Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active DirectoryAutomate user provisioning and deprovisioning to SaaS applications with Azure Active Directory

¿Qué es el aprovisionamiento automático de usuarios para aplicaciones SaaS?What is automated user provisioning for SaaS apps?

Azure Active Directory (Azure AD) le permite automatizar la creación, mantenimiento y eliminación de identidades de usuario en la nube (SaaS) aplicaciones como Dropbox, Salesforce, ServiceNow y mucho más.Azure Active Directory (Azure AD) lets you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and more.

Esta característica le permite:This feature lets you:

  • Crear cuentas automáticamente en los sistemas adecuados para los usuarios nuevos cuando se unen a su equipo u organización.Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Desactivar las cuentas automáticamente en los sistemas adecuados cuando los usuarios dejan el equipo o la organización.Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Asegurarse de que las identidades de las aplicaciones y sistemas se mantienen actualizadas con los cambios del directorio o el sistema de recursos humanos.Ensure that the identities in your apps and systems are kept up-to-date based on changes in the directory, or your human resources system.
  • Aprovisionar los objetos que no sean de los usuarios, como los grupos, para las aplicaciones que los admitan.Provision non-user objects, such as groups, to applications that support them.

Aprovisionamiento automático de usuarios, también incluye esta funcionalidad:Automated user provisioning also includes this functionality:

  • La capacidad de hacer coincidir las identidades existentes entre los sistemas de origen y de destino.The ability to match existing identities between source and target systems.
  • Asignaciones de atributos personalizables que definen qué datos del usuario deben fluir del sistema de origen al sistema de destino.Customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Alertas de correo electrónico opcionales para errores de aprovisionamiento.Optional email alerts for provisioning errors.
  • Informes y registros de actividades para facilitar la supervisión y solución de problemas.Reporting and activity logs to help with monitoring and troubleshooting.

¿Por qué usar el aprovisionamiento automático?Why use automated provisioning?

Las razones habituales por las que se debe usar esta característica son:Some common motivations for using this feature include:

  • Evitar los costos, las ineficiencias y los errores humanos asociados con los procesos de aprovisionamiento manuales.Avoiding the costs, inefficiencies, and human error associated with manual provisioning processes.
  • Evitar los costos asociados al hospedaje y el mantenimiento de scripts y soluciones de aprovisionamiento desarrollados de forma personalizada.Avoiding the costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Protección de su organización mediante la eliminación al instante las identidades de usuarios de aplicaciones SaaS claves cuando abandonan la organización.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Importar fácilmente un gran número de usuarios en una determinada aplicación o sistema SaaS.Easily importing a large number of users into a particular SaaS application or system.
  • Tener un único conjunto de directivas para determinar quién se aprovisiona y quién puede iniciar sesión en una aplicación.Having a single set of policies to determine who is provisioned and who can sign in to an app.

¿Cómo funciona el aprovisionamiento automático?How does automatic provisioning work?

El el servicio de aprovisionamiento de Azure AD aprovisiona usuarios para aplicaciones SaaS y otros sistemas mediante la conexión a puntos de conexión de API de administración de usuario proporcionadas por cada proveedor de la aplicación.The Azure AD Provisioning Service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Estos puntos de conexión de la API de administración de usuarios permiten a Azure AD crear, actualizar y quitar usuarios mediante programación.These user management API endpoints allow Azure AD to programmatically create, update, and remove users. Para las aplicaciones seleccionadas, el servicio de aprovisionamiento también puede crear, actualizar y quitar objetos adicionales relacionados con la identidad, como los grupos y roles.For selected applications, the provisioning service can also create, update, and remove additional identity-related objects, such as groups and roles.

Aprovisionamiento Figura 1: Servicio de aprovisionamiento de Azure ADProvisioning Figure 1: The Azure AD Provisioning Service

Aprovisionamiento de salida Figura 2: Flujo de trabajo "saliente" del aprovisionamiento de usuarios desde Azure AD a aplicaciones SaaS popularesOutbound Provisioning Figure 2: "Outbound" user provisioning workflow from Azure AD to popular SaaS applications

Aprovisionamiento de entrada Figura 3: Flujo de trabajo "entrante" del aprovisionamiento de usuarios desde aplicaciones populares de administración del capital humano (HCM) a Azure Active Directory y Windows Server Active DirectoryInbound Provisioning Figure 3: "Inbound" user provisioning workflow from popular Human Capital Management (HCM) applications to Azure Active Directory and Windows Server Active Directory

¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Características de Azure AD integrado previamente para muchos populares aplicaciones y recursos humanos sistemas SaaS y la compatibilidad con genérico para las aplicaciones que implementan determinadas partes del estándar SCIM 2.0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

Aplicaciones preintegradasPre-integrated applications

Para ver una lista de todas las aplicaciones en las que Azure AD admite un conector de aprovisionamiento previamente integrado, consulte la lista de tutoriales de aplicaciones de aprovisionamiento de usuarios.For a list of all applications for which Azure AD supports a pre-integrated provisioning connector, see the list of application tutorials for user provisioning.

Si desea ponerse en contacto con el equipo de ingeniería de Azure AD para solicitar soporte técnico para el aprovisionamiento de aplicaciones adicionales, envíe un mensaje a través del foro de comentarios de Azure Active Directory.To contact the Azure AD engineering team to request provisioning support for additional applications, submit a message through the Azure Active Directory feedback forum.

Nota

Para que una aplicación admita el aprovisionamiento automático de usuarios, primero debe proporcionar las API de administración de usuarios necesarias que permitan a los programas externos automatizar la creación, el mantenimiento y la eliminación de usuarios.In order for an application to support automated user provisioning, it must first provide the necessary user management APIs that allow for external programs to automate the creation, maintenance, and removal of users. Por lo tanto, no todas las aplicaciones SaaS son compatibles con esta característica.Therefore, not all SaaS apps are compatible with this feature. Para las aplicaciones que admiten las API de administración de usuario, el equipo de ingeniería de Azure AD, a continuación, puede crear un conector de aprovisionamiento para esas aplicaciones, y este trabajo es ordenada por las necesidades de los clientes actuales y potenciales.For apps that do support user management APIs, the Azure AD engineering team can then build a provisioning connector to those apps, and this work is prioritized by the needs of current and prospective customers.

Conexión de aplicaciones que admiten SCIM 2.0Connecting applications that support SCIM 2.0

Para obtener información sobre cómo conectar aplicaciones de forma general que implementen API de administración de usuario basado en SCIM 2.0, consulte Uso de SCIM para aprovisionar automáticamente a los usuarios y grupos de Azure Active Directory para aplicaciones.For information on how to generically connect applications that implement SCIM 2.0 -based user management APIs, see Using SCIM to automatically provision users and groups from Azure Active Directory to applications.

¿Cómo configuro el aprovisionamiento automático para una aplicación?How do I set up automatic provisioning to an application?

Use el portal de Azure Active Directory para configurar el servicio de una aplicación seleccionada de aprovisionamiento de Azure AD.Use the Azure Active Directory portal to configure the Azure AD provisioning service for a selected application.

  1. Abra el portal de Azure Active Directory.Open the Azure Active Directory portal.

  2. Seleccione aplicaciones empresariales en el panel izquierdo.Select Enterprise applications from the left pane. Una lista de todas las aplicaciones configuradas es mostrar.A list of all configured apps is show.

  3. Elija + nueva aplicación para agregar una aplicación.Choose + New application to add an application. Agregue cualquiera de las siguientes según el escenario:Add either of the following depending on your scenario:

  4. Proporcione los detalles y seleccione agregar.Provide any details and select Add. La nueva aplicación se agrega a la lista de aplicaciones empresariales y se abre en su pantalla de administración de aplicaciones.The new app is added to the list of enterprise applications and opens to its application management screen.

  5. Seleccione aprovisionamiento para administrar la configuración de la aplicación de aprovisionamiento de cuentas de usuario.Select Provisioning to manage user account provisioning settings for the app.

    Configuración

  6. Seleccione la opción automática para el modo de aprovisionamiento para especificar la configuración de credenciales de administrador, asignaciones, iniciar y detener y la sincronización.Select the Automatic option for the Provisioning Mode to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

    • Expanda las credenciales de administrador que escriba las credenciales necesarias para que Azure AD para conectarse a la API de administración de usuario de la aplicación.Expand Admin credentials to enter the credentials required for Azure AD to connect to the application's user management API. Esta sección también le permite habilitar notificaciones por correo electrónico si las credenciales producen error o el trabajo de aprovisionamiento entra en cuarentena.This section also lets you enable email notifications if the credentials fail, or the provisioning job goes into quarantine.

    • Expanda asignaciones para ver y editar los atributos de usuario que fluyen entre Azure AD y la aplicación de destino cuando se aprovisiona o se actualizan las cuentas de usuario.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated. Si la aplicación de destino lo admite, esta sección le permite configurar, opcionalmente, el aprovisionamiento de grupos y cuentas de usuario.If the target application supports it, this section lets you optionally configure provisioning of groups and user accounts. Seleccione una asignación de la tabla para abrir el editor de asignación a la derecha, donde puede ver y personalizar los atributos de usuario.Select a mapping in the table to open the mapping editor to the right, where you can view and customize user attributes.

