Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active DirectoryAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

Azure Active Directory (Azure AD) permite automatizar la creación, el mantenimiento y la eliminación de identidades de usuario en aplicaciones de nube (SaaS), como Dropbox, Salesforce, ServiceNow y muchas más.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more. Esto se conoce como aprovisionamiento automático de usuarios para aplicaciones SaaS.This is known as automated user provisioning for SaaS apps.

Esta característica le permite hacer lo siguiente:This feature lets you:

  • Crear cuentas automáticamente en los sistemas adecuados para los usuarios nuevos cuando se unen a su equipo u organización.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Desactivar las cuentas automáticamente en los sistemas adecuados cuando los usuarios dejan el equipo o la organización.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Asegurarse de que las identidades de las aplicaciones y sistemas se mantienen actualizadas con los cambios del directorio o el sistema de recursos humanos.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Aprovisionar los objetos que no sean de los usuarios, como los grupos, para las aplicaciones que los admitan.Provision non-user objects, such as groups, to applications that support them.

El aprovisionamiento automático de usuarios también incluye esta funcionalidad:Automated user provisioning also includes this functionality:

  • Capacidad de hacer coincidir las identidades existentes entre los sistemas de origen y de destino.Ability to match existing identities between source and target systems.
  • Asignaciones de atributos personalizables que definen qué datos del usuario deben fluir del sistema de origen al sistema de destino.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Alertas de correo electrónico opcionales para errores de aprovisionamiento.Optional email alerts for provisioning errors.
  • Informes y registros de actividades para facilitar la supervisión y solución de problemas.Reporting and activity logs to help with monitoring and troubleshooting.

¿Por qué usar el aprovisionamiento automático?Why use automated provisioning?

Las razones habituales por las que se debe usar esta característica son:Some common motivations for using this feature include:

  • Evitar los costos, las ineficiencias y los errores humanos asociados con los procesos de aprovisionamiento manuales.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Evitar los costos asociados al hospedaje y el mantenimiento de scripts y soluciones de aprovisionamiento desarrollados de forma personalizada.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Proteger su organización mediante la eliminación instantánea de las identidades de los usuarios de aplicaciones SaaS claves cuando estos abandonan la organización.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Importar fácilmente una gran cantidad de usuarios a una aplicación o sistema SaaS concretos.Easily importing a large number of users into a particular SaaS application or system.
  • Tener un único conjunto de directivas para determinar quién se aprovisiona y quién puede iniciar sesión en una aplicación.Having a single set of policies to determine who is provisioned and who can sign in to an app.

¿Cómo funciona el aprovisionamiento automático?How does automatic provisioning work?

El servicio de aprovisionamiento de Azure AD aprovisiona usuarios para las aplicaciones SaaS y otros sistemas mediante la conexión de los puntos de conexión de la API de administración de usuarios que proporciona el proveedor de cada aplicación.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Estos puntos de conexión de la API de administración de usuarios permiten a Azure AD crear, actualizar y quitar usuarios mediante programación.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Para las aplicaciones seleccionadas, el servicio de aprovisionamiento también puede crear, actualizar y quitar objetos adicionales relacionados con la identidad, como los grupos y los roles.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Servicio de aprovisionamiento de Azure AD Figura 1: Servicio de aprovisionamiento de Azure ADAzure AD Provisioning Service Figure 1: The Azure AD Provisioning Service

Flujo de trabajo de aprovisionamiento de usuarios salientes Figura 2: Flujo de trabajo "saliente" del aprovisionamiento de usuarios desde Azure AD a aplicaciones SaaS popularesOutbound user provisioning workflow Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Flujo de trabajo de aprovisionamiento de usuarios salientes Figura 3: Flujo de trabajo "entrante" del aprovisionamiento de usuarios desde aplicaciones populares de administración del capital humano (HCM) a Azure Active Directory y Windows Server Active DirectoryInbound user provisioning workflow Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Las características preintegradas de Azure AD admiten muchas aplicaciones SaaS y sistemas de recursos humanos populares, así como compatibilidad genérica con aplicaciones que implementan determinadas partes del estándar SCIM 2.0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Aplicaciones preintegradasPre-integrated applications

