Personalización de asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Azure Active Directory de usuariosCustomizing User Provisioning Attribute-Mappings for SaaS Applications in Azure Active Directory

Microsoft Azure AD proporciona soporte técnico para el aprovisionamiento de usuarios en aplicaciones SaaS de terceros como Salesforce, Google Apps y otras.Microsoft Azure AD provides support for user provisioning to third-party SaaS applications such as Salesforce, G Suite and others. Si habilita el aprovisionamiento de usuarios para una aplicación SaaS de terceros, Azure Portal controla sus valores de atributo en forma de una asignación de atributos.If you enable user provisioning for a third-party SaaS application, the Azure portal controls its attribute values through attribute-mappings.

Hay un conjunto preconfigurado de atributos y asignaciones de atributos entre los objetos de usuario de Azure AD y los objetos de usuario de cada aplicación SaaS.There's a pre-configured set of attributes and attribute-mappings between Azure AD user objects and each SaaS app’s user objects. Además de los usuarios, algunas aplicaciones administran otros tipos de objetos, como los grupos.Some apps manage other types of objects along with Users, such as Groups.

Puede personalizar las asignaciones de atributos predeterminadas según sus necesidades empresariales.You can customize the default attribute-mappings according to your business needs. Esto significa que puede cambiar o eliminar asignaciones de atributos existentes o crear nuevas asignaciones de atributos.So, you can change or delete existing attribute-mappings, or create new attribute-mappings.

Edición de asignaciones de atributos de usuarioEditing user attribute-mappings

Siga estos pasos para acceder a la característica Asignaciones del aprovisionamiento de usuarios:Follow these steps to access the Mappings feature of user provisioning:

  1. Inicie sesión en el portal de Azure Active Directory.Sign in to the Azure Active Directory portal.

  2. En el panel izquierdo, seleccione Aplicaciones empresariales.Select Enterprise applications from the left pane. Se muestra una lista de las aplicaciones configuradas, incluidas aquellas que se han agregado desde la galería.A list of all configured apps is shown, including apps that were added from the gallery.

  3. Seleccione cualquier aplicación para cargar el panel de administración de aplicaciones, donde puede ver los informes y administrar la configuración de la aplicación.Select any app to load its app management pane, where you can view reports and manage app settings.

  4. Seleccione Aprovisionamiento para administrar la configuración de aprovisionamiento de cuentas de usuario de la aplicación seleccionada.Select Provisioning to manage user account provisioning settings for the selected app.

  5. Expanda Asignaciones para ver y modificar los atributos de usuario que fluyen entre Azure AD y la aplicación de destino.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application. Si la aplicación de destino lo admite, en esta sección se puede configurar opcionalmente el aprovisionamiento de grupos y cuentas de usuario.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts.

    Uso de asignaciones para ver y editar atributos de usuario

  6. Al seleccionar una configuración de Asignaciones, se abre la pantalla relacionada Asignación de atributos.Select a Mappings configuration to open the related Attribute Mapping screen. Hay algunas asignaciones de atributos que una aplicación SaaS necesita para funcionar correctamente.Some attribute-mappings are required by a SaaS application to function correctly. Para los atributos necesarios, la característica Eliminar no está disponible.For required attributes, the Delete feature is unavailable.

    Uso de la asignación de atributos para configurar asignaciones de atributos para aplicaciones

    En esta captura de pantalla, puede ver que el atributo Username de un objeto administrado en Salesforce se rellena con el valor de userPrincipalName del objeto vinculado de Azure Active Directory.In this screenshot, you can see that the Username attribute of a managed object in Salesforce is populated with the userPrincipalName value of the linked Azure Active Directory Object.

  7. Seleccione una asignación de atributos para abrir la pantalla Editar atributo.Select an existing Attribute Mapping to open the Edit Attribute screen. Aquí puede editar los atributos de usuario que fluyen entre Azure AD y la aplicación de destino.Here you can edit the user attributes that flow between Azure AD and the target application.