      Los filtros de ámbito indicar al servicio de aprovisionamiento qué usuarios y grupos en el sistema de origen se deben aprovisionar o desaprovisionar para el sistema de destino.Scoping filters tell the provisioning service which users and groups in the source system should be provisioned or deprovisioned to the target system. En el asignación de atributos panel, seleccione ámbito de objeto de origen para filtrar por valores de atributo concreto.In the Attribute mapping pane, select Source Object Scope to filter on specific attribute values. Por ejemplo, puede especificar que solo los usuarios con el atributo "Department" (Departamento) de "Sales" (Ventas) deben estar en el ámbito del aprovisionamiento.For example, you can specify that only users with a "Department" attribute of "Sales" should be in scope for provisioning. Para más información, consulte Uso de filtros de ámbito.For more information, see Using scoping filters.

      Para obtener más información, vea Personalización de la asignación de atributos.For more information, see Customizing Attribute Mappings.

    • Configuración controlan el funcionamiento del servicio de aprovisionamiento para una aplicación, incluso si se está ejecutando actualmente.Settings control the operation of the provisioning service for an application, including whether it's currently running. El ámbito menú le permite especificar si solo usuarios y grupos asignados deben incluirse en el ámbito de aprovisionamiento, o si se deben aprovisionar todos los usuarios en el directorio de Azure AD.The Scope menu lets you specify whether only assigned users and groups should be in scope for provisioning, or if all users in the Azure AD directory should be provisioned. Para obtener más información sobre la "asignación" de usuarios y grupos, consulte Asignación de un usuario o un grupo a una aplicación empresarial en Azure Active Directory.For information on "assigning" users and groups, see Assign a user or group to an enterprise app in Azure Active Directory.

En la pantalla de administración de aplicaciones, seleccione registros de auditoría para ver los registros de cada operación de ejecutan el Azure AD provisioning service.In the app management screen, select Audit logs to view records of every operation run by the Azure AD provisioning service. Para obtener más información, consulte la guía de informes de aprovisionamiento.For more information, see the provisioning reporting guide.

Configuración

Nota

El servicio de aprovisionamiento de usuarios de Azure AD también se puede configurar y administrar mediante Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

¿Qué ocurre durante el aprovisionamiento?What happens during provisioning?

Si Azure AD es el sistema de origen, el servicio de aprovisionamiento usa la característica de consulta diferencial de Azure AD Graph API para supervisar usuarios y grupos.When Azure AD is the source system, the provisioning service uses the Differential Query feature of the Azure AD Graph API to monitor users and groups. El servicio de aprovisionamiento ejecuta una sincronización con el sistema de origen y el sistema de destino, seguida de sincronizaciones incrementales periódicas.The provisioning service runs an initial sync against the source system and target system, followed by periodic incremental syncs.

Sincronización inicialInitial sync

Cuando se inicia el servicio de aprovisionamiento, la primera sincronización que nunca se ejecute lo siguiente:When the provisioning service is started, the first sync ever run will:

  1. Se consultan todos los usuarios y grupos del sistema de origen y se recuperan todos los atributos definidos en la asignación de atributos.Query all users and groups from the source system, retrieving all attributes defined in the attribute mappings.
  2. Se filtran los usuarios y grupos devueltos mediante cualquier asignación o filtro de ámbito basado en atributos configurados.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Cuando un usuario está asignado o en el ámbito de aprovisionamiento, el servicio consulta el sistema de destino para un usuario coincidente mediante especificado atributos coincidentes.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes. Ejemplo: Si el nombre de userPrincipal en el sistema de origen es el atributo coincidente y se asigna a userName en el sistema de destino, el servicio de aprovisionamiento consulta el sistema de destino en busca de valores userName que coincidan con los valores de nombre del sistema de origen.Example: If the userPrincipal name in the source system is the matching attribute and maps to userName in the target system, then the provisioning service queries the target system for userNames that match the userPrincipal name values in the source system.
  4. Si un usuario coincidente no se encuentra en el sistema de destino, se crea mediante los atributos devueltos por el sistema de origen.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Una vez creada la cuenta de usuario, el servicio de aprovisionamiento detecta y se almacena en caché el identificador del sistema de destino para el nuevo usuario, que se usa para ejecutar todas las futuras operaciones en los que el usuario.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Si se encuentra un usuario coincidente, se actualiza con los atributos proporcionados por el sistema de origen.If a matching user is found, it's updated using the attributes provided by the source system. Después de que coincide con la cuenta de usuario, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino para el nuevo usuario, que se usa para ejecutar todas las futuras operaciones sobre ese usuario.After the user account is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Si las asignaciones de atributos contienen atributos de "referencia", el servicio realiza actualizaciones adicionales en el sistema de destino para crear y vincular los objetos que se hace referencia.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Por ejemplo, un usuario puede tener un atributo "Administrador" en el sistema de destino, que está vinculado a otro usuario creado en el sistema de destino.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Conservar una marca de agua al final de la sincronización inicial, que proporciona el punto de partida para las sincronizaciones incrementales más adelante.Persist a watermark at the end of the initial sync, which provides the starting point for the later incremental syncs.