Para ver una lista de todas las aplicaciones en las que Azure AD admite un conector de aprovisionamiento previamente integrado, consulte la lista de tutoriales de aplicaciones de aprovisionamiento de usuarios.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Si desea ponerse en contacto con el equipo de ingeniería de Azure AD para solicitar soporte técnico para el aprovisionamiento de aplicaciones adicionales, envíe un mensaje a través del foro de comentarios de Azure Active Directory.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Nota

Para que una aplicación admita el aprovisionamiento automático de usuarios, primero debe proporcionar las API de administración de usuarios necesarias que permitan a los programas externos automatizar la creación, el mantenimiento y la eliminación de usuarios.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Por lo tanto, no todas las aplicaciones SaaS son compatibles con esta característica.Therefore, not all SaaS apps are compatible with this feature. En el caso de las aplicaciones que sí son compatibles con las API de administración de usuarios, el equipo de ingeniería de Azure AD puede crear un conector de aprovisionamiento para esas aplicaciones, y las prioridades para realizar este trabajo se basan en las necesidades de los clientes actuales y potenciales.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Conexión de aplicaciones que admiten SCIM 2.0Connecting applications that support SCIM 2.0

Para obtener información sobre cómo conectar aplicaciones de forma general que implementen API de administración de usuario basado en SCIM 2.0, consulte Uso de SCIM para aprovisionar automáticamente a los usuarios y grupos de Azure Active Directory para aplicaciones.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

¿Cómo configuro el aprovisionamiento automático para una aplicación?How do I set up automatic provisioning to an application?

Use el portal de Azure Active Directory para configurar el servicio de una aplicación seleccionada de aprovisionamiento de Azure AD.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Abra el portal de Azure Active Directory .Open the Azure Active Directory portal.

  2. En el panel izquierdo, seleccione Aplicaciones empresariales.Select Enterprise applications from the left pane. Se muestra una lista de todas las aplicaciones configuradas.A list of all configured apps is show.

  3. Elija + Nueva aplicación para agregar una aplicación.Choose + New application to add an application. Agregue uno de los siguientes elementos en función del escenario:Add either of the following depending on your scenario:

  4. Proporcione los detalles y seleccione Agregar.Provide any details and select Add. La nueva aplicación se agrega a la lista de aplicaciones empresariales y se abre en su pantalla de administración de la aplicación.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Seleccione Aprovisionamiento para administrar la configuración de la aplicación de aprovisionamiento de cuentas de usuario.Select Provisioning to manage user account provisioning settings for the app.

    Muestra la pantalla de configuración de aprovisionamiento

  6. Seleccione la opción Automático en Modo de aprovisionamiento para especificar la configuración de las credenciales de administrador, asignaciones, inicio y parada, y sincronización.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Expanda Credenciales de administrador para especificar las credenciales necesarias para que Azure AD se conecte a la API de administración de usuarios de la aplicación.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. En esta sección también se puede habilitar notificaciones por correo electrónico si se produce un error con las credenciales o si el trabajo de aprovisionamiento entra en cuarentena.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Expanda Asignaciones para ver y modificar los atributos de usuario que fluyen entre Azure AD y la aplicación de destino cuando las cuentas de usuario se aprovisionan o se actualizan.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Si la aplicación de destino lo admite, en esta sección se puede configurar opcionalmente el aprovisionamiento de grupos y cuentas de usuario.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Seleccione una asignación de la tabla para abrir el editor de asignaciones a la derecha, donde puede ver y personalizar los atributos de usuario.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Los filtros de ámbito le indican al servicio de aprovisionamiento qué usuarios y grupo del sistema de origen se deben aprovisionar o desaprovisionar para el sistema de destino.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. En el panel Asignaciones de atributos, seleccione Ámbito de objeto de origen para filtrar por valores de atributo concretos.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Por ejemplo, puede especificar que solo los usuarios con el atributo "Department" (Departamento) de "Sales" (Ventas) deben estar en el ámbito del aprovisionamiento.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Para más información, consulte Uso de filtros de ámbito.For more information, see Using scoping filters.

