Configuración de TheAccessHub Admin Tool mediante Azure Active Directory B2C

En este tutorial, se proporciona una guía sobre cómo integrar Azure Active Directory B2C (Azure AD B2C) con TheAccessHub Admin Tool de N8 Identity. Esta solución se encarga de la migración de cuentas de clientes y la administración de solicitudes de servicio de atención al cliente (CSR).

Es adecuada en su caso si tiene uno o varios de los siguientes requisitos:

  • Tiene un sitio existente y quiere migrar a Azure AD B2C. Sin embargo, tiene dificultades con la migración de las cuentas de clientes, incluidas las contraseñas.

  • Necesita una herramienta para administrar las CSR de las cuentas de Azure AD B2C.

  • Tiene como requisito usar la administración delegada para las CSR.

  • Quiere sincronizar y combinar los datos de muchos repositorios en Azure AD B2C.

Requisitos previos

Para empezar, necesitará lo siguiente:

  • Una suscripción de Azure AD. Si no tiene una suscripción, puede crear una cuenta gratuita.

  • Un inquilino de Azure AD B2C. El inquilino debe estar vinculado a la suscripción de Azure.

  • Un entorno de TheAccessHub Admin Tool. Póngase en contacto con N8 Identity para aprovisionar un nuevo entorno.

  • [Opcional] Información de conexión y credenciales para cualquier base de datos o protocolo ligero de acceso a directorios (LDAP) desde el que quiere migrar los datos del cliente.

  • [Opcional] Entorno configurado de Azure AD B2C para el uso de directivas personalizadas, si quiere integrar TheAccessHub Admin Tool en el flujo de directivas de registro.

Descripción del escenario

TheAccessHub Admin Tool se ejecuta como cualquier otra aplicación de Azure. Puede ejecutarse en la suscripción de Azure de N8 Identity o en la suscripción del cliente. En el siguiente diagrama de arquitectura se muestra la implementación.

Diagram of the n8identity architecture.

Paso Descripción
1. Cada usuario llega a una página de inicio de sesión. El usuario crea una cuenta y escribe información en la página. Azure AD B2C recopila los atributos de usuario.
2. Azure AD B2C llama a TheAccessHub Admin Tool y pasa los atributos de usuario.
3. TheAccessHub Admin Tool comprueba la base de datos existente para obtener información del usuario actual.
4. El registro de usuario se sincroniza entre la base de datos y TheAccessHub Admin Tool.
5. TheAccessHub Admin Tool comparte los datos con el administrador de CSR/Helpdesk delegado.
6. TheAccessHub Admin Tool sincroniza los registros de usuario con Azure AD B2C.
7. En función de la respuesta de éxito o error de TheAccessHub Admin Tool, Azure AD B2C envía un correo electrónico personalizado de bienvenida al usuario.

Creación de un administrador global en el inquilino de Azure AD B2C

TheAccessHub Admin Tool requiere permisos para actuar en nombre de un administrador global con el fin de leer información de usuario y realizar cambios en el inquilino de Azure AD B2C. Los cambios realizados en los administradores normales no afectarán a la capacidad de TheAccessHub Admin Tool de interactuar con el inquilino.

Para crear un administrador global:

  1. En Azure Portal, inicie sesión en su inquilino de Azure AD B2C como administrador. Vaya a Azure Active Directory>Usuarios.

  2. Seleccione New User (Nuevo usuario).

  3. Elija Crear usuario para crear un usuario de directorio normal y no un cliente.

  4. Complete el formulario de información de identidad:

    a. Escriba el nombre de usuario, por ejemplo, theaccesshub.

    b. Escriba el nombre de la cuenta, por ejemplo, Cuenta de servicio de TheAccessHub.

  5. Seleccione Mostrar contraseña y copie la contraseña inicial para usarla más tarde.

  6. Asigne el rol Administrador global:

    a. En Usuario, seleccione el rol actual del usuario y cámbielo.

    b. Seleccione el registro Administrador global.

    c. Seleccione Crear.

Conexión de TheAccessHub Admin Tool con el inquilino de Azure AD B2C

TheAccessHub Admin Tool usa Graph API de Microsoft para leer y realizar cambios en el directorio. Actúa como administrador global en su inquilino. TheAccessHub Admin Tool necesita permisos adicionales, que puede conceder desde dentro de la herramienta.

Para autorizar a TheAccessHub Admin Tool el acceso a su directorio, siga estos pasos:

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Azure AD B2C Config.

  3. Seleccione Authorize Connection.

  4. En la ventana que se abre, inicie sesión con la cuenta de administrador global. Se le podría pedir que restablezca la contraseña si va a iniciar sesión por primera vez con la nueva cuenta de servicio.

  5. Siga las indicaciones y seleccione Aceptar para conceder los permisos solicitados a TheAccessHub Admin Tool.

Configuración de un nuevo usuario de CSR mediante la identidad de empresa

Cree un usuario de CSR o del departamento de soporte técnico que vaya a acceder a TheAccessHub Admin Tool con sus credenciales de Azure Active Directory empresariales existentes.

Para configurar el usuario de CSR o del departamento de soporte técnico con el inicio de sesión único (SSO), se recomiendan los siguientes pasos:

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a Manager Tools>Manage Colleagues.

  3. Seleccione Add Colleague (Agregar compañero).

  4. En Colleague Type, seleccione Azure Administrator.

  5. Escriba la información de perfil de su compañero:

    a. Elija una organización principal para controlar quién tiene permiso para administrar este usuario.

    b. En Login ID/Azure AD User Name, proporcione el nombre principal de usuario de la cuenta de Azure Active Directory del usuario.

    c. En la pestaña Roles de TheAccessHub, seleccione el rol administrado Helpdesk. Este rol permitirá que el usuario acceda a la vista Manage Colleagues. De todos modos, el usuario tendrá que incluirse en un grupo o convertirse en propietario de la organización para realizar acciones con los clientes.

  6. Seleccione Submit (Enviar).

Configuración de un nuevo usuario de CSR mediante una identidad nueva

Cree un usuario de CSR o del departamento de soporte técnico que vaya a acceder a TheAccessHub Admin Tool con una nueva credencial local única para dicha herramienta. Este usuario se usará principalmente en las organizaciones que no emplean Azure Active Directory.

Para configurar un usuario de CSR o del departamento de soporte técnico sin inicio de sesión único:

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a Manager Tools>Manage Colleagues.

  3. Seleccione Add Colleague (Agregar compañero).

  4. En Colleague Type, seleccione Local Administrator.

  5. Escriba la información de perfil de su compañero:

    a. Elija una organización principal para controlar quién tiene permiso para administrar este usuario.

    b. En la pestaña Roles de TheAccessHub, seleccione el rol administrado Helpdesk. Este rol permitirá que el usuario acceda a la vista Manage Colleagues. De todos modos, el usuario tendrá que incluirse en un grupo o convertirse en propietario de la organización para realizar acciones con los clientes.

  6. Copie el Id. o correo electrónico de inicio de sesión y los atributos de Contraseña de un solo uso. Proporcione dicha información al nuevo usuario. Este usará las credenciales para iniciar sesión en TheAccessHub Admin Tool. Se le pedirá al usuario que escriba una contraseña nueva en su primer inicio de sesión.

  7. Seleccione Submit (Enviar).

Configuración de la administración de CSR con particiones

Los permisos para administrar clientes y usuarios de CSR o del departamento de soporte técnico en TheAccessHub Admin Tool se administran mediante una jerarquía de organización. Todos los compañeros y clientes pertenecen a una organización principal. Puede asignar compañeros o grupos de compañeros específicos como propietarios de organizaciones.

Los propietarios de la organización pueden administrar compañeros y clientes de las organizaciones o suborganizaciones que poseen, y realizar cambios en ellos. Para permitir que varios compañeros administren un conjunto de usuarios, puede crear un grupo con muchos miembros. Luego, puede asignar el grupo como propietario de la organización. Todos los miembros del grupo podrán entonces administrar compañeros y clientes de la organización.

Creación de un grupo nuevo

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a Organization > Manage Groups.

  3. Seleccione Agregar grupo.

  4. Escriba valores para Group name, Group description y Group owner.

  5. Busque y active las casillas de los compañeros que quiera agregar como miembros del grupo y, luego, seleccione Add.

  6. Podrá ver a todos los miembros del grupo en la parte inferior de la página.

    De ser necesario, puede seleccionar la x al final de la fila para quitar miembros.

  7. Seleccione Submit (Enviar).

Creación de una organización

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a Organization>Manage Organizations.

  3. Seleccione Add Organization.

  4. Proporcione valores para Organization name, Organization owner y Parent organization:

    a. Idealmente, el nombre de la organización es un valor que se corresponde con los datos del cliente. Al cargar los datos de compañeros y clientes, si proporciona el nombre de la organización durante la carga, el compañero se podrá asignar automáticamente a la organización.

    b. El propietario representa a la persona o grupo que administrará los clientes y compañeros de esta organización y de todas las suborganizaciones que contenga.

    c. La organización primaria indica qué otra organización también es responsable de esta organización.

  5. Seleccione Submit (Enviar).

Modificación de la jerarquía mediante la vista de árbol

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a Manager Tools>Tree View.

  3. En esta representación, puede visualizar qué compañeros y grupos pueden administrar cuáles organizaciones. Modifique la jerarquía arrastrando las organizaciones a las organizaciones primarias.

  4. Seleccione Save (Guardar) cuando haya terminado de modificar la jerarquía.

Personalización de la notificación de bienvenida

Mientras usa TheAccessHub Admin Tool para migrar usuarios de una solución de autenticación anterior a Azure AD B2C, puede que quiera personalizar la notificación de bienvenida del usuario. TheAccessHub Admin Tool envía esta notificación a los usuarios durante la migración. Normalmente, este mensaje incluye un vínculo para que los usuarios establezcan una nueva contraseña en el directorio de Azure AD B2C.

Para personalizar la notificación:

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Notifications.

  3. Seleccione la plantilla Create Colleague.

  4. Seleccione Editar.

  5. Modifique los campos Message y Template, según sea necesario. El campo Template es compatible con HTML, y puede enviar notificaciones por correo electrónico con formato HTML a los clientes.

  6. Cuando haya terminado, seleccione Guardar.

Migración de datos desde orígenes de datos externos a Azure AD B2C

Con TheAccessHub Admin Tool, puede importar datos de varias bases de datos, LDAP y archivos CSV y, luego, insertar los datos en su inquilino de Azure AD B2C. Para migrar los datos, se cargan en el tipo de compañero del usuario de Azure AD B2C dentro de TheAccessHub Admin Tool.

Si el origen de datos no es Azure, los datos se colocarán tanto en TheAccessHub Admin Tool y Azure AD B2C. Si el origen de los datos externos no es un archivo. csv simple en el equipo, configure un origen de datos antes de realizar la carga de datos. En los pasos siguientes se describe la creación de un origen de datos, así como la carga de los datos.

Configuración de un nuevo origen de datos

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Data Sources.

  3. Seleccione Add Data Source.

  4. Proporcione los valores de Name y Type para este origen de datos.

  5. Rellene los datos del formulario, en función del tipo de origen de datos.

    Para las bases de datos:

    a. En Type, escriba Database.

    b. En Database type, seleccione una base de datos de uno de los tipos de bases de datos admitidos.

    c. En Connection URL, escriba una cadena de conexión JDBC con un formato correcto, como jdbc:postgresql://myhost.com:5432/databasename.

    d. En Username, escriba el nombre de usuario para acceder a la base de datos.

    e. En Password, escriba la contraseña para acceder a la base de datos.

    f. En Query, escriba la consulta SQL para extraer los detalles del cliente, por ejemplo, SELECT * FROM mytable;.

    g. Seleccione Test Connection (Probar conexión). Verá un ejemplo de los datos para asegurarse de que la conexión funciona.