Algunas aplicaciones como la compatibilidad con ServiceNow, G Suite y Box no solo el aprovisionamiento de usuarios, sino también aprovisionamiento de grupos y sus miembros.Some applications such as ServiceNow, G Suite, and Box support not only provisioning users, but also provisioning groups and their members. En esos casos, si el aprovisionamiento de grupos está habilitado en el asignaciones, el servicio de aprovisionamiento sincroniza los usuarios y los grupos y, a continuación, más adelante se sincroniza la pertenencia a grupos.In those cases, if group provisioning is enabled in the mappings, the provisioning service synchronizes the users and the groups, and then later synchronizes the group memberships.

Sincronizaciones incrementalesIncremental syncs

Después de la sincronización inicial, todas las otras sincronizaciones hará lo siguiente:After the initial sync, all other syncs will:

  1. Se consulta el sistema de origen de los usuarios y grupos que se actualizaron desde la última marca de agua almacenada.Query the source system for any users and groups that were updated since the last watermark was stored.
  2. Se filtran los usuarios y grupos devueltos mediante cualquier asignación o filtro de ámbito basado en atributos configurados.Filter the users and groups returned, using any configured assignments or attribute-based scoping filters.
  3. Cuando un usuario está asignado o en el ámbito de aprovisionamiento, el servicio consulta el sistema de destino para un usuario coincidente mediante especificado atributos coincidentes.When a user is assigned or in scope for provisioning, the service queries the target system for a matching user using the specified matching attributes.
  4. Si un usuario coincidente no se encuentra en el sistema de destino, se crea mediante los atributos devueltos por el sistema de origen.If a matching user isn't found in the target system, it's created using the attributes returned from the source system. Una vez creada la cuenta de usuario, el servicio de aprovisionamiento detecta y se almacena en caché el identificador del sistema de destino para el nuevo usuario, que se usa para ejecutar todas las futuras operaciones en los que el usuario.After the user account is created, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  5. Si se encuentra un usuario coincidente, se actualiza con los atributos proporcionados por el sistema de origen.If a matching user is found, it's updated using the attributes provided by the source system. Si es una cuenta recién asignada que coincide, el servicio de aprovisionamiento detecta y almacena en caché el identificador del sistema de destino para el nuevo usuario, que se usa para ejecutar todas las futuras operaciones sobre ese usuario.If it's a newly assigned account that is matched, the provisioning service detects and caches the target system's ID for the new user, which is used to run all future operations on that user.
  6. Si las asignaciones de atributos contienen atributos de "referencia", el servicio realiza actualizaciones adicionales en el sistema de destino para crear y vincular los objetos que se hace referencia.If the attribute mappings contain "reference" attributes, the service does additional updates on the target system to create and link the referenced objects. Por ejemplo, un usuario puede tener un atributo "Administrador" en el sistema de destino, que está vinculado a otro usuario creado en el sistema de destino.For example, a user may have a "Manager" attribute in the target system, which is linked to another user created in the target system.
  7. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se quita del ámbito (lo que incluye estar sin asignar), el servicio deshabilita al usuario en el sistema de destino mediante una actualización.If a user that was previously in scope for provisioning is removed from scope (including being unassigned), the service disables the user in the target system via an update.
  8. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se deshabilita o se elimina temporalmente en el sistema de origen, el servicio deshabilita al usuario en el sistema de destino mediante una actualización.If a user that was previously in scope for provisioning is disabled or soft-deleted in the source system, the service disables the user in the target system via an update.
  9. Si un usuario que estaba anteriormente en ámbito del aprovisionamiento se elimina permanentemente en el sistema de origen, el servicio elimina al usuario en el sistema de destino.If a user that was previously in scope for provisioning is hard-deleted in the source system, the service deletes the user in the target system. En Azure AD, los usuarios son eliminan permanentemente 30 días después de que están eliminados temporalmente.In Azure AD, users are hard-deleted 30 days after they're soft-deleted.
  10. Conservar una marca de agua nueva al final de la sincronización incremental, que proporciona el punto de partida para las sincronizaciones incrementales más adelante.Persist a new watermark at the end of the incremental sync, which provides the starting point for the later incremental syncs.

Nota

Opcionalmente, puede deshabilitar el crear, actualización, o eliminar las operaciones mediante la acciones del objeto de destino casillas de verificación en la Asignaciones sección.You can optionally disable the Create, Update, or Delete operations by using the Target object actions check boxes in the Mappings section. La lógica para deshabilitar un usuario durante una actualización también se controla mediante una asignación de atributos desde un campo como "accountEnabled".The logic to disable a user during an update is also controlled via an attribute mapping from a field such as "accountEnabled".

El servicio de aprovisionamiento sigue ejecutando sincronizaciones incrementales opuestas de forma indefinida, a intervalos definidos en el tutorial específica para cada aplicación, hasta que se produce uno de los siguientes eventos:The provisioning service continues running back-to-back incremental syncs indefinitely, at intervals defined in the tutorial specific to each application, until one of the following events occurs:

  • El servicio se detiene manualmente mediante Azure Portal o por medio del comando de Graph API adecuado.The service is manually stopped using the Azure portal, or using the appropriate Graph API command
  • Se desencadena una nueva sincronización inicial mediante la opción Clear state and restart (Borrar estado y reiniciar) de Azure Portal o por medio del comando de Graph API adecuado.A new initial sync is triggered using the Clear state and restart option in the Azure portal, or using the appropriate Graph API command. Esta acción borra cualquier marca de agua almacenada y hace que todos los objetos de origen se evalúen de nuevo.This action clears any stored watermark and causes all source objects to be evaluated again.
  • Se desencadena una nueva sincronización inicial debido a un cambio en las asignaciones de atributos o filtros de ámbito.A new initial sync is triggered because of a change in attribute mappings or scoping filters. Esta acción también borra cualquier marca de agua almacenada y hace que todos los objetos de origen se evalúen de nuevo.This action also clears any stored watermark and causes all source objects to be evaluated again.
  • El proceso de aprovisionamiento entra en cuarentena (ver abajo) debido a una alta tasa de errores y permanece en cuarentena durante más de cuatro semanas.The provisioning process goes into quarantine (see below) because of a high error rate, and stays in quarantine for more than four weeks. En este caso, el servicio se deshabilita automáticamente.In this event, the service will be automatically disabled.

Errores y reintentosErrors and retries

Si un usuario individual no se agrega, actualiza o elimina en el sistema de destino debido a un error en el sistema de destino, la operación se reintenta en el siguiente ciclo de sincronización.If an individual user can't be added, updated, or deleted in the target system because of an error in the target system, then the operation is retried in the next sync cycle. Si el error continúa, los reintentos comienzan a producirse según una frecuencia reducida y disminuyen gradualmente hasta un solo intento al día.If the user continues to fail, then the retries will begin to occur at a reduced frequency, gradually scaling back to just one attempt per day. Para resolver el error, los administradores deben comprobar la registros de auditoría de "custodia de proceso" eventos para determinar la raíz de la causa y realizar la acción apropiada.To resolve the failure, administrators must check the audit logs for "process escrow" events to determine the root cause and take the appropriate action. Algunos errores comunes son:Common failures can include:

  • Usuarios que no tienen relleno un atributo en el sistema de origen que es necesario en el sistema de destinoUsers not having an attribute populated in the source system that is required in the target system
  • Los usuarios que tienen un valor de atributo en el sistema de origen para el que hay una restricción unique en el sistema de destino y el mismo valor está presentes en otro registro de usuarioUsers having an attribute value in the source system for which there's a unique constraint in the target system, and the same value is present in another user record

Estos errores pueden resolverse mediante el ajuste de los valores de atributo del usuario afectado en el sistema de origen, o por medio del ajuste de las asignaciones de atributos para no provocar conflictos.These failures can be resolved by adjusting the attribute values for the affected user in the source system, or by adjusting the attribute mappings to not cause conflicts.

CuarentenaQuarantine

Si la mayoría o todas las llamadas realizadas en el sistema de destino de forma coherente de producir un error debido a un error (por ejemplo, las credenciales de administrador no válidas), a continuación, el trabajo de aprovisionamiento entra en un estado de "cuarentena".If most or all of the calls made against the target system consistently fail because of an error (such as for invalid admin credentials), then the provisioning job goes into a "quarantine" state. Este estado se indica en la informe resumen de aprovisionamiento y por correo electrónico si se han configurado las notificaciones de correo electrónico en el portal de Azure.This state is indicated in the provisioning summary report and via email if email notifications were configured in the Azure portal.

En cuarentena, la frecuencia de las sincronizaciones incrementales se reduce gradualmente a una vez al día.When in quarantine, the frequency of incremental syncs is gradually reduced to once per day.

El trabajo de aprovisionamiento se quitará de la cuarentena después de que se ha solucionado todos los errores causantes y se inicia el siguiente ciclo de sincronización.The provisioning job will be removed from quarantine after all of the offending errors are fixed and the next sync cycle starts. Si el trabajo de aprovisionamiento permanece en cuarentena durante más de cuatro semanas, se deshabilita.If the provisioning job stays in quarantine for more than four weeks, the provisioning job is disabled.

¿Cuánto tiempo se tarda en aprovisionar usuarios?How long will it take to provision users?

El rendimiento depende de si ejecuta el trabajo de aprovisionamiento de una sincronización inicial o una sincronización incremental.Performance depends on whether your provisioning job is running an initial sync or an incremental sync.

Para inicial se sincroniza, el tiempo de trabajo depende de muchos factores, incluido el número de usuarios y grupos en el ámbito de aprovisionamiento y el número total de usuarios y grupos en el sistema de origen.For initial syncs, the job time depends on many factors, including the number of users and groups in scope for provisioning, and the total number of users and group in the source system. En esta sección se indica más adelante una lista completa de factores que afectan al rendimiento inicial de la sincronización.A comprehensive list of factors that affect initial sync performance are summarized later in this section.

En cuanto a las sincronizaciones incrementales, el tiempo de trabajo depende del número de cambios detectados en ese ciclo de sincronización.For incremental syncs, the job time depends on the number of changes detected in that sync cycle. Si hay menos de 5000 cambios de pertenencia de un grupo o usuario, el trabajo puede finalizar dentro de un solo ciclo de sincronización incremental.If there are fewer than 5,000 user or group membership changes, the job can finish within a single incremental sync cycle.

En la siguiente tabla se resumen los tiempos de sincronización de escenarios comunes de aprovisionamiento.The following table summarizes synchronization times for common provisioning scenarios. En estos escenarios, el sistema de origen es Azure AD y el sistema de destino es una aplicación SaaS.In these scenarios, the source system is Azure AD and the target system is a SaaS application. Los tiempos de sincronización se derivan de un análisis estadístico de los trabajos de sincronización para las aplicaciones de SaaS Workplace, ServiceNow, Salesforce y G Suite.The sync times are derived from a statistical analysis of sync jobs for the SaaS applications ServiceNow, Workplace, Salesforce, and G Suite.

Configuración de ámbitoScope configuration Usuarios, grupos y miembros del ámbitoUsers, groups, and members in scope Hora de sincronización inicialInitial sync time Hora de sincronización incrementalIncremental sync time
Sincronizar solo los usuarios y grupos asignadosSync assigned users and groups only < 1000< 1,000 < 30 minutos< 30 minutes < 30 minutos< 30 minutes
Sincronizar solo los usuarios y grupos asignadosSync assigned users and groups only 1000 - 10.0001,000 - 10,000 142 - 708 minutos142 - 708 minutes < 30 minutos< 30 minutes
Sincronizar solo los usuarios y grupos asignadosSync assigned users and groups only 10.000 - 100.00010,000 - 100,000 1170 - 2340 minutos1,170 - 2,340 minutes < 30 minutos< 30 minutes
Sincronizar todos los usuarios y grupos en Azure ADSync all users and groups in Azure AD < 1000< 1,000 < 30 minutos< 30 minutes < 30 minutos< 30 minutes
Sincronizar todos los usuarios y grupos en Azure ADSync all users and groups in Azure AD 1000 - 10.0001,000 - 10,000 < 30 - 120 minutos< 30 - 120 minutes < 30 minutos< 30 minutes
Sincronizar todos los usuarios y grupos en Azure ADSync all users and groups in Azure AD 10.000 - 100.00010,000 - 100,000 713 - 1425 minutos713 - 1,425 minutes < 30 minutos< 30 minutes
Sincronizar todos usuarios en Azure ADSync all users in Azure AD < 1000< 1,000 < 30 minutos< 30 minutes < 30 minutos< 30 minutes
Sincronizar todos usuarios en Azure ADSync all users in Azure AD 1000 - 10.0001,000 - 10,000 43 - 86 minutos43 - 86 minutes < 30 minutos< 30 minutes

Para la configuración dedicada a sincronizar únicamente los usuarios y grupos asignados, puede usar las siguientes fórmulas para determinar aproximadamente las veces que se realiza la sincronización inicial mínima y máxima esperada:For the configuration Sync assigned user and groups only, you can use the following formulas to determine the approximate minimum and maximum expected initial sync times:

Minimum minutes =  0.01 x [Number of assigned users, groups, and group members]
Maximum minutes = 0.08 x [Number of assigned users, groups, and group members] 

Resumen de los factores que influyen en el tiempo que lleva completar una sincronización inicial:Summary of factors that influence the time it takes to complete an initial sync:

  • El número total de usuarios y grupos del ámbito para el aprovisionamiento.The total number of users and groups in scope for provisioning.

  • La cantidad total de usuarios, grupos y miembros del grupo presentes en el sistema de origen (Azure AD).The total number of users, groups, and group members present in the source system (Azure AD).

  • Si los usuarios en el ámbito de aprovisionamiento se vinculan con los usuarios existentes en la aplicación de destino, o deben crear por primera vez.Whether users in scope for provisioning are matched to existing users in the target application, or need to be created for the first time. Trabajos de sincronización para que todos los usuarios se crean por primera vez tardar aproximadamente doble de tiempo como para el que se buscan todos los usuarios a los usuarios existentes de trabajos de sincronización.Sync jobs for which all users are created for the first time take about twice as long as sync jobs for which all users are matched to existing users.

  • Número de errores en los registros de auditoría.Number of errors in the audit logs. El rendimiento es también menor si hay muchos errores y si el servicio de aprovisionamiento ha quedado en un estado de "cuarentena".Performance is slower if there are many errors and the provisioning service has gone into a quarantine state.

  • Solicitar los límites de velocidad y otras limitaciones que haya implementado el sistema de destino.Request rate limits and throttling implemented by the target system. Algunos sistemas de destino implementan límites de frecuencia de solicitud y la limitación, que puede afectar al rendimiento durante las operaciones de sincronización de gran tamaño.Some target systems implement request rate limits and throttling, which can impact performance during large sync operations. En estos casos, una aplicación que recibe demasiadas solicitudes demasiado rápido puede ralentizar su velocidad de respuesta o cerrar la conexión.Under these conditions, an app that receives too many requests too fast might slow its response rate or close the connection. Para mejorar el rendimiento, el conector debe ajustarse; para ello, no debe enviar las solicitudes de la aplicación más rápido de lo que la aplicación puede procesarlas.To improve performance, the connector needs to adjust by not sending the app requests faster than the app can process them. Los conectores de aprovisionamiento que ha compilado Microsoft hacen este ajuste.Provisioning connectors built by Microsoft make this adjustment.

  • La cantidad y el tamaño de los grupos asignados.The number and sizes of assigned groups. Sincronizar grupos asignados lleva más tiempo que sincronizar usuarios.Syncing assigned groups takes longer than syncing users. Tanto el número como los tamaños de los grupos asignados afectan al rendimiento.Both the number and the sizes of the assigned groups impact performance. Si una aplicación tiene asignaciones habilitadas para la sincronización de objetos de grupo, las propiedades del grupo, como los nombres y la pertenencia, se sincronizan además de los usuarios.If an application has mappings enabled for group object sync, group properties such as group names and memberships are synced in addition to users. Estas sincronizaciones adicionales tomarán más tiempo que solo la sincronización de objetos de usuario.These additional syncs will take longer than only syncing user objects.

¿Cómo puedo saber si los usuarios se aprovisionan correctamente?How can I tell if users are being provisioned properly?

Todas las operaciones que se ejecuta el servicio de aprovisionamiento de usuario se registran en Azure AD los registros de auditoría.All operations run by the user provisioning service are recorded in the Azure AD audit logs. Esto incluye todas las operaciones realizadas a los sistemas de origen y de destino y los datos de usuario que se leen o escritos durante cada operación de lectura y escritura.This includes all read and write operations made to the source and target systems, and the user data that was read or written during each operation.

Para obtener información sobre cómo leer los registros de auditoría en el portal de Azure, consulte el Guía de informes de aprovisionamiento.For information on how to read the audit logs in the Azure portal, see the provisioning reporting guide.

¿Cómo resolver problemas con el aprovisionamiento de usuarios?How do I troubleshoot issues with user provisioning?

Para ver instrucciones basadas en escenarios sobre cómo solucionar problemas de aprovisionamiento automático de usuarios, consulte Problemas al configurar y aprovisionar usuarios en una aplicación.For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

¿Cuáles son los procedimientos recomendados para la implementación del aprovisionamiento automático de usuarios?What are the best practices for rolling out automatic user provisioning?

Para obtener un ejemplo del plan de implementación detallado para el aprovisionamiento de usuarios saliente a una aplicación, consulte la guía de implementación de identidad para el aprovisionamiento de usuarios.For an example step-by-step deployment plan for outbound user provisioning to an application, see the Identity Deployment Guide for User Provisioning.

Preguntas más frecuentesMore frequently asked questions

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con usuarios de B2B en Azure AD?Does automatic user provisioning to SaaS apps work with B2B users in Azure AD?

Sí, es posible usar el aprovisionamiento de usuarios de servicio para aprovisionar B2B (o invitados) de Azure AD a aplicaciones SaaS de usuario de Azure AD.Yes, it's possible to use the Azure AD user provisioning service to provision B2B (or guest) users in Azure AD to SaaS applications.

Sin embargo, para que los usuarios de B2B iniciar sesión en la aplicación SaaS con Azure AD, la aplicación SaaS debe tener su basado en SAML único inicio de sesión capacidad configurada de forma específica.However, for B2B users to sign in to the SaaS application using Azure AD, the SaaS application must have its SAML-based single sign-on capability configured in a specific way. Para obtener más información sobre cómo configurar aplicaciones de SaaS para admitir inicios de sesión de los usuarios de B2B, consulte aplicaciones de SaaS configurar para la colaboración B2B.For more information on how to configure SaaS applications to support sign ins from B2B users, see Configure SaaS apps for B2B collaboration.

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con grupos dinámicos en Azure AD?Does automatic user provisioning to SaaS apps work with dynamic groups in Azure AD?

Sí.Yes. Cuando se configura en "Sincronizar solo asignada los usuarios y grupos", puede aprovisionar el servicio de aprovisionamiento de usuario de Azure AD o los usuarios de desaprovisionamiento de una aplicación SaaS en función de si se convierten en miembros de un grupo dinámico.When configured to "sync only assigned users and groups", the Azure AD user provisioning service can provision or de-provision users in a SaaS application based on whether they're members of a dynamic group. Los grupos dinámicos también funcionan con la opción "sincronizar todos los usuarios y grupos".Dynamic groups also work with the "sync all users and groups" option.

Sin embargo, el uso de grupos dinámicos puede afectar al rendimiento general del aprovisionamiento de usuarios de un extremo a otro desde Azure AD a las aplicaciones SaaS.However, usage of dynamic groups can impact the overall performance of end-to-end user provisioning from the Azure AD to SaaS applications. Al usar grupos dinámicos, tenga en cuenta estas observaciones y recomendaciones:When using dynamic groups, keep these caveats and recommendations in mind:

  • La velocidad con la se aprovisiona o desaprovisiona un usuario de un grupo dinámico en una aplicación SaaS depende de la rapidez con la que el grupo dinámico pueda evaluar los cambios de pertenencia.How fast a user in a dynamic group is provisioned or deprovisioned in a SaaS application depends on how fast the dynamic group can evaluate membership changes. Para obtener información acerca de cómo comprobar el estado de procesamiento de un grupo dinámico, consulte Comprobación del estado de procesamiento de una regla de pertenencia.For information on how to check the processing status of a dynamic group, see Check processing status for a membership rule.

  • Al usar grupos dinámicos, se deben considerar cuidadosamente las reglas de aprovisionamiento y Desaprovisionamiento de usuarios en mente, como una pérdida de los resultados de la pertenencia en un evento de cancelación del aprovisionamiento.When using dynamic groups, the rules must be carefully considered with user provisioning and de-provisioning in mind, as a loss of membership results in a deprovisioning event.

¿Funciona el aprovisionamiento automático de usuarios para aplicaciones SaaS con grupos anidados en Azure AD?Does automatic user provisioning to SaaS apps work with nested groups in Azure AD?

No.No. Cuando se configura en "Sincronizar solo asignada los usuarios y grupos", el servicio de aprovisionamiento de usuario de Azure AD no puede leer ni aprovisionar los usuarios que están en grupos anidados.When configured to "sync only assigned users and groups", the Azure AD user provisioning service isn't able to read or provision users that are in nested groups. Solo es capaz de leer y aprovisionamiento de usuarios que son miembros inmediatos del grupo asignado explícitamente.It's only able to read and provision users that are immediate members of the explicitly assigned group.

Esta es una limitación de las "asignaciones basadas en grupos a aplicaciones" que también afecta al inicio de sesión único y se describe en Uso de un grupo para administrar el acceso a aplicaciones SaaS.This is a limitation of "group-based assignments to applications", which also affects single sign-on and is described in Using a group to manage access to SaaS applications.

Como alternativa, debe asignar explícitamente (o de otro modo definir el ámbito en) los grupos que contienen los usuarios que necesiten aprovisionarse.As a workaround, you should explicitly assign (or otherwise scope in) the groups that contain the users who need to be provisioned.

¿Se está aprovisionando entre Azure AD y una aplicación de destino mediante un canal cifrado?Is provisioning between Azure AD and a target application using an encrypted channel?

Sí.Yes. Se usa el cifrado SSL de HTTPS para el destino de servidor.We use HTTPS SSL encryption for the server target.