      Para obtener más información, vea Personalización de la asignación de atributos.For more information, see Customizing Attribute Mappings.

    • La opción Configuración controla el funcionamiento del servicio de aprovisionamiento de una aplicación, incluso si se está ejecutando.Settings control the operation of the provisioning service for an application, including whether it's currently running. El menú Ámbito permite especificar si solo los usuarios y grupos asignados deben incluirse en el ámbito para el aprovisionamiento, o si se deben aprovisionar todos los usuarios en el directorio de Azure AD.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Para obtener más información sobre la "asignación" de usuarios y grupos, consulte Asignación de un usuario o un grupo a una aplicación empresarial en Azure Active Directory.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

En la pantalla de administración de la aplicación, seleccione Registros de auditoría para ver los registros de cada operación que el servicio de aprovisionamiento de Azure AD ejecuta.In the app management screen, select Audit logs to view records of every operation run by the Azure AD provisioning service. Para obtener más información, consulte la guía de informes de aprovisionamiento.For more information, see the provisioning reporting guide.

Ejemplo: pantalla Registros de auditoría para una aplicación

Nota

El servicio de aprovisionamiento de usuarios de Azure AD también se puede configurar y administrar mediante Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

¿Qué ocurre durante el aprovisionamiento?What happens during provisioning?

Si Azure AD es el sistema de origen, el servicio de aprovisionamiento usa la característica de consulta diferencial de Azure AD Graph API para supervisar usuarios y grupos.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. El servicio de aprovisionamiento ejecuta una sincronización con el sistema de origen y el sistema de destino, seguida de sincronizaciones incrementales periódicas.The provisioning service runs an initial sync against the source system and target system, followed by periodic incremental syncs.

Sincronización inicialInitial sync

Cuando se inicia el servicio de aprovisionamiento, la primera sincronización ejecutada será así:When the provisioning service is started, the first sync ever run will:

  1. Se consultan todos los usuarios y grupos del sistema de origen y se recuperan todos los atributos definidos en la asignación de atributos.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Se filtran los usuarios y grupos devueltos mediante cualquier asignación o filtro de ámbito basado en atributos configurados.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Cuando un usuario se ha asignado o está en ámbito para el aprovisionamiento, el servicio consulta el sistema de destino en busca de un usuario coincidente mediante los atributos coincidentes especificados.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Ejemplo: Si el nombre de userPrincipal en el sistema de origen es el atributo coincidente y se asigna a userName en el sistema de destino, el servicio de aprovisionamiento consulta el sistema de destino en busca de valores userName que coincidan con los valores de nombre del sistema de origen.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Si no se encuentra un usuario coincidente en el sistema de destino, se crea mediante los atributos que devuelve el sistema de origen.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Una vez que se crea la cuenta de usuario, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino del nuevo usuario, que se usa para ejecutar todas las futuras operaciones en dicho usuario.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Si se encuentra un usuario coincidente, se actualiza mediante los atributos que proporciona el sistema de origen.If a matching user is found, it's updated using the attributes provided by the source system. Una vez que la cuenta de usuario coincide, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino del nuevo usuario, que se usa para ejecutar todas las futuras operaciones en dicho usuario.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Si las asignaciones de atributos contienen atributos de "referencia", el servicio realiza actualizaciones adicionales en el sistema de destino para crear y vincular los objetos a los que se hace referencia.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Por ejemplo, un usuario puede tener un atributo "Administrador" en el sistema de destino, que está vinculado a otro usuario creado en el sistema de destino.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Se conserva una marca de agua al final de la sincronización inicial, que proporciona el punto de partida para las sincronizaciones incrementales posteriores.Persist a watermark at the end of the initial sync, which provides the starting point for the later incremental syncs.

Algunas aplicaciones, como ServiceNow, G Suite y Box no solo admiten el aprovisionamiento de usuarios, sino también el de los grupos y sus miembros.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. En esos casos, si el aprovisionamiento de grupos está habilitado en las asignaciones, el servicio de aprovisionamiento sincroniza los usuarios y los grupos, y luego las pertenencias del grupo.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Sincronizaciones incrementalesIncremental syncs

Después de la sincronización inicial, todas las demás sincronizaciones harán lo siguiente:After the initial sync, all other syncs will:

  1. Se consulta el sistema de origen de los usuarios y grupos que se actualizaron desde la última marca de agua almacenada.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Se filtran los usuarios y grupos devueltos mediante cualquier asignación o filtro de ámbito basado en atributos configurados.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Cuando un usuario se ha asignado o está en ámbito para el aprovisionamiento, el servicio consulta el sistema de destino en busca de un usuario coincidente mediante los atributos coincidentes especificados.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Si no se encuentra un usuario coincidente en el sistema de destino, se crea mediante los atributos que devuelve el sistema de origen.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Una vez que se crea la cuenta de usuario, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino del nuevo usuario, que se usa para ejecutar todas las futuras operaciones en dicho usuario.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Si se encuentra un usuario coincidente, se actualiza mediante los atributos que proporciona el sistema de origen.If a matching user is found, it's updated using the attributes provided by the source system. Si es una cuenta recién asignada la que coincide, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino del nuevo usuario, que se usa para ejecutar todas las futuras operaciones en dicho usuario.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Si las asignaciones de atributos contienen atributos de "referencia", el servicio realiza actualizaciones adicionales en el sistema de destino para crear y vincular los objetos a los que se hace referencia.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Por ejemplo, un usuario puede tener un atributo "Administrador" en el sistema de destino, que está vinculado a otro usuario creado en el sistema de destino.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se quita del ámbito (lo que incluye estar sin asignar), el servicio deshabilita al usuario en el sistema de destino mediante una actualización.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se deshabilita o se elimina temporalmente en el sistema de origen, el servicio deshabilita al usuario en el sistema de destino mediante una actualización.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se elimina permanentemente en el sistema de origen, el servicio elimina al usuario en el sistema de destino.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. En Azure AD, los usuarios se eliminan permanentemente 30 días después de que se hayan eliminado temporalmente.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Se conserva una nueva marca de agua al final de la sincronización incremental, que proporciona el punto de partida para las sincronizaciones incrementales posteriores.Persist a new watermark at the end of the incremental sync, which provides the starting point for the later incremental syncs.

Nota

Opcionalmente, puede deshabilitar las operaciones Crear, Actualizar o Eliminar mediante las casillas Acciones del objeto de destino de la sección Asignaciones.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. La lógica para deshabilitar un usuario durante una actualización también se controla mediante una asignación de atributos desde un campo como "accountEnabled".The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

El servicio de aprovisionamiento sigue ejecutando sincronizaciones incrementales opuestas de manera indefinida, según intervalos definidos en el tutorial específico de cada aplicación, hasta que se produzca uno de los siguientes eventos:The provisioning service continues running back-to-back incremental syncs indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • El servicio se detiene manualmente mediante Azure Portal o por medio del comando de Graph API adecuado.The service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Se desencadena una nueva sincronización inicial mediante la opción Clear state and restart (Borrar estado y reiniciar) de Azure Portal o por medio del comando de Graph API adecuado.A new initial sync is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Esta acción también borra cualquier marca de agua almacenada y hace que todos los objetos de origen se evalúen de nuevo.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Se desencadena una nueva sincronización inicial debido a un cambio en las asignaciones de atributos o los filtros de ámbito.A new initial sync is triggered because of a change in attribute mappings or scoping filters. Esta acción también borra cualquier marca de agua almacenada y hace que todos los objetos de origen se evalúen de nuevo.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • El proceso de aprovisionamiento entra en cuarentena (ver a continuación) debido a una alta tasa de errores y permanece en cuarentena durante más de cuatro semanas.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. En este caso, el servicio se deshabilita automáticamente.In this event, the service will be automatically disabled.

Errores y reintentosErrors and retries

Si un usuario individual no se puede agregar, actualizar o eliminar en el sistema de destino debido a un error en dicho sistema, la operación se reintenta en el siguiente ciclo de sincronización.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Si el error continúa, los reintentos comienzan a producirse según una frecuencia reducida y disminuyen gradualmente hasta un solo intento al día.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Para resolver el error, los administradores deben comprobar los registros de auditoría en busca de eventos de "custodia de proceso" para determinar la causa y realizar la acción apropiada.To resolve the failure, administrators must check the audit logs for "process escrow" events to determine the root cause and take the appropriate action. Algunos errores comunes son:Common failures can include:

  • Usuarios que no tienen relleno un atributo en el sistema de origen que es necesario en el sistema de destinoUsers not having an attribute populated in the source system that is required in the target system
  • Usuarios que tienen un valor de atributo en el sistema de origen para el que existe una restricción única en el sistema de destino, y el mismo valor está presente en otro registro de usuarioUsers having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Estos errores pueden resolverse mediante el ajuste de los valores de atributo del usuario afectado en el sistema de origen, o por medio del ajuste de las asignaciones de atributos para no provocar conflictos.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

CuarentenaQuarantine

Si todas o la mayoría de las llamadas realizadas al sistema de destino no tienen éxito sistemáticamente debido a un error (como en el caso de credenciales de administrador no válidas), el trabajo de aprovisionamiento entra en estado de "cuarentena".If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Este estado se indica en el informe de resumen de aprovisionamiento y por correo electrónico si se han configurado las notificaciones por correo electrónico en Azure Portal.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

En cuarentena, la frecuencia de las sincronizaciones incrementales se reduce gradualmente a una vez al día.When in quarantine, the frequency of incremental syncs is gradually reduced to once per day.

El trabajo de aprovisionamiento se quita de la cuarentena después de que se hayan resuelto todos los errores causantes y se inicie el siguiente ciclo de sincronización.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Si el trabajo de aprovisionamiento permanece en cuarentena durante más de cuatro semanas, se deshabilita.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

¿Cuánto tiempo se tarda en aprovisionar usuarios?How long will it take to provision users?

El rendimiento depende de si el trabajo de aprovisionamiento ejecuta un ciclo de aprovisionamiento inicial o un ciclo incremental.Performance depends on whether your provisioning job is running an initial provisioning cycle or an incremental cycle. Para obtener detalles sobre el tiempo que tarda el aprovisionamiento y cómo supervisar el estado del servicio de aprovisionamiento, consulte Averiguar cuándo un usuario específico podrá acceder a una aplicación.For details about how long provisioning takes and how to monitor the status of the provisioning service, see Check the status of user provisioning.

¿Cómo puedo saber si los usuarios se aprovisionan correctamente?How can I tell if users are being provisioned properly?

Todas las operaciones que ejecute el servicio de aprovisionamiento de usuarios se registran en los registros de auditoría de Azure AD.All operations run by the user provisioning service are recorded in the Azure AD audit logs. Esto incluye todas las operaciones de lectura y escritura realizadas en los sistemas de origen y de destino, así como los datos del usuario que se leyeron o escribieron durante cada operación.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Para obtener información sobre cómo leer los registros de auditoría en Azure Portal, consulte la guía de informes de aprovisionamiento.For information on how to read the audit logs in the Azure portal, see the provisioning reporting guide.

¿Cómo resolver problemas con el aprovisionamiento de usuarios?How do I troubleshoot issues with user provisioning?

Para ver instrucciones basadas en escenarios sobre cómo solucionar problemas de aprovisionamiento automático de usuarios, consulte Problemas al configurar y aprovisionar usuarios en una aplicación.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

¿Cuáles son los procedimientos recomendados para la implementación del aprovisionamiento automático de usuarios?What are the best practices for rolling out automatic user provisioning?

Para obtener un ejemplo del plan de implementación detallado para el aprovisionamiento de usuarios saliente a una aplicación, consulte la guía de implementación de identidad para el aprovisionamiento de usuarios.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Preguntas más frecuentesFrequently asked questions

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con usuarios de B2B en Azure AD?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Sí, el servicio de aprovisionamiento de usuarios de Azure AD se puede usar para aprovisionar usuarios de B2B (o invitados) en Azure AD para aplicaciones SaaS.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Sin embargo, para que los usuarios de B2B inicien sesión en la aplicación SaaS mediante Azure AD, esta debe tener su funcionalidad de inicio de sesión único basado en SAML configurada de una forma concreta.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. Para más información acerca de cómo configurar aplicaciones SaaS para admitir inicios de sesión de usuarios de B2B, consulte Configuración de aplicaciones de SaaS para la colaboración B2B.For more information on how to configure SaaS applications to support sign-ins from B2B users, see Configure SaaS apps for B2B collaboration.

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con grupos dinámicos en Azure AD?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Sí.Yes. Si está configurado para "sincronizar solo usuarios y grupos asignados", el servicio de aprovisionamiento de usuarios de Azure AD puede aprovisionar o desaprovisionar los usuarios de una aplicación SaaS en función de si son miembros de un grupo dinámico.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Los grupos dinámicos también funcionan con la opción "sincronizar todos los usuarios y grupos".Dynamic groups also work with the "sync all users and groups" option.

Sin embargo, el uso de grupos dinámicos puede afectar al rendimiento general del aprovisionamiento de usuarios de un extremo a otro desde Azure AD a las aplicaciones SaaS.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Cuando use grupos dinámicos, tenga en cuenta estas advertencias y recomendaciones:When using dynamic groups, keep these caveats and recommendations in mind:

  • La velocidad con la se aprovisiona o desaprovisiona un usuario de un grupo dinámico en una aplicación SaaS depende de la rapidez con la que el grupo dinámico pueda evaluar los cambios de pertenencia.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Para obtener información acerca de cómo comprobar el estado de procesamiento de un grupo dinámico, consulte Comprobación del estado de procesamiento de una regla de pertenencia.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Cuando se usan grupos dinámicos, deben tenerse muy en cuenta las reglas y pensar en el aprovisionamiento y desaprovisionamiento de usuarios, ya que una pérdida de pertenencia provocará un evento de desaprovisionamiento.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con grupos anidados en Azure AD?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

No.No. Cuando se configura para "sincronizar solo los usuarios y grupos asignados", el servicio de aprovisionamiento de usuarios de Azure AD no puede leer ni aprovisionar usuarios que estén en grupos anidados.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Solo puede leer y aprovisionar aquellos usuarios que son miembros inmediatos del grupo asignado explícitamente.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Esta es una limitación de las "asignaciones basadas en grupos a aplicaciones" que también afecta al inicio de sesión único y se describe en Uso de un grupo para administrar el acceso a aplicaciones SaaS.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Como alternativa, debe asignar explícitamente (o de otro modo definir el ámbito) los grupos que contengan los usuarios que se deban aprovisionar.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

¿Se está aprovisionando entre Azure AD y una aplicación de destino mediante un canal cifrado?Is provisioning between Azure AD and a target application using an encrypted channel?

Sí.Yes. Usamos el cifrado SSL de HTTPS para el destino de servidor.We use HTTPS SSL encryption for the server target.