento de cuentas de usuario para aplicaciones empresariales en el centro de administración de Microsoft Entra

En este artículo se describen los pasos generales para administrar el aprovisionamiento y el desaprovisionamiento automáticos de cuentas de usuario en aplicaciones que lo admitan. El aprovisionamiento de cuentas de usuario es el acto de crear, actualizar o deshabilitar registros de cuenta de usuario en el almacén de perfiles de usuario local de una aplicación. La mayoría de las aplicaciones SaaS y en la nube, así como muchas aplicaciones locales, almacenan el rol y los permisos en el propio almacén de perfiles de usuario local de la aplicación. La presencia de este registro de usuario en el almacén local de la aplicación es necesaria para el inicio de sesión único y el acceso al trabajo. Para obtener más información sobre el aprovisionamiento automático de cuentas de usuario, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Búsqueda de aplicaciones en el portal

Use el centro de administración de Microsoft Entra para ver y administrar todas las aplicaciones configuradas para el inicio de sesión único en un directorio. Las aplicaciones empresariales son aplicaciones que se implementan y se usan dentro de su organización. Siga estos pasos para ver y administrar las aplicaciones empresariales:

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.

2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

3. Se muestra una lista de las aplicaciones configuradas, incluidas aquellas que se han agregado desde la galería.

4. Seleccione cualquier aplicación para cargar el panel de recursos, donde puede ver los informes y administrar la configuración de la aplicación.

5. Seleccione Aprovisionamiento para administrar la configuración de aprovisionamiento de cuentas de usuario de la aplicación seleccionada.

   

Modos de aprovisionamiento

El panel Aprovisionamiento comienza con un menú Modo, que muestra los modos de aprovisionamiento admitidos para una aplicación empresarial y permite configurarlos. Las opciones disponibles incluyen:

• Automático: esta opción aparece si Microsoft Entra ID admite el aprovisionamiento automático basado en API o el desaprovisionamiento de cuentas de usuario para esta aplicación. Seleccione este modo para mostrar una interfaz que permita a los administradores:

  • Configuración de Microsoft Entra ID para conectarse a la API de administración de usuarios de la aplicación
  • Crear asignaciones de cuentas y flujos de trabajo que definen cómo deben fluir los datos de la cuenta de usuario entre Microsoft Entra ID y la aplicación
  • Administración del servicio de aprovisionamiento de Microsoft Entra

• Manual: esta opción se muestra si Microsoft Entra ID no admite el aprovisionamiento automático de cuentas de usuario para esta aplicación. En este caso, los registros de cuenta de usuario almacenados en la aplicación deben administrarse mediante un proceso externo, según las funcionalidades de aprovisionamiento y administración de usuarios proporcionadas por la aplicación (que puede incluir el aprovisionamiento Just-In-Time de SAML).

Configuración del aprovisionamiento automático de cuentas de usuario

Seleccione la opción Automático para especificar la configuración de las credenciales de administrador, las asignaciones, el inicio y parada y la sincronización.

Credenciales de administrador

Expanda Credenciales de administrador para especificar las credenciales necesarias para que Microsoft Entra ID se conecte a la API de administración de usuarios de la aplicación. La entrada necesaria varía dependiendo de la aplicación. Para más información sobre los requisitos y tipos de credenciales para aplicaciones específicas, consulte el tutorial de configuración de la aplicación específica.

Seleccione el botón Probar conexión para probar las credenciales al hacer que Microsoft Entra ID intente conectarse a la aplicación de aprovisionamiento de la aplicación con las credenciales proporcionadas.

Asignaciones

Expanda Asignaciones para ver y editar los atributos de usuario que fluyen entre Microsoft Entra ID y la aplicación de destino cuando las cuentas de usuario se aprovisionan o se actualizan.

Hay un conjunto preconfigurado de asignaciones entre los objetos de usuario de Microsoft Entra ID y los objetos de usuario de cada aplicación SaaS. Algunas aplicaciones también administran objetos de grupo. Seleccione una asignación de la tabla para abrir el editor de asignaciones, donde puede verlas y personalizarlas.

Las personalizaciones compatibles incluyen:

• Habilitar y deshabilitar asignaciones para objetos específicos, como el objeto de usuario de Microsoft Entra ID en el objeto de usuario de la aplicación SaaS.

• Editar los atributos que fluyen desde el objeto de usuario de Microsoft Entra ID al objeto de usuario de la aplicación. Para más información sobre la asignación de atributos, consulte la sección Información sobre los tipos de asignaciones de atributos.

• Filtrar las acciones de aprovisionamiento que ejecuta Microsoft Entra ID en la aplicación de destino. En lugar de que Microsoft Entra ID sincronice totalmente los objetos, puede limitar las acciones ejecutadas.

  Por ejemplo, si solo selecciona Actualizar y Microsoft Entra únicamente actualiza las cuentas de usuario existentes en una aplicación, pero no crea otras nuevas. Si solo selecciona Crear, Azure únicamente crea nuevas cuentas de usuario, pero no actualiza las existentes. Esta característica permite a los administradores crear asignaciones diferentes para la creación de cuentas y la actualización de los flujos de trabajo.

• Adición de una nueva asignación de atributo. Seleccione Agregar nueva asignación en la parte inferior del panel Asignación de atributos. Rellene el formulario Editar atributo y seleccione Aceptar para agregar la nueva asignación a la lista.

Configuración

Expanda Configuración para establecer una dirección de correo electrónico para recibir notificaciones y si desea recibir alertas sobre errores. También seleccione el ámbito de los usuarios que se sincronizarán. Opte por sincronizar todos los usuarios y grupos o solo los usuarios que se han asignado.

Estado de aprovisionamiento

Si el aprovisionamiento se habilita por primera vez para una aplicación, active el servicio mediante el cambio de Estado de aprovisionamiento a Activado. Este cambio hace que el servicio de aprovisionamiento de Microsoft Entra ejecute un ciclo inicial. Lee los usuarios asignados en la sección Usuarios y grupos, consulta la aplicación de destino para ellos y, después, ejecuta las acciones de aprovisionamiento definidas en la sección Asignaciones de Microsoft Entra ID. Durante este proceso, el servicio de aprovisionamiento almacena datos almacenados en caché sobre qué cuentas de usuario administra. El servicio almacena datos en caché, de modo que las cuentas sin administrar dentro de las aplicaciones de destino que no estuvieron nunca dentro del ámbito no se ven afectadas en operaciones de desaprovisionamiento. Después del ciclo inicial, el servicio de aprovisionamiento sincroniza automáticamente los objetos de grupo y usuario con un intervalo de cuarenta minutos.

Cambie Estado de aprovisionamiento a Desactivado para pausar el servicio de aprovisionamiento. En este estado, Azure no crea, actualiza ni quita ningún objeto de grupo o usuario en la aplicación. Cambie el estado de nuevo a Activado y el servicio vuelve adonde lo dejó.