    Para LDAP:

    a. En Type, escriba LDAP.

    b. En Host, escriba el nombre de host o la dirección IP de la máquina en la que se ejecuta el servidor LDAP, como mysite.com.

    c. En Port, escriba el número de puerto en el que escucha el servidor LDAP.

    d. En SSL, active la casilla si TheAccessHub Admin Tool debe comunicarse con LDAP de manera segura mediante SSL. Se recomienda encarecidamente usar SSL.

    e. En Login DN, escriba el nombre distintivo (DN) de la cuenta de usuario para iniciar sesión y realice la búsqueda de LDAP.

    f. En Password (Contraseña), escriba la contraseña del usuario.

    g. En Base DN, escriba el DN en la parte superior de la jerarquía en la que quiere realizar la búsqueda.

    h. En Filter, escriba la cadena de filtro LDAP, que obtendrá los registros de clientes.

    i. En Attributes, especifique una lista separada por comas de atributos de los registros de cliente para pasar a TheAccessHub Admin Tool.

    j. Seleccione Test Connection. Verá un ejemplo de los datos para asegurarse de que la conexión funciona.

    Para OneDrive:

    a. En Type, seleccione OneDrive for Business.

    b. Seleccione Authorize Connection.

    c. Una nueva ventana le pide que inicie sesión en OneDrive. Inicie sesión con un usuario que tenga acceso de lectura a su cuenta de OneDrive. TheAccessHub Admin Tool actuará para que este usuario lea los archivos de carga .csv.

    d. Siga las indicaciones y seleccione Aceptar para conceder los permisos solicitados a TheAccessHub Admin Tool.

  6. Cuando haya terminado, seleccione Guardar.

Sincronización de datos del origen de datos en Azure AD B2C

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Data Synchronization.

  3. Seleccione New Load.

  4. En Colleague Type, seleccione Azure AD B2C User.

  5. Seleccione Origen. En el cuadro de diálogo emergente, seleccione el origen de datos. Si creó un origen de datos de OneDrive, seleccione también el archivo.

  6. Si no quiere crear nuevas cuentas de cliente con esta carga, cambie la primera directiva (IF colleague not found in TheAccessHub THEN) a Do Nothing.

  7. Si no quiere actualizar las cuentas de cliente existentes con esta carga, cambie la segunda directiva (IF source and TheAccessHub data mismatch THEN) a Do Nothing.

  8. Seleccione Next (Siguiente).

  9. En Search-Mapping configuration, se identifica cómo correlacionar los registros de carga con los clientes que ya están cargados en TheAccessHub Admin Tool.

    Elija uno o más atributos de identificación en el origen. Haga coincidir los atributos con un atributo en TheAccessHub Admin Tool que contenga los mismos valores. Si se encuentra una coincidencia, se invalidará el registro existente. De lo contrario, se creará un nuevo cliente.

    Puede ordenar varias comprobaciones de este tipo. Por ejemplo, podría comprobar primero el correo electrónico y, después, el nombre y el apellido.

  10. En el menú de la izquierda, seleccione Data Mapping.

  11. En Data-Mapping configuration, asigne qué atributos de TheAccessHub Admin Tool se deben rellenar a partir de los atributos de origen. No es necesario asignar todos los atributos. Los atributos sin asignar permanecerán sin cambios para los clientes existentes.

  12. Si asigna el atributo org_name con un valor que sea el nombre de una organización existente, los clientes recién creados se colocarán en esa organización.

  13. Seleccione Next (Siguiente).

  14. Si quiere que esta carga sea periódica, especifique una programación Daily/Weekly o Monthly. De lo contrario, mantenga el valor predeterminado de Now.

  15. Seleccione Submit (Enviar).

  16. Si seleccionó la programación Now, se agregará inmediatamente un nuevo registro a la pantalla Data Synchronizations. Cuando la fase de validación haya alcanzado el 100 %, seleccione el nuevo registro para ver el resultado esperado de la carga. En el caso de las cargas programadas, estos registros solo aparecerán después del tiempo programado.

  17. Si no hay ningún error, seleccione Run (Ejecutar) para confirmar los cambios. De lo contrario, seleccione Remove (Quitar) en el menú More (Más) para quitar la carga. De este modo, podrá corregir los datos de origen o cargar las asignaciones y volver a intentarlo.

    En su lugar, si el número de errores es pequeño, puede actualizar manualmente los registros y seleccionar Update (Actualizar) en cada registro para realizar correcciones. Otra opción es continuar con los errores presentes y resolverlos más adelante como intervenciones de soporte técnico en TheAccessHub Admin Tool.

  18. Cuando la fase de carga del registro Data Synchronization alcanza el 100 %, se inician todos los cambios resultantes de la carga. Los clientes deben comenzar a aparecer o recibir cambios en Azure AD B2C.

Sincronización de datos del cliente de Azure AD B2C

Como operación única o continua, TheAccessHub Admin Tool puede sincronizar toda la información del cliente de Azure AD B2C en TheAccessHub Admin Tool. Esta operación garantiza que los administradores de CSR o del departamento de soporte técnico ven la información actualizada del cliente.

Para sincronizar los datos de Azure AD B2C en TheAccessHub Admin Tool:

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Data Synchronization.

  3. Seleccione New Load.

  4. En Colleague Type, seleccione Azure AD B2C User.

  5. Para el paso de Options (Opciones), deje los valores predeterminados.

  6. Seleccione Next (Siguiente).

  7. Deje los valores predeterminados para el paso Data Mapping & Search (Asignación y búsqueda de datos). Excepción: si asigna el atributo org_name con un valor que sea el nombre de una organización existente, los clientes que se creen se colocarán en esa organización.

  8. Seleccione Next (Siguiente).

  9. Si quiere que esta carga sea periódica, especifique una programación Daily/Weekly o Monthly. De lo contrario, mantenga el valor predeterminado de Now. Se recomienda sincronizar desde Azure AD B2C de manera periódica.

  10. Seleccione Submit (Enviar).

  11. Si seleccionó la programación Now, se agregará inmediatamente un nuevo registro a la pantalla Data Synchronizations. Cuando la fase de validación haya alcanzado el 100 %, seleccione el nuevo registro para ver el resultado esperado de la carga. En el caso de las cargas programadas, estos registros solo aparecerán después del tiempo programado.

  12. Si no hay ningún error, seleccione Run (Ejecutar) para confirmar los cambios. De lo contrario, seleccione Remove (Quitar) en el menú More (Más) para quitar la carga. De este modo, podrá corregir los datos de origen o cargar las asignaciones y volver a intentarlo.

    En su lugar, si el número de errores es pequeño, puede actualizar manualmente los registros y seleccionar Update (Actualizar) en cada registro para realizar correcciones. Otra opción es continuar con los errores presentes y resolverlos más adelante como intervenciones de soporte técnico en TheAccessHub Admin Tool.

  13. Cuando la fase de carga del registro Data Synchronization alcanza el 100 %, se inician todos los cambios resultantes de la carga.

Configuración de directivas de Azure AD B2C

Ocasionalmente, la sincronización de TheAccessHub Admin Tool está limitada por la capacidad de esta herramienta para mantener su estado actualizado con Azure AD B2C. Puede usar las directivas de Azure AD B2C y la API de TheAccessHub Admin Tool para informar a TheAccessHub Admin Tool de los cambios a medida que se producen. Esta solución requiere conocimientos técnicos de las directivas personalizadas de Azure AD B2C.

En los siguientes procedimientos se proporcionan pasos de directiva de ejemplo y un certificado seguro para notificar a TheAccessHub Admin Tool las cuentas nuevas en las directivas personalizadas de registro.

Creación de una credencial segura para invocar a la API de TheAccessHub Admin Tool

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Admin Tools>API Security.

  3. Seleccione Generar.

  4. Copie el valor de Certificate Password.

  5. Seleccione Download (Descargar) para obtener el certificado de cliente.

  6. Siga este tutorial para agregar el certificado de cliente a Azure AD B2C.

Recuperación de los ejemplos de directivas personalizadas

  1. Inicie sesión en TheAccessHub Admin Tool con las credenciales que ha proporcionado N8 Identity.

  2. Vaya a System Admin>Admin Tools>Azure B2C Policies.

  3. Especifique su dominio de inquilino de Azure AD B2C y los dos identificadores de Identity Experience Framework de la configuración de Identity Experience Framework.

  4. Seleccione Guardar.

  5. Seleccione Download para obtener un archivo ZIP con directivas básicas que agregan clientes a TheAccessHub Admin Tool cuando estos se registran.

  6. Siga este tutorial para empezar a diseñar directivas personalizadas en Azure AD B2C.

Pasos siguientes

Para más información, consulte los artículos siguientes: