Tutorial: Creación de informes sobre el aprovisionamiento automático de cuentas de usuarioTutorial: Reporting on automatic user account provisioning

Azure Active Directory (Azure AD) incluye un servicio de aprovisionamiento de cuentas de usuario que ayuda a automatizar el aprovisionamiento y el desaprovisionamiento de cuentas de usuario en aplicaciones SaaS y otros sistemas, para la administración del ciclo de vida de las identidades de un extremo a otro.Azure Active Directory (Azure AD) includes a user account provisioning service that helps automate the provisioning de-provisioning of user accounts in SaaS apps and other systems, for the purpose of end-to-end identity lifecycle management. Azure AD admite conectores de aprovisionamiento de usuarios integrados previamente para todas las aplicaciones y sistemas de la sección "Destacadas" de la Galería de aplicaciones de Azure AD.Azure AD supports pre-integrated user provisioning connectors for all of the applications and systems in the "Featured" section of the Azure AD application gallery.

En este artículo se describe cómo comprobar el estado de aprovisionamiento de trabajos una vez configurados y cómo solucionar el aprovisionamiento de usuarios individuales y grupos.This article describes how to check the status of provisioning jobs after they have been set up, and how to troubleshoot the provisioning of individual users and groups.

Información generalOverview

Los conectores de aprovisionamiento se configuran mediante Azure Portal, siguiendo la documentación proporcionada para la aplicación admitida.Provisioning connectors are set up and configured using the Azure portal, by following the provided documentation for the supported application. Una vez configurados y en ejecución, es posible notificar trabajos de aprovisionamiento mediante uno de estos dos métodos:Once configured and running, provisioning jobs can be reported on using one of two methods:

  • Azure Portal: en este artículo se describe principalmente la recuperación de la información de informes desde Azure Portal, que proporciona tanto un informe de resumen de aprovisionamiento como registros de auditoría detallados del aprovisionamiento para una aplicación determinada.Azure portal - This article primarily describes retrieving report information from the Azure portal, which provides both a provisioning summary report as well as detailed provisioning audit logs for a given application.
  • API de auditoría: Azure Active Directory también proporciona una API de auditoría que permite la recuperación mediante programación de registros detallados de auditoría de aprovisionamiento.Audit API - Azure Active Directory also provides an Audit API that enables programmatic retrieval of the detailed provisioning audit logs. Consulte Referencia de la API de auditoría de Azure Active Directory para ver documentación específica sobre el uso de esta API.See Azure Active Directory audit API reference for documentation specific to using this API. Aunque este artículo no trata específicamente del uso de la API, detalla los tipos de eventos de aprovisionamiento que se registran en el registro de auditoría.While this article does not specifically cover how to use the API, it does detail the types of provisioning events that are recorded in the audit log.

DefinicionesDefinitions

En este artículo se utilizan los términos que se definen a continuación:This article uses the following terms, defined below:

  • Sistema de origen: el repositorio de usuarios desde el que se sincroniza el servicio de aprovisionamiento de Azure AD.Source System - The repository of users that the Azure AD provisioning service synchronizes from. Azure Active Directory es el sistema de origen para la mayoría de los conectores de aprovisionamiento integrados previamente, sin embargo, hay algunas excepciones (ejemplo: Sincronización de entrada de Workday).Azure Active Directory is the source system for the majority of pre-integrated provisioning connectors, however there are some exceptions (example: Workday Inbound Synchronization).
  • Sistema de destino: el repositorio de usuarios al que se sincroniza el servicio de aprovisionamiento de Azure AD.Target System - The repository of users that the Azure AD provisioning service synchronizes to. Esto suele ser una aplicación SaaS (ejemplos: Salesforce, ServiceNow, G Suite, Dropbox Business), pero en algunos casos puede ser un sistema local como Active Directory (ejemplo: Sincronización de entrada de Workday a Active Directory).This is typically a SaaS application (examples: Salesforce, ServiceNow, G Suite, Dropbox for Business), but in some cases can be an on-premises system such as Active Directory (example: Workday Inbound Synchronization to Active Directory).

Obtención de informes de aprovisionamiento desde Azure PortalGetting provisioning reports from the Azure portal

Para obtener información de informes de aprovisionamiento de una aplicación determinada, comience por iniciar Azure Portal e ir a la aplicación empresarial para la que se ha configurado el aprovisionamiento.To get provisioning report information for a given application, start by launching the Azure portal and browsing to the Enterprise Application for which provisioning is configured. Por ejemplo, si va a aprovisionar usuarios para LinkedIn Elevate, la ruta de navegación a los detalles de la aplicación es la siguiente:For example, if you are provisioning users to LinkedIn Elevate, the navigation path to the application details is:

Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones > LinkedIn ElevateAzure Active Directory > Enterprise Applications > All applications > LinkedIn Elevate

Desde aquí, puede acceder al informe de resumen de aprovisionamiento y a los registros de auditoría de aprovisionamiento, que se describen a continuación.From here, you can access both the Provisioning summary report, and the provisioning audit logs, both described below.

Informe de resumen de aprovisionamientoProvisioning summary report

El informe de resumen de aprovisionamiento está visible en la pestaña Aprovisionamiento de la aplicación específica.The provisioning summary report is visible in the Provisioning tab for given application. Se encuentra en la sección Detalles de sincronización debajo de Configuración y proporciona la siguiente información:It is located in the Synchronization Details section underneath Settings, and provides the following information:

  • El número total de usuarios y grupos que se han sincronizado y están actualmente en el ámbito para el aprovisionamiento entre el sistema de origen y el sistema de destino.The total number of users and/groups that have been synchronized and are currently in scope for provisioning between the source system and the target system.
  • La última vez que se ejecutó la sincronización.The last time the synchronization was run. Las sincronizaciones suelen producirse cada 20-40 minutos, una vez que haya finalizado una sincronización inicial.Synchronizations typically occur every 20-40 minutes, after an initial synchronization has completed.
  • Tanto si ha finalizado una sincronización inicial como si no.Whether or not an initial synchronization has been completed.
  • Tanto si el proceso de aprovisionamiento se ha puesto en cuarentena como si no, y sea cual sea la razón para el estado de cuarentena (por ejemplo, error al comunicarse con el sistema de destino debido a que las credenciales del administrador no son válidas).Whether or not the provisioning process has been placed in quarantine, and what the reason for the quarantine status is (for example, failure to communicate with target system due to invalid admin credentials).

El informe de resumen de aprovisionamiento debe ser el primer lugar en el que busquen los administradores para comprobar el estado operativo del trabajo de aprovisionamiento.The provisioning summary report should be the first place admins look to check on the operational health of the provisioning job.

 Informe de resumen

Registros de auditoría de aprovisionamientoProvisioning audit logs

Todas las actividades realizadas por el servicio de aprovisionamiento se registran en los registros de auditoría de Azure AD, que pueden verse en la pestaña Registros de auditoría en la categoría Aprovisionamiento de cuentas.All activities performed by the provisioning service are recorded in the Azure AD audit logs, which can be viewed in the Audit logs tab under the Account Provisioning category. Los tipos de eventos de actividades registradas incluyen:Logged activity event types include:

  • Eventos de importación: cada vez que el servicio de aprovisionamiento de Azure AD recupera información sobre un usuario individual o un grupo desde un sistema de origen o destino, se registra un evento de "importación".Import events - An "import" event is recorded each time the Azure AD provisioning service retrieves information about an individual user or group from a source system or target system. Durante la sincronización, los usuarios se recuperan en primer lugar del sistema de origen, con resultados que se registran como eventos de "importación".During synchronization, users are retrieved from the source system first, with the results recorded as "import" events. Los identificadores de coincidencias de los usuarios recuperados se consultan luego en el sistema de destino para comprobar si existen, con resultados que se registran también como eventos de "importación".The matching IDs of the retrieved users are then queried against the target system to check if they exist, with the results also recorded as "import" events. Estos eventos registran todos los atributos de usuario asignados y sus valores, vistos por el servicio de aprovisionamiento de Azure AD en el momento del evento.These events record all mapped user attributes and their values that were seen by the Azure AD provisioning service at the time of the event.
  • Eventos de reglas de sincronización: estos eventos notifican los resultados de las reglas de asignación de atributos y cualquier filtro de ámbito configurado, una vez importados y evaluados los datos de usuario a partir de los sistemas de origen y de destino.Synchronization rule events - These events report on the results of the attribute-mapping rules and any configured scoping filters, after user data has been imported and evaluated from the source and target systems. Por ejemplo, si se considera que un usuario en un sistema de origen está en el ámbito para el aprovisionamiento y que no existe en el sistema de destino, este evento registra que el usuario se aprovisionará en el sistema de destino.For example, if a user in a source system is deemed to be in scope for provisioning, and deemed to not exist in the target system, then this event records that the user will be provisioned in the target system.
  • Eventos de exportación: cada vez que el servicio de aprovisionamiento de Azure AD escribe una cuenta de usuario o un objeto de grupo para un sistema de destino, se registra un evento de "exportación".Export events - An "export" event is recorded each time the Azure AD provisioning service writes a user account or group object to a target system. Estos eventos registran todos los atributos de usuario y sus valores, escritos por el servicio de aprovisionamiento de Azure AD en el momento del evento.These events record all user attributes and their values that were written by the Azure AD provisioning service at the time of the event. Si se ha producido un error al escribir la cuenta de usuario o el objeto de grupo en el sistema de destino, se mostrará aquí.If there was an error while writing the user account or group object to the target system, it will be displayed here.
  • Eventos de custodia de procesos: las custodias de procesos se producen cuando el servicio de aprovisionamiento se encuentra con un error al intentar una operación y comienza a reintentar la operación en un intervalo de tiempo de espera.Process escrow events - Process escrows occur when the provisioning service encounters a failure while attempting an operation, and begins to retry the operation on a back-off interval of time. Cada vez que se reintenta una operación de aprovisionamiento, se registra un evento de "custodia".An "escrow" event is recorded each time a provisioning operation was retried.

Al examinar los eventos de aprovisionamiento para un usuario individual, los eventos se suelen producir en este orden:When looking at provisioning events for an individual user, the events normally occur in this order:

  1. Evento de importación: el usuario se recupera del sistema de origen.Import event: User is retrieved from the source system.

  2. Evento de importación: se consulta el sistema de destino para comprobar la existencia del usuario recuperado.Import event: Target system is queried to check for the existence of the retrieved user.

  3. Evento de reglas de sincronización: los datos de usuario de los sistemas de origen y de destino se evalúan con las reglas de asignación del atributo configurado y los filtros de ámbito para determinar qué acción, si la hay, debe realizarse.Synchronization rule event: User data from source and target systems are evaluated against the configured attribute-mapping rules and scoping filters to determine what action, if any, should be performed.

  4. Evento de exportación: si el evento de reglas de sincronización ha dictado que se debe realizar una acción (agregar, actualizar o eliminar), los resultados de la acción se registran en un evento de exportación.Export event: If the synchronization rule event dictated that an action should be performed (Add, Update, Delete), then the results of the action are recorded in an Export event.

    Ejemplo: Página de registro de auditoría que muestra las actividades y el estado

Búsqueda de eventos de aprovisionamiento para un usuario específicoLooking up provisioning events for a specific user

El caso de uso más común para los registros de auditoría de aprovisionamiento es comprobar el estado de aprovisionamiento de una cuenta de usuario individual.The most common use case for the provisioning audit logs is to check the provisioning status of an individual user account. Para buscar eventos de aprovisionamiento para un usuario específico:To look up the last provisioning events for a specific user:

  1. Vaya a la sección Registros de auditoría.Go to the Audit logs section.
  2. En el menú Categoría, seleccione Aprovisionamiento de cuentas.From the Category menu, select Account Provisioning.
  3. En el menú Intervalo de fechas, seleccione el intervalo de fechas que va a buscar.In the Date Range menu, select the date range you want to search.
  4. En la barra Buscar barra, escriba el identificador del usuario que va a buscar.In the Search bar, enter the user ID of the user you wish to search for. El formato del valor del identificador debe coincidir con el que ha seleccionado como identificador de coincidencia principal en la configuración de asignación de atributos (por ejemplo, userPrincipalName o número de Id. de empleado).The format of ID value should match whatever you selected as the primary matching ID in the attribute-mapping configuration (for example, userPrincipalName or employee ID number). El valor del identificador requerido estará visible en la columna Destinos.The ID value required will be visible in the Target(s) column.
  5. Presione Entrar para buscar.Press Enter to search. Se devuelven en primer lugar los eventos de aprovisionamiento más recientes.The most recent provisioning events will be returned first.
  6. Si se devuelven eventos, tenga en cuenta los tipos de actividad y si se han realizado correctamente o no.If events are returned, note the activity types and whether they succeeded or failed. Si no se devuelve ningún resultado, significa que el usuario no existe o que no ha sido detectado por el proceso de aprovisionamiento si no se ha realizado aún una sincronización completa.If no results are returned, then it means the user either does not exist, or has not yet been detected by the provisioning process if a full sync has not yet completed.
  7. Haga clic en los eventos individuales para ver detalles ampliados, incluidas todas las propiedades de usuario que se han recuperado, evaluado o escrito como parte del evento.Click on individual events to view extended details, including all user properties that were retrieved, evaluated, or written as part of the event.

Para ver una demostración sobre cómo usar los registros de auditoría, vea el vídeo siguiente.For a demonstration on how to use the audit logs, see the video below. Los registros de auditoría se muestran alrededor del minuto 5:30:The audit logs are presented around the 5:30 mark:

Sugerencias para ver los registros de auditoría de aprovisionamientoTips for viewing the provisioning audit logs

Para optimizar la legibilidad en Azure Portal, seleccione el botón Columnas y elija estas columnas:For best readability in the Azure portal, select the Columns button and choose these columns:

  • Fecha: muestra la fecha en la que se ha producido el evento.Date - Shows the date the event occurred.
  • Destinos: muestra el identificador de usuario y el nombre de aplicación que son los temas del evento.Target(s) - Shows the app name and user ID that are the subjects of the event.
  • Actividad: el tipo de actividad, tal como se ha descrito anteriormente.Activity - The activity type, as described previously.
  • Estado: indica si el evento se ha realizado correctamente o no.Status - Whether the event succeeded or not.
  • Motivo del estado: resumen de lo que ha sucedido en el evento de aprovisionamiento.Status Reason - A summary of what happened in the provisioning event.

solución de problemasTroubleshooting

El informe de resumen de aprovisionamiento y los registros de auditoría desempeñan un papel clave a la hora de ayudar a los administradores a solucionar diversos problemas de aprovisionamiento de cuentas de usuario.The provisioning summary report and audit logs play a key role helping admins troubleshoot various user account provisioning issues.

Para ver instrucciones basadas en escenarios sobre cómo solucionar problemas de aprovisionamiento automático de usuarios, consulte Problemas al configurar y aprovisionar usuarios en una aplicación.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

Recursos adicionalesAdditional Resources