Problema al configurar el aprovisionamiento de usuarios para una aplicación de la galería de Azure ADProblem configuring user provisioning to an Azure AD Gallery application

La configuración del aprovisionamiento automático de usuarios para una aplicación (si se admite) requiere que se sigan las instrucciones concretas para preparar la aplicación para el aprovisionamiento automático.Configuring automatic user provisioning for an app (where supported), requires that specific instructions be followed to prepare the application for automatic provisioning. A continuación, puede usar Azure Portal para configurar el servicio de aprovisionamiento para sincronizar las cuentas de usuario con la aplicación.Then you can use the Azure portal to configure the provisioning service to synchronize user accounts to the application.

Siempre debería empezar buscando el tutorial de configuración específico para configurar el aprovisionamiento de la aplicación.You should always start by finding the setup tutorial specific to setting up provisioning for your application. A continuación, siga esos pasos para configurar tanto la aplicación como Azure AD para crear la conexión de aprovisionamiento.Then follow those steps to configure both the app and Azure AD to create the provisioning connection. Puede encontrar una lista de tutoriales sobre aplicaciones en Lista de tutoriales sobre cómo integrar aplicaciones SaaS con Azure Active Directory.A list of app tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

Comprobación de si el aprovisionamiento está funcionandoHow to see if provisioning is working

Una vez que el servicio está configurado, se puede extraer la mayor parte de la información sobre el funcionamiento del servicio de dos lugares:Once the service is configured, most insights into the operation of the service can be drawn from two places:

  • Registros de aprovisionamiento (versión preliminar) : los registros de aprovisionamiento registran todas las operaciones realizadas por el servicio de aprovisionamiento, incluidas las consultas en Azure AD de los usuarios asignados que pertenecen al ámbito de aprovisionamiento.Provisioning logs (preview) – The provisioning logs record all the operations performed by the provisioning service, including querying Azure AD for assigned users that are in scope for provisioning. Consulte la existencia de esos usuarios en la aplicación de destino y compare los objetos de usuario entre el sistema.Query the target app for the existence of those users, comparing the user objects between the system. Después, agregue, actualice o deshabilite la cuenta de usuario en el sistema de destino en función de la comparación.Then add, update, or disable the user account in the target system based on the comparison. Para acceder a los registros de aprovisionamiento en Azure Portal, seleccione Azure Active Directory > Aplicaciones empresariales > Registros de aprovisionamiento (versión preliminar) en la sección Actividad.You can access the provisioning logs in the Azure portal by selecting Azure Active Directory > Enterprise Apps > Provisioning logs (preview) in the Activity section.

  • Estado actual: se puede ver un resumen de aprovisionamiento de la última ejecución del aprovisionamiento para una aplicación determinada en la sección Azure Active Directory > Aplicaciones empresariales > [Nombre de la aplicación] >Aprovisionamiento, en la parte inferior de la pantalla bajo la configuración del servicio.Current status – A summary of the last provisioning run for a given app can be seen in the Azure Active Directory > Enterprise Apps > [Application Name] >Provisioning section, at the bottom of the screen under the service settings. En la sección Estado actual se muestra si un ciclo de aprovisionamiento ha iniciado las cuentas de usuario de aprovisionamiento.The Current Status section shows whether a provisioning cycle has started provisioning user accounts. Puede ver el progreso del ciclo, cuántos usuarios y grupos se han aprovisionado y cuántos roles se crean.You can watch the progress of the cycle, see how many users and groups have been provisioned, and see how many roles are created. Si hay errores, puede consultar los detalles en Registros de aprovisionamiento (versión preliminar).If there are any errors, details can be found in the Provisioning logs (preview).

Áreas problemáticas generales con el aprovisionamiento que tener en cuentaGeneral problem areas with provisioning to consider

A continuación, se muestra una lista de las áreas problemáticas generales en las que puede profundizar si tiene idea de por dónde empezar.Below is a list of the general problem areas that you can drill into if you have an idea of where to start.

No parece que el servicio de aprovisionamiento se inicieProvisioning service does not appear to start

Si establece Estado de aprovisionamiento en Activado en la sección Azure Active Directory > Aplicaciones empresariales > [Nombre de la aplicación] >Aprovisionamiento de Azure Portal.If you set the Provisioning Status to be On in the Azure Active Directory > Enterprise Apps > [Application Name] >Provisioning section of the Azure portal. No obstante, no se muestran más detalles de estado en esa página tras recargas posteriores.However no other status details are shown on that page after subsequent reloads. Es probable que el servicio se esté ejecutando pero que no se haya completado aún un ciclo inicial.It is likely that the service is running but has not completed an initial cycle yet. Compruebe los registros de aprovisionamiento descritos antes para determinar qué operaciones está realizando el servicio y si se han producido errores.Check the Provisioning logs described above to determine what operations the service is performing, and if there are any errors.

Nota

Un ciclo inicial puede tardar desde 20 minutos hasta varias horas, según el tamaño del directorio de Azure AD y el número de usuarios en el ámbito de aprovisionamiento.An initial cycle can take anywhere from 20 minutes to several hours, depending on the size of the Azure AD directory and the number of users in scope for provisioning. Los ciclos posteriores al inicial serán más rápidos, ya que el servicio de aprovisionamiento almacena marcas de agua que representan el estado de ambos sistemas tras el ciclo inicial, lo cual mejora el rendimiento de los posteriores.Subsequent syncs after the initial cycle be faster, as the provisioning service stores watermarks that represent the state of both systems after the initial cycle, improving performance of subsequent syncs.

No se puede guardar la configuración porque las credenciales de la aplicación no funcionanCan’t save configuration due to app credentials not working

Para que funcione el aprovisionamiento, Azure AD necesita credenciales válidas que le permitan conectarse a una API de administración de usuarios proporcionada por esa aplicación.In order for provisioning to work, Azure AD requires valid credentials that allow it to connect to a user management API provided by that app. Si estas credenciales no funcionan o las desconoce, revise el tutorial para configurar esta aplicación, tal como se ha descrito antes.If these credentials don’t work, or you don’t know what they are, review the tutorial for setting up this app, described previously.

Los registros de aprovisionamiento indican que hay usuarios omitidos y no aprovisionados, aunque estén asignadosProvisioning logs say users are skipped and not provisioned even though they are assigned

Cuando un usuario se muestra como "Omitido" en los registros de aprovisionamiento, es muy importante que lea los detalles ampliados en el mensaje del registro para determinar la razón.When a user shows up as “skipped” in the provisioning logs, it is very important to read the extended details in the log message to determine the reason. Algunas razones y soluciones habituales son:Below are common reasons and resolutions:

  • Se ha configurado un filtro de ámbito que está filtrando al usuario por un valor de atributo.A scoping filter has been configured that is filtering the user out based on an attribute value. Para más información sobre los filtros de ámbito, consulte https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.For more information on scoping filters, see https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.

  • El usuario no está autorizado de forma efectiva.The user is “not effectively entitled”. Si ve un mensaje de error de este tipo, se debe a que hay un problema con el registro de asignación de usuarios almacenado en Azure AD.If you see this specific error message, it is because there is a problem with the user assignment record stored in Azure AD. Para corregir este problema, cancele la asignación del usuario (o grupo) de la aplicación y vuelva a repetirla.To fix this issue, un-assign the user (or group) from the app, and re-assign it again. Para más información sobre la asignación, consulte https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.For more information on assignment, see https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.

  • Un atributo obligatorio falta o no se ha llenado para un usuario.A required attribute is missing or not populated for a user. Una cuestión importante que tener en cuenta al configurar el aprovisionamiento es revisar y configurar las asignaciones de atributos y los flujos de trabajo que definen qué propiedades de usuario (o de grupo) fluyen de Azure AD a la aplicación.An important thing to consider when setting up provisioning be to review and configure the attribute mappings and workflows that define which user (or group) properties flow from Azure AD to the application. Esto incluye la configuración de la "propiedad de coincidencia" que se usa para identificar de forma exclusiva y emparejar a usuarios y grupos entre ambos sistemas.This includes setting the “matching property” that be used to uniquely identify and match users/groups between the two systems. Para más información acerca de este proceso importante, consulte https://docs.microsoft.com/azure/active-directory/active-directory-saas-customizing-attribute-mappings.For more information on this important process, see https://docs.microsoft.com/azure/active-directory/active-directory-saas-customizing-attribute-mappings.

    • Asignaciones de atributos a grupos Aprovisionamiento del nombre del grupo y los detalles del grupo, además de los miembros, si se admite para algunas aplicaciones.Attribute mappings for groups: Provisioning of the group name and group details, in addition to the members, if supported for some applications. Puede habilitar o deshabilitar esta funcionalidad habilitando o deshabilitando la Asignación para los objetos de grupo que se muestran en la pestaña Aprovisionamiento. Si los grupos de aprovisionamiento están habilitados, asegúrese de revisar las asignaciones de atributos para asegurarse de que se use un campo apropiado para el "identificador de coincidencia".You can enable or disable this functionality by enabling or disabling the Mapping for group objects shown in the Provisioning tab. If provisioning groups is enabled, be sure to review the attribute mappings to ensure an appropriate field is being used for the “matching ID”. Esto puede ser el nombre para mostrar o el alias de correo electrónico, ya que el grupo y sus miembros no se habrán aprovisionado si la propiedad de coincidencia está vacía o no se ha rellenado para un grupo en Azure AD.This can be the display name or email alias), as the group and its members not be provisioned if the matching property is empty or not populated for a group in Azure AD.

Pasos siguientesNext steps

Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active DirectoryAutomate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory