Administración del aprovisionamiento de cuentas de usuario para aplicaciones empresariales en el portal de AzureManaging user account provisioning for enterprise apps in the Azure portal

En este artículo se describen los pasos generales para administrar el aprovisionamiento y el desaprovisionamiento automáticos de cuentas de usuario en aplicaciones que lo admitan.This article describes the general steps for managing automatic user account provisioning and de-provisioning for applications that support it. El aprovisionamiento de cuentas de usuario es el acto de crear, actualizar o deshabilitar registros de cuenta de usuario en el almacén de perfiles de usuario local de una aplicación.User account provisioning is the act of creating, updating, and/or disabling user account records in an application’s local user profile store. La mayoría de las aplicaciones SaaS y en la nube almacenan el rol y los permisos de los usuarios en el propio almacén local de perfiles de usuario del usuario y la presencia de tal registro de usuario en el almacén local del usuario es necesaria para que funcionen el inicio de sesión único y el acceso.Most cloud and SaaS applications store the users role and permissions in the user's own local user profile store, and presence of such a user record in the user's local store is required for single sign-on and access to work. Para más información sobre el aprovisionamiento automático de cuentas de usuario, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones con Azure Active Directory.To learn more about automatic user account provisioning, see Automate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory.

Importante

Azure Active Directory (Azure AD) dispone de una galería con miles de aplicaciones previamente integradas que están habilitadas para el aprovisionamiento automático con Azure AD.Azure Active Directory (Azure AD) has a gallery that contains thousands of pre-integrated applications that are enabled for automatic provisioning with Azure AD. Para comenzar, busque el tutorial de configuración del aprovisionamiento específico de su aplicación en Tutoriales para integrar aplicaciones SaaS con Azure Active Directory.You should start by finding the provisioning setup tutorial specific to your application in the List of tutorials on how to integrate SaaS apps with Azure Active Directory. Probablemente encontrará instrucciones paso a paso para configurar tanto la aplicación como Azure AD para crear la conexión de aprovisionamiento.You'll likely find step-by-step guidance for configuring both the app and Azure AD to create the provisioning connection.

Búsqueda de aplicaciones en el portalFinding your apps in the portal

Use el portal de Azure Active Directory para ver y administrar todas las aplicaciones que están configuradas para el inicio de sesión único en un directorio.Use the Azure Active Directory portal to view and manage all applications that are configured for single sign-on in a directory. Las aplicaciones empresariales son aplicaciones que se implementan y se usan dentro de su organización.Enterprise apps are apps that are deployed and used within your organization. Siga estos pasos para ver y administrar las aplicaciones empresariales:Follow these steps to view and manage your enterprise applications:

  1. Abra el portal de Azure Active Directory.Open the Azure Active Directory portal.

  2. En el panel izquierdo, seleccione Aplicaciones empresariales.Select Enterprise applications from the left pane. Se muestra una lista de las aplicaciones configuradas, incluidas aquellas que se han agregado desde la galería.A list of all configured apps is shown, including apps that were added from the gallery.

  3. Seleccione cualquier aplicación para cargar el panel de recursos, donde puede ver los informes y administrar la configuración de la aplicación.Select any app to load its resource pane, where you can view reports and manage app settings.

  4. Seleccione Aprovisionamiento para administrar la configuración de aprovisionamiento de cuentas de usuario de la aplicación seleccionada.Select Provisioning to manage user account provisioning settings for the selected app.

    Pantalla Aprovisionamiento para administrar la configuración del aprovisionamiento de cuentas de usuario

Modos de aprovisionamientoProvisioning modes

El panel Aprovisionamiento comienza con un menú Modo, que muestra los modos de aprovisionamiento admitidos para una aplicación empresarial y permite configurarlos.The Provisioning pane begins with a Mode menu, which shows the provisioning modes supported for an enterprise application, and lets you configure them. Las opciones disponibles incluyen:The available options include:

  • Automático: esta opción aparece si Azure AD admite el aprovisionamiento automático basado en API o el desaprovisionamiento de cuentas de usuario para esta aplicación.Automatic - This option is shown if Azure AD supports automatic API-based provisioning or de-provisioning of user accounts to this application. Seleccione este modo para mostrar una interfaz que permita a los administradores:Select this mode to display an interface that helps administrators:

    • Configurar Azure AD para conectarse a la API de administración de usuarios de la aplicaciónConfigure Azure AD to connect to the application's user management API
    • Crear asignaciones de cuentas y flujos de trabajo que definen cómo deben fluir los datos de la cuenta de usuario entre Azure AD y la aplicaciónCreate account mappings and workflows that define how user account data should flow between Azure AD and the app
    • Administrar el servicio de aprovisionamiento de Azure ADManage the Azure AD provisioning service
  • Manual: esta opción se muestra si Azure AD no admite el aprovisionamiento automático de cuentas de usuario para esta aplicación.Manual - This option is shown if Azure AD doesn't support automatic provisioning of user accounts to this application. En este caso, los registros de cuenta de usuario almacenados en la aplicación deben administrarse mediante un proceso externo, según las funcionalidades de aprovisionamiento y administración de usuarios proporcionadas por la aplicación (que puede incluir el aprovisionamiento Just-In-Time de SAML).In this case, user account records stored in the application must be managed using an external process, based on the user management and provisioning capabilities provided by that application (which can include SAML Just-In-Time provisioning).

Configuración del aprovisionamiento automático de cuentas de usuarioConfiguring automatic user account provisioning

Seleccione la opción Automático para especificar la configuración de las credenciales de administrador, las asignaciones, el inicio y parada y la sincronización.Select the Automatic option to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

Credenciales de administradorAdmin Credentials

Expanda Credenciales de administrador para especificar las credenciales necesarias para que Azure AD se conecte a la API de administración de usuarios de la aplicación.Expand Admin Credentials to enter the credentials required for Azure AD to connect to the application's user management API. La entrada necesaria varía dependiendo de la aplicación.The input required varies depending on the application. Para más información sobre los requisitos y tipos de credenciales para aplicaciones específicas, consulte el tutorial de configuración de la aplicación específica.To learn about the credential types and requirements for specific applications, see the configuration tutorial for that specific application.

Seleccione el botón Probar conexión para probar las credenciales al hacer que Azure AD intente conectarse a la aplicación de aprovisionamiento de la aplicación con las credenciales proporcionadas.Select Test Connection to test the credentials by having Azure AD attempt to connect to the app's provisioning app using the supplied credentials.

AsignacionesMappings

Expanda Asignaciones para ver y modificar los atributos de usuario que fluyen entre Azure AD y la aplicación de destino cuando las cuentas de usuario se aprovisionan o se actualizan.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated.

Hay un conjunto preconfigurado de asignaciones entre los objetos de usuario de Azure AD y los objetos de usuario de cada aplicación SaaS.There's a preconfigured set of mappings between Azure AD user objects and each SaaS app’s user objects. Algunas aplicaciones administran otros tipos de objetos, como grupos o contactos.Some apps manage other types of objects, such as Groups or Contacts. Seleccione una asignación de la tabla para abrir el editor de asignaciones a la derecha, donde puede verlas y personalizarlas.Select a mapping in the table to open the mapping editor to the right, where you can view and customize them.

Muestra la pantalla Asignación de atributos

Las personalizaciones compatibles incluyen:Supported customizations include:

  • Habilitar y deshabilitar asignaciones para objetos específicos, como el objeto de usuario de Azure AD en el objeto de usuario de la aplicación SaaS.Enabling and disabling mappings for specific objects, such as the Azure AD user object to the SaaS app's user object.

  • Editar los atributos que fluyen desde el objeto de usuario de Azure AD al objeto de usuario de la aplicación.Editing the attributes that flow from the Azure AD user object to the app's user object. Para más información sobre la asignación de atributos, consulte la sección Información sobre los tipos de asignaciones de atributos.For more information on attribute mapping, see Understanding attribute mapping types.

  • Filtrar las acciones de aprovisionamiento que ejecuta Azure AD en la aplicación de destino.Filtering the provisioning actions that Azure AD runs on the targeted application. En lugar de que Azure AD sincronice totalmente los objetos, puede limitar las acciones ejecutadas.Instead of having Azure AD fully synchronize objects, you can limit the actions run.

    Por ejemplo, si solo selecciona Actualizar, Azure AD únicamente actualiza las cuentas de usuario existentes en una aplicación, pero no crea otras nuevas.For example, only select Update and Azure AD only updates existing user accounts in an application but doesn't create new ones. Si solo selecciona Crear, Azure únicamente crea nuevas cuentas de usuario, pero no actualiza las existentes.Only select Create and Azure only creates new user accounts but doesn't update existing ones. Esta característica permite a los administradores crear asignaciones diferentes para la creación de cuentas y la actualización de los flujos de trabajo.This feature lets admins create different mappings for account creation and update workflows.

  • Adición de una nueva asignación de atributo.Adding a new attribute mapping. Seleccione Agregar nueva asignación en la parte inferior del panel Asignación de atributos.Select Add New Mapping at the bottom of the Attribute Mapping pane. Rellene el formulario Editar atributo y seleccione Aceptar para agregar la nueva asignación a la lista.Fill out the Edit Attribute form and select Ok to add the new mapping to the list.

ConfiguraciónSettings

Puede iniciar y detener el servicio de aprovisionamiento de Azure AD para la aplicación seleccionada en el área Configuración de la pantalla Aprovisionamiento.You can start and stop the Azure AD provisioning service for the selected application in the Settings area of the Provisioning screen. También puede borrar la caché de aprovisionamiento y reiniciar el servicio.You can also choose to clear the provisioning cache and restart the service.

Si el aprovisionamiento se habilita por primera vez para una aplicación, active el servicio mediante el cambio de Estado de aprovisionamiento a Activado.If provisioning is being enabled for the first time for an application, turn on the service by changing the Provisioning Status to On. Este cambio hace que el servicio de aprovisionamiento de Azure AD ejecute un ciclo inicial.This change causes the Azure AD provisioning service to run an initial cycle. Lee los usuarios asignados en la sección Usuarios y grupos, consulta la aplicación de destino para ellos y, después, ejecuta las acciones de aprovisionamiento definidas en la sección Asignaciones de Azure AD.It reads the users assigned in the Users and groups section, queries the target application for them, and then runs the provisioning actions defined in the Azure AD Mappings section. Durante este proceso, el servicio de aprovisionamiento almacena datos en caché sobre las cuentas de usuario que administra, para que las cuentas no administradas dentro de las aplicaciones de destino que nunca han estado en el ámbito de asignación no se vean afectadas por las operaciones de desaprovisionamiento.During this process, the provisioning service stores cached data about what user accounts it's managing, so non-managed accounts inside the target applications that were never in scope for assignment aren't affected by de-provisioning operations. Después del ciclo inicial, el servicio de aprovisionamiento sincroniza automáticamente los objetos de grupo y usuario con un intervalo de cuarenta minutos.After the initial cycle, the provisioning service automatically synchronizes user and group objects on a forty-minute interval.

Cambie Estado de aprovisionamiento a Desactivado para pausar el servicio de aprovisionamiento.Change the Provisioning Status to Off to pause the provisioning service. En este estado, Azure no crea, actualiza ni quita ningún objeto de grupo o usuario en la aplicación.In this state, Azure doesn't create, update, or remove any user or group objects in the app. Cambie el estado de nuevo a Activado y el servicio vuelve adonde lo dejó.Change the state back to On and the service picks up where it left off.

Borrar el estado actual y reiniciar la sincronización desencadena un ciclo inicial.Clear current state and restart synchronization triggers an initial cycle. Después, el servicio evaluará de nuevo todos los usuarios del sistema de origen y determinará si están en el ámbito del aprovisionamiento.The service will then evaluate all the users in the source system again and determine if they are in scope for provisioning. Esto puede ser útil si la aplicación está en cuarentena actualmente o si necesita realizar un cambio en las asignaciones de atributos.This can be useful when your application is currently in quarantine or you need to make a change to your attribute mappings. Tenga en cuenta que el ciclo inicial tarda más tiempo en completarse que el ciclo incremental típico debido al número de objetos que deben evaluarse.Note that the initial cycle takes longer to complete than the typical incremental cycle due to the number of objects that need to be evaluated. Se puede obtener más información sobre el rendimiento de los ciclos inicial e incremental aquí.You can learn more about the performance of initial and incremental cycles here.