    Uso del atributo de edición para editar atributos de usuario

Información sobre los tipos de asignación de atributosUnderstanding attribute-mapping types

Con asignaciones de atributos, puede controlar cómo se rellenan los atributos en una aplicación SaaS de terceros.With attribute-mappings, you control how attributes are populated in a third-party SaaS application. Se admiten cuatro tipos de asignaciones diferentes:There are four different mapping types supported:

  • Directa : el atributo de destino se rellena con el valor de un atributo del objeto vinculado en Azure AD.Direct – the target attribute is populated with the value of an attribute of the linked object in Azure AD.
  • Constante: el atributo de destino se rellena con una cadena específica que se ha especificado.Constant – the target attribute is populated with a specific string you specified.
  • Expresión : el atributo de destino se rellena según el resultado de una expresión similar a un script.Expression - the target attribute is populated based on the result of a script-like expression. Para más información, consulte Escritura de expresiones para la asignación de atributos en Azure Active Directory.For more information, see Writing Expressions for Attribute-Mappings in Azure Active Directory.
  • Ninguno : el atributo de destino se deja sin modificar.None - the target attribute is left unmodified. Sin embargo, si el atributo de destino está vacío, se rellena con el valor predeterminado que especifique.However, if the target attribute is ever empty, it's populated with the Default value that you specify.

Además de estos cuatro tipos básicos, las asignaciones de atributos personalizadas admiten el concepto de una asignación de valor predeterminada opcional.Along with these four basic types, custom attribute-mappings support the concept of an optional default value assignment. La asignación de valor predeterminada garantiza que un atributo de destino se rellene con un valor si no hay ningún valor en Azure AD ni en el objeto de destino.The default value assignment ensures that a target attribute is populated with a value if there's not a value in Azure AD or on the target object. La configuración más habitual consiste en dejarlo en blanco.The most common configuration is to leave this blank.

Información sobre las propiedades de asignación de atributosUnderstanding attribute-mapping properties

En la sección anterior, ya ha introducido la propiedad de tipo de asignación de atributos.In the previous section, you were already introduced to the attribute-mapping type property. Además de esta propiedad, las asignaciones de atributos también admiten los siguientes atributos:Along with this property, attribute-mappings also support the following attributes:

  • Atributo de origen: especifica el atributo de usuario del sistema de origen (por ejemplo, Azure Active Directory).Source attribute - The user attribute from the source system (example: Azure Active Directory).
  • Atributo de destino: especifica el atributo de usuario del sistema de destino (por ejemplo, ServiceNow).Target attribute – The user attribute in the target system (example: ServiceNow).
  • Hacer coincidir objetos con este atributo: especifica si se debe usar o no esta asignación para identificar de forma unívoca a los usuarios entre los sistemas de origen y de destino.Match objects using this attribute – Whether this mapping should be used to uniquely identify users between the source and target systems. Normalmente esto se establece en el atributo userPrincipalName o mail en Azure AD, que se suele asignar a un campo de nombre de usuario en una aplicación de destino.It's typically set on the userPrincipalName or mail attribute in Azure AD, which is typically mapped to a username field in a target application.
  • Precedencia de coincidencia: se pueden establecer varios atributos coincidentes.Matching precedence – Multiple matching attributes can be set. Si hay varios, se evalúan en el orden definido por este campo.When there are multiple, they're evaluated in the order defined by this field. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.As soon as a match is found, no further matching attributes are evaluated.
  • Aplicar esta asignaciónApply this mapping
    • Siempre: esta asignación se aplica a las acciones de creación y actualización de usuarios.Always – Apply this mapping on both user creation and update actions.
    • Solo durante la creación: esta asignación se aplica solo a las acciones de creación de usuarios.Only during creation - Apply this mapping only on user creation actions.

Edición de asignaciones de atributos de grupoEditing group attribute-mappings

Algunas aplicaciones seleccionadas, como ServiceNow, Box y G Suite, admiten la posibilidad de aprovisionar objetos de grupo además de objetos de usuario.A selected number of applications, such as ServiceNow, Box, and G Suite, support the ability to provision Group objects and User objects. Los objetos de grupo pueden contener propiedades de grupo como nombres para mostrar y alias de correo electrónico, además de miembros de grupo.Group objects can contain group properties such as display names and email aliases, along with group members.

En el ejemplo se muestra ServiceNow con objetos de grupo y usuario aprovisionados

El aprovisionamiento de grupos se puede habilitar o deshabilitar de manera opcional; para ello, seleccione la asignación de grupo en Asignaciones y establezca Habilitado en la opción deseada en la pantalla Asignación de atributos.Group provisioning can be optionally enabled or disabled by selecting the group mapping under Mappings, and setting Enabled to the option you want in the Attribute Mapping screen.

Los atributos suministrados como parte de los objetos de grupo se pueden personalizar de la misma manera que los objetos de usuario descritos anteriormente.The attributes provisioned as part of Group objects can be customized in the same manner as User objects, described previously.

Sugerencia

El aprovisionamiento de objetos de grupo (propiedades y miembros) es un concepto diferente al de asignación de grupos a una aplicación.Provisioning of group objects (properties and members) is a distinct concept from assigning groups to an application. Es posible asignar un grupo a una aplicación, pero solo se pueden aprovisionar los objetos de usuario contenidos en el grupo.It is possible to assign a group to an application, but only provision the user objects contained in the group. El aprovisionamiento de objetos de grupo completos no es necesario para usar grupos en asignaciones.Provisioning of full group objects is not required to use groups in assignments.

Edición de la lista de atributos admitidosEditing the list of supported attributes

Los atributos de usuario admitidos en una determinada aplicación están preconfigurados.The user attributes supported for a given application are pre-configured. La mayoría de las API de administración de usuarios de la aplicación de la mayoría no son compatibles con la detección de esquemas.Most application's user management APIs don't support schema discovery. Por lo tanto, el servicio de aprovisionamiento de Azure AD no puede generar dinámicamente la lista de atributos admitidos mediante llamadas a la aplicación.So, the Azure AD provisioning service isn't able to dynamically generate the list of supported attributes by making calls to the application.

Sin embargo, algunas aplicaciones admiten atributos personalizados, y el servicio de aprovisionamiento de Azure AD puede leer y escribir en los atributos personalizados.However, some applications support custom attributes, and the Azure AD provisioning service can read and write to custom attributes. Para especificar sus definiciones en Azure Portal, seleccione la casilla Mostrar opciones avanzadas de la parte inferior de la pantalla Asignación de atributos y, a continuación, seleccione Asignación de atributos en la aplicación.To enter their definitions into the Azure portal, select the Show advanced options check box at the bottom of the Attribute Mapping screen, and then select Edit attribute list for your app.

Las aplicaciones y sistemas que admiten la personalización de la lista de atributos son:Applications and systems that support customization of the attribute list include:

Nota

La edición de la lista de atributos admitidos solo se recomienda para administradores que hayan personalizado el esquema de sus aplicaciones y sistemas, y tengan conocimiento de primera mano de cómo se han definido sus atributos personalizados.Editing the list of supported attributes is only recommended for administrators who have customized the schema of their applications and systems, and have first-hand knowledge of how their custom attributes have been defined. A veces, es necesario estar familiarizado con las API y las herramientas de los desarrolladores que se proporcionan en una aplicación o un sistema.This sometimes requires familiarity with the APIs and developer tools provided by an application or system.

Al editar la lista de atributos admitidos, se proporcionan las siguientes propiedades:When editing the list of supported attributes, the following properties are provided:

  • Nombre: el nombre del sistema del atributo, tal como se define en el esquema del objeto de destino.Name - The system name of the attribute, as defined in the target object's schema.
  • Tipo: el tipo de datos que almacena el atributo, tal como se define en el esquema del objeto de destino, que puede ser uno de los siguientes:Type - The type of data the attribute stores, as defined in the target object's schema, which can be one of the following types:
    • Binario: el atributo contiene datos binarios.Binary - Attribute contains binary data.
    • Booleano: el atributo contiene un valor True o False.Boolean - Attribute contains a True or False value.
    • DateTime: el atributo contiene una cadena de fecha.DateTime - Attribute contains a date string.
    • Entero: al atributo contiene un entero.Integer - Attribute contains an integer.
    • Referencia: el atributo contiene un identificador que hace referencia a un valor almacenado en otra tabla en la aplicación de destino.Reference - Attribute contains an ID that references a value stored in another table in the target application.
    • Cadena: el atributo contiene una cadena de texto.String - Attribute contains a text string.
  • ¿Clave principal?Primary Key? : si el atributo se define como un campo de clave principal en el esquema del objeto de destino.- Whether the attribute is defined as a primary key field in the target object's schema.
  • ¿Necesario?Required? : si el atributo se debe rellenar en la aplicación o sistema de destino.- Whether the attribute is required to be populated in the target application or system.
  • ¿Varios valores?Multi-value? : si el atributo admite varios valores.- Whether the attribute supports multiple values.
  • ¿Coincidir mayúsculas y minúsculas?Exact case? : si los valores de atributo se evalúan según el uso de mayúsculas o minúsculas.- Whether the attributes values are evaluated in a case-sensitive way.
  • Expresión de API: no se usa, salvo que así se indique en la documentación de un conector de aprovisionamiento específico (como Workday).API Expression - Don't use, unless instructed to do so by the documentation for a specific provisioning connector (such as Workday).
  • Atributo de objeto con referencia: si este es un atributo de tipo referencia, este menú le permite seleccionar la tabla y el atributo de la aplicación de destino que contiene el valor asociado al atributo.Referenced Object Attribute - If it's a Reference type attribute, then this menu lets you select the table and attribute in the target application that contains the value associated with the attribute. Por ejemplo, si tiene un atributo llamado "Department" cuyo valor almacenado hace referencia a un objeto de una tabla "Departments" independiente, seleccionaría "Departments.Name".For example, if you have an attribute named "Department" whose stored value references an object in a separate "Departments" table, you would select "Departments.Name". Las tablas de referencia y los campos de identificador principal admitidos en una determinada aplicación están preconfigurados y actualmente no se pueden editar mediante Azure Portal, pero se pueden modificar con la Graph API.The reference tables and the primary ID fields supported for a given application are pre-configured and currently can't be edited using the Azure portal, but can be edited using the Graph API.

