Asignación de usuarios y grupos en una aplicación de Azure Active DirectoryAssign users and groups to an application in Azure Active Directory

En este artículo se muestra cómo asignar usuarios o grupos a una aplicación en Azure Active Directory (Azure AD).This article shows you how to assign users or groups to an application in Azure Active Directory (Azure AD). Los usuarios deben asignarse primero a una aplicación antes de que un administrador les conceda acceso para hacer lo siguiente:Users must first be assigned to an application before an administrator can grant them access to do the following:

  • Acceso a una aplicación mediante la navegación directa a la dirección URL de la aplicación (también conocido como inicio de sesión iniciado por el proveedor de servicios).Access an application by navigating to the application’s URL directly (also known as SP-initiated sign-on).

  • Acceso a una aplicación mediante la dirección URL de acceso de usuarios en la página Propiedades de una aplicación (también conocido como inicio de sesión iniciado por un proveedor de identidades).Access an application by using the User Access URL on an application’s Properties page (also known as IDP-initiated sign on).

  • Vea como aparece una aplicación en su panel de acceso a las aplicaciones o aplicación móvil.See an application appear on their Application Access Panel or mobile application.

  • Vea como aparece una aplicación en el iniciador de aplicaciones de Office 365.See an application appear on their Office 365 Application Launcher.

La disponibilidad de la asignación basada en grupo viene determinada por su contrato de licencia.The availability of group-based assignment is determined by your license agreement. La asignación basada en grupo se admite en grupos de seguridad únicamente.Group-based assignment is supported for Security groups only. Actualmente no se admiten las pertenencias a grupos anidados y los grupos de O365.Nested group memberships and O365 groups are not currently supported.

Configuración de la aplicación para que requiera asignaciónConfigure the application to require assignment

Una aplicación puede configurarse para requerir asignación antes de que se pueda tener acceso a ella.An application can be configured to require assignment before it can be accessed. Para requerir una asignación:To require assignment:

  1. Inicie sesión en Azure Portal con una cuenta de administrador o como propietario de la aplicación en Aplicaciones empresariales.Log in to the Azure portal with an administrator account, or as an owner of the app under Enterprise apps.
  2. Haga clic en el elemento Todos los servicios del menú principal.Click on the All services item in the main menu.
  3. Elija el directorio que está usando para la aplicación.Choose the directory you are using for the application.
  4. Haga clic en la pestaña Aplicaciones empresariales.Click on the Enterprise applications tab.
  5. Seleccione la aplicación en la lista de aplicaciones asociada a este directorio.Select the application from the list of applications associated with this directory.
  6. Haga clic en la pestaña Propiedades.Click the Properties tab.
  7. Cambie la opción ¿Asignación de usuarios? a Sí.Change the User assignment required? toggle to Yes.
  8. Haga clic en el botón Guardar de la parte superior de la pantalla.Click the Save button at the top of the screen.

Asignar usuariosAssign users

Para asignar uno o varios usuarios a una aplicación directamente, siga los pasos siguientes:To assign one or more users to an application directly, follow the steps below:

  1. Abra Azure Portal e inicie sesión como administrador global o como un propietario de aplicación que no sea administrador.Open the Azure portal and sign in as a Global Administrator or as a non-admin application owner.

  2. Abra la extensión de Azure Active Directory haciendo clic en Todos los servicios en la parte inferior del menú de navegación izquierdo.Open the Azure Active Directory Extension by clicking All services at the top of the main left hand navigation menu.

  3. Escriba "Azure Active Directory" en el cuadro de búsqueda de filtrado y seleccione el elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Haga clic en Aplicaciones empresariales en el menú de navegación izquierdo de Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Haga clic en Todas las aplicaciones para ver una lista de todas las aplicaciones.click All Applications to view a list of all your applications.

    • Si no ve la aplicación que desea que aparezca aquí, use el control Filtro de la parte superior de la lista Todas las aplicaciones y establezca la opción Mostrar en Todas las aplicaciones.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Seleccione la aplicación que desea asignar a un usuario de la lista.Select the application you want to assign a user to from the list.

  7. Cuando se cargue la aplicación, haga clic en Usuarios y grupos desde el menú de navegación izquierdo de la aplicación.Once the application loads, click Users and Groups from the application’s left hand navigation menu.

  8. Haga clic en el botón Agregar en la parte superior de la lista Usuarios y grupos para abrir el panel Agregar asignación.Click the Add button on top of the Users and Groups list to open the Add Assignment pane.

  9. Haga clic en el selector Usuarios y grupos del panel Agregar asignación.click the Users and groups selector from the Add Assignment pane.

  10. Escriba el nombre completo o la dirección de correo electrónico del usuario al que quiere asignar en el cuadro de búsqueda Buscar por nombre o dirección de correo.Type in the full name or email address of the user you are interested in assigning into the Search by name or email address search box.

  11. Mantenga el puntero sobre el usuario en la lista para que aparezca una casilla.Hover over the user in the list to reveal a checkbox. Haga clic en la casilla situada junto a la foto o el logotipo del perfil del usuario para agregar ese usuario a la lista de seleccionados.Click the checkbox next to the user’s profile photo or logo to add your user to the Selected list.

  12. Opcional: si desea agregar más de un usuario, escriba otro nombre completo o dirección de correo electrónico en el cuadro de búsqueda Buscar por nombre o dirección de correo y haga clic en la casilla para agregar ese usuario a la lista de seleccionados.Optional: If you would like to add more than one user, type in another full name or email address into the Search by name or email address search box, and click the checkbox to add this user to the Selected list.

  13. Cuando haya terminado de seleccionar usuarios, haga clic en el botón Seleccionar para agregarlos a la lista de usuarios y grupos que se asignarán a la aplicación.When you are finished selecting users, click the Select button to add them to the list of users and groups to be assigned to the application.

  14. Opcional: haga clic en el selector Seleccionar rol del panel Agregar asignación para seleccionar un rol que se asignará a los usuarios que ha seleccionado.Optional: click the Select Role selector in the Add Assignment pane to select a role to assign to the users you have selected.

  15. Haga clic en el botón Asignar para asignar la aplicación a los usuarios seleccionados.Click the Assign button to assign the application to the selected users.

Tras un breve período, los usuarios seleccionados podrán iniciar estas aplicaciones mediante los métodos descritos en la sección de descripción de la solución.After a short period of time, the users you have selected will be able to launch these applications using the methods described in the solution description section.

Asignación de gruposAssign groups

Para asignar uno o varios grupos a una aplicación directamente, siga estos pasos:To assign one or more groups to an application directly, follow the steps below:

  1. Abra Azure Portal e inicie sesión como administrador global o como propietario de la aplicación que no sea administrador con una licencia de Azure AD Premium asignada.Open the Azure portal and sign in as a Global Administrator or as a non-admin application owner with an Azure AD Premium license assigned.

  2. Abra la extensión de Azure Active Directory haciendo clic en Todos los servicios en la parte inferior del menú de navegación izquierdo.Open the Azure Active Directory Extension by clicking All services at the top of the main left hand navigation menu.

  3. Escriba "Azure Active Directory" en el cuadro de búsqueda de filtrado y seleccione el elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Haga clic en Aplicaciones empresariales en el menú de navegación izquierdo de Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Haga clic en Todas las aplicaciones para ver una lista de todas las aplicaciones.click All Applications to view a list of all your applications.

    • Si no ve la aplicación que desea que aparezca aquí, use el control Filtro de la parte superior de la lista Todas las aplicaciones y establezca la opción Mostrar en Todas las aplicaciones.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Seleccione la aplicación que desea asignar a un usuario de la lista.Select the application you want to assign a user to from the list.

  7. Cuando se cargue la aplicación, haga clic en Usuarios y grupos desde el menú de navegación izquierdo de la aplicación.Once the application loads, click Users and Groups from the application’s left hand navigation menu.

  8. Haga clic en el botón Agregar en la parte superior de la lista Usuarios y grupos para abrir el panel Agregar asignación.Click the Add button on top of the Users and Groups list to open the Add Assignment pane.

  9. Haga clic en el selector Usuarios y grupos del panel Agregar asignación.click the Users and groups selector from the Add Assignment pane.

  10. Escriba el nombre completo del grupo al que quiere asignar en el cuadro de búsqueda Buscar por nombre o dirección de correo.Type in the full group name of the group you are interested in assigning into the Search by name or email address search box.

  11. Mantenga el puntero sobre el grupo en la lista para que aparezca una casilla.Hover over the group in the list to reveal a checkbox. Haga clic en la casilla situada junto a la foto o el logotipo del perfil del grupo para agregar ese usuario a la lista de seleccionados.Click the checkbox next to the group’s profile photo or logo to add your user to the Selected list.

  12. Opcional: si desea agregar más de un grupo, escriba otro nombre de grupo completo o en el cuadro de búsqueda Buscar por nombre o dirección de correo y haga clic en la casilla para agregar ese grupo a la lista de seleccionados.Optional: If you would like to add more than one group, type in another full group name into the Search by name or email address search box, and click the checkbox to add this group to the Selected list.

  13. Cuando haya terminado de seleccionar grupos, haga clic en el botón Seleccionar para agregarlos a la lista de usuarios y grupos que se asignarán a la aplicación.When you are finished selecting groups, click the Select button to add them to the list of users and groups to be assigned to the application.

  14. Opcional: haga clic en el selector Seleccionar rol del panel Agregar asignación para seleccionar un rol que se asignará a los grupos que ha seleccionado.Optional: click the Select Role selector in the Add Assignment pane to select a role to assign to the groups you have selected.

  15. Haga clic en el botón Asignar para asignar la aplicación a los grupos seleccionados.Click the Assign button to assign the application to the selected groups.

Tras un breve período de tiempo, los usuarios de los grupos seleccionados podrán iniciar estas aplicaciones mediante los métodos descritos en la sección de descripción de la solución.After a short period of time, the users within the groups you have selected will be able to launch these applications using the methods described in the solution description section. Si se trata de grupos dinámicos, puede que haya algo de retardo de procesamiento adicional en estas asignaciones hasta que aparezcan para los usuarios dentro de estos grupos asignados.If these are dynamic groups, there may be some additional processing delay in these assignments appearing for users within these assigned groups.

Habilitación del acceso de autoservicio a las aplicacionesEnable self-service application access

El acceso de autoservicio a las aplicaciones es una excelente manera de permitir a los usuarios detectar automáticamente aplicaciones y, si lo desea, permitir que el grupo de negocios apruebe el acceso a esas aplicaciones.Self-service application access is a great way to allow users to self-discover applications, optionally allow the business group to approve access to those applications. Puede permitir que el grupo de negocios administre las credenciales asignadas a esos usuarios para que puedan realizar un inicio de sesión único con contraseña en las aplicaciones directamente desde sus paneles de acceso.You can allow the business group to manage the credentials assigned to those users for Password Single-Sign On Applications right from their access panels.

Para habilitar el acceso de autoservicio a las aplicaciones, siga estos pasos:To enable self-service application access to an application, follow the steps below:

  1. Abra Azure Portal e inicie sesión como administrador global.Open the Azure portal and sign in as a Global Administrator.

  2. Abra la extensión de Azure Active Directory haciendo clic en Todos los servicios en la parte inferior del menú de navegación izquierdo.Open the Azure Active Directory Extension by clicking All services at the top of the main left hand navigation menu.

  3. Escriba "Azure Active Directory" en el cuadro de búsqueda de filtrado y seleccione el elemento Azure Active Directory.Type in “Azure Active Directory” in the filter search box and select the Azure Active Directory item.

  4. Haga clic en Aplicaciones empresariales en el menú de navegación izquierdo de Azure Active Directory.click Enterprise Applications from the Azure Active Directory left hand navigation menu.

  5. Haga clic en Todas las aplicaciones para ver una lista de todas las aplicaciones.click All Applications to view a list of all your applications.

    • Si no ve la aplicación que desea que aparezca aquí, use el control Filtro de la parte superior de la lista Todas las aplicaciones y establezca la opción Mostrar en Todas las aplicaciones.If you do not see the application you want show up here, use the Filter control at the top of the All Applications List and set the Show option to All Applications.
  6. Seleccione la aplicación en la que desea habilitar el acceso de autoservicio de la lista.Select the application you want to enable Self-service access to from the list.

  7. Cuando se cargue la aplicación, haga clic en Autoservicio en el menú de navegación izquierdo de la aplicación.Once the application loads, click Self-service from the application’s left hand navigation menu.

  8. Para habilitar el acceso de autoservicio a las aplicaciones para esta aplicación, establezca la opción ¿Quiere permitir que los usuarios soliciten acceso a esta aplicación? en Sí.To enable Self-service application access for this application, turn the Allow users to request access to this application? toggle to Yes.

  9. A continuación, seleccione el grupo al que se deben agregar los usuarios que solicitan acceso a esta aplicación, haga clic en el selector situado junto a la etiqueta ¿A qué grupo se deberían agregar los usuarios asignados? y seleccione un grupo.Next, to select the group to which users who request access to this application should be added, click the selector next to the label To which group should assigned users be added? and select a group.

  10. Opcional: si desea requerir la aprobación de la empresa antes de permitir el acceso a los usuarios, establezca la opción ¿Quiere requerir una aprobación para conceder acceso a esta aplicación? en .Optional: If you wish to require a business approval before users are allowed access, set the Require approval before granting access to this application? toggle to Yes.

  11. Opcional: para las aplicaciones que solo utilizan el inicio de sesión único con contraseña, si desea permitir que los aprobadores de la empresa especifiquen las contraseñas que se envían a esta aplicación para los usuarios aprobados, establezca la opción ¿Quiere permitir que los aprobadores establezcan las contraseñas de los usuarios de esta aplicación? en .Optional: For applications using password single-sign on only, if you wish to allow those business approvers to specify the passwords that are sent to this application for approved users, set the Allow approvers to set user’s passwords for this application? toggle to Yes.

  12. Opcional: para especificar los aprobadores de la empresa que tienen permiso para aprobar el acceso a esta aplicación, haga clic en el selector situado junto a la etiqueta ¿Quién tiene permiso para aprobar el acceso a esta aplicación? para seleccionar hasta 10 aprobadores individuales de la empresa.Optional: To specify the business approvers who are allowed to approve access to this application, click the selector next to the label Who is allowed to approve access to this application? to select up to 10 individual business approvers.

    Nota

    No se admiten grupos.Groups are not supported.

  13. Opcional: para las aplicaciones que exponen roles, si desea asignar usuarios aprobados de autoservicio a un rol, haga clic en el selector situado junto a la etiqueta ¿A qué rol deben asignarse los usuarios de esta aplicación? para seleccionar el rol al que se deben asignar estos usuarios.Optional: For applications which expose roles, if you wish to assign self-service approved users to a role, click the selector next to the To which role should users be assigned in this application? to select the role to which these users should be assigned.

  14. Haga clic en el botón Guardar de la parte superior del panel para terminar.Click the Save button at the top of the pane to finish.

Cuando se haya completado la configuración de la aplicación de autoservicio, los usuarios pueden navegar a sus paneles de acceso a las aplicaciones y hacer clic en el botón + Agregar para buscar las aplicaciones para las que se ha habilitado el acceso de autoservicio.Once you complete Self-service application configuration, users can navigate to their Application Access Panel and click the +Add button to find the apps to which you have enabled Self-service access. Los aprobadores de la empresa pueden también ver una notificación en sus paneles de acceso a las aplicaciones.Business approvers also see a notification in their Application Access Panel. Puede habilitar un correo electrónico que les informa cuando un usuario ha solicitado el acceso a una aplicación que requiere su aprobación.You can enable an email notifying them when a user has requested access to an application that requires their approval.

Estas aprobaciones solo admiten flujos de trabajo de aprobación única, lo que significa que, si especifica varios aprobadores, cualquier aprobador individual puede aprobar el acceso a la aplicación.These approvals support single approval workflows only, meaning that if you specify multiple approvers, any single approver may approve access to the application.

Pasos siguientesNext steps

Proporcionar un inicio de sesión único a las aplicaciones con el proxy de aplicaciónProvide single sign-on to your apps with Application Proxy