Para agregar un nuevo atributo, desplácese hasta el final de la lista de atributos admitidos, rellene los campos anteriores mediante las entradas proporcionadas y seleccione Agregar atributo.To add a new attribute, scroll to the end of the list of supported attributes, populate the fields above using the provided inputs, and select Add Attribute. Cuando termine de agregar atributos, seleccione Guardar.Select Save when finished adding attributes. Tendrá que volver a cargar la pestaña Aprovisionamiento para que los nuevos atributos estén disponibles en el editor de asignación de atributos.You then need to reload the Provisioning tab for the new attributes to become available in the attribute-mapping editor.

Restauración de los atributos predeterminados y las asignaciones de atributosRestoring the default attributes and attribute-mappings

Si necesita comenzar de nuevo y restablecer las asignaciones existentes de nuevo a su estado predeterminado, puede activar la casilla Restaurar asignaciones predeterminadas y guardar la configuración.Should you need to start over and reset your existing mappings back to their default state, you can select the Restore default mappings check box and save the configuration. Al hacerlo, todas las asignaciones se restablecen como si la aplicación se acabara de agregar al inquilino de Azure AD desde la galería de aplicaciones.Doing so sets all mappings as if the application was just added to your Azure AD tenant from the application gallery.

Al seleccionar esta opción se fuerza la resincronización de todos los usuarios mientras se ejecuta el servicio de aprovisionamiento.Selecting this option will effectively force a resynchronization of all users while the provisioning service is running.

Importante

Se recomienda firmemente establecer el estado de aprovisionamiento en Desactivado antes de invocar esta opción.We strongly recommend that Provisioning status be set to Off before invoking this option.

Qué debería saberWhat you should know

  • Microsoft Azure AD proporciona una implementación eficaz de un proceso de sincronización.Microsoft Azure AD provides an efficient implementation of a synchronization process. En un entorno inicializado, sólo los objetos que requieren actualizaciones se procesan durante un ciclo de sincronización.In an initialized environment, only objects requiring updates are processed during a synchronization cycle.
  • Actualizar las asignaciones de atributos repercute en el rendimiento de un ciclo de sincronización.Updating attribute-mappings has an impact on the performance of a synchronization cycle. Una actualización de la configuración de la asignación de atributos requiere que se vuelvan a evaluar todos los objetos administrados.An update to the attribute-mapping configuration requires all managed objects to be reevaluated.
  • Es un procedimiento recomendado mantener el número mínimo de cambios consecutivos de las asignaciones de atributos.A recommended best practice is to keep the number of consecutive changes to your attribute-mappings at a minimum.
  • Actualmente no se puede agregar un atributo de foto para su aprovisionamiento en una aplicación, ya que no se permite especificar el formato para sincronizar la foto.Adding a photo attribute to be provisioned to an app is not supported today as you cannot specify the format to sync the photo. Puede solicitar la característica en User VoiceYou can request the feature on User Voice
  • El atributo IsSoftDeleted suele formar parte de las asignaciones predeterminadas para una aplicación.The attribute IsSoftDeleted is often part of the default mappings for an application. IsSoftdeleted puede ser true en uno de los cuatro escenarios siguientes: el usuario está fuera del ámbito debido a que se ha desasignado de la aplicación; el usuario está fuera del ámbito debido a que no cumple un filtro de ámbito; el usuario se ha eliminado temporalmente en Azure AD; o la propiedad AccountEnabled está establecida en false en el usuario.IsSoftdeleted can be true in one of four scenarios (the user is out of scope due to being unassigned from the application, the user is out of scope due to not meeting a scoping filter, the user has been soft deleted in Azure AD, or the property AccountEnabled is set to false on the user).

Pasos siguientesNext steps