Planeamiento de una implementación del aprovisionamiento automático de usuariosPlan an automatic user provisioning deployment

Muchas organizaciones confían en aplicaciones de software como servicio (SaaS) como ServiceNow, Zscaler y Slack para la productividad del usuario final.Many organizations rely on software as a service (SaaS) applications such as ServiceNow, Zscaler, and Slack for end-user productivity. Históricamente, el personal de TI ha confiado en métodos de aprovisionamiento manual, como la carga de archivos .csv o el uso de scripts personalizados para administrar de manera segura identidades de usuario en cada aplicación SaaS.Historically IT staff have relied on manual provisioning methods such as uploading CSV files, or using custom scripts to securely manage user identities in each SaaS application. Estos procesos son propensos a errores, inseguros y difíciles de administrar.These processes are error prone, insecure, and hard to manage.

El aprovisionamiento automático de usuarios de Azure Active Directory (Azure AD) simplifica este proceso mediante la automatización segura de la creación, el mantenimiento y la eliminación de las identidades de usuarios en aplicaciones SaaS basadas en reglas de negocio.Azure Active Directory (Azure AD) automatic user provisioning simplifies this process by securely automating the creation, maintenance, and removal of user identities in SaaS applications based on business rules. Esta automatización permite escalar de manera eficaz los sistemas de administración de identidades en entornos híbridos y solo en la nube a medida que se extiende su dependencia de soluciones basadas en la nube.This automation allows you to effectively scale your identity management systems on both cloud-only and hybrid environments as you expand their dependency on cloud-based solutions.

Consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Azure Active Directory para comprender mejor la funcionalidad.See Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory to better understand the functionality.

Obtener informaciónLearn

El aprovisionamiento de usuarios crea las bases de una gobernanza continua de identidades y mejora la calidad de los procesos de negocio que se basan en datos de identidades fidedignos.User provisioning creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data.

Ventajas principalesKey benefits

Las ventajas principales de habilitar el aprovisionamiento automático de usuarios son:The key benefits of enabling automatic user provisioning are:

  • Mayor productividad.Increased productivity. Puede administrar las identidades de usuario en las distintas aplicaciones SaaS con una interfaz de administración de aprovisionamiento de usuarios única.You can manage user identities across SaaS applications with a single user provisioning management interface. Esta interfaz tiene un solo conjunto de directivas de aprovisionamiento.This interface has a single set of provisioning policies.

  • Administración de los riesgos.Manage risk. Para aumentar la seguridad, puede automatizar los cambios en función del estado de los empleados o de las pertenencias a grupos que definen los roles o el acceso.You can increase security by automating changes based on employee status or group memberships that define roles and/or access.

  • Solución para el cumplimiento y la gobernanza.Address compliance and governance. Azure AD admite registros de auditoría nativos para cada solicitud de aprovisionamiento de usuarios.Azure AD supports native audit logs for every user provisioning request. Las solicitudes se ejecutan en los sistemas de origen y de destino.Requests are executed in both the source and target systems. Esto le permite realizar un seguimiento de quién tiene acceso a las aplicaciones desde una sola pantalla.This enables you to track who has access to applications from a single screen.

  • Reducción del costo.Reduce cost. El aprovisionamiento automático de usuarios reduce los costos al evitar ineficiencias y errores humanos asociados con el aprovisionamiento manual.Automatic user provisioning reduces costs by avoiding inefficiencies and human error associated with manual provisioning. Disminuye la necesidad de registros de auditoría, scripts y soluciones de aprovisionamiento de usuarios desarrollados de manera personalizada.It reduces the need for custom-developed user provisioning solutions, scripts, and audit logs.

LicenciasLicensing

Azure AD ofrece la integración de autoservicio de cualquier aplicación mediante las plantillas que se proporcionan en el menú de la galería de aplicaciones.Azure AD provides self-service integration of any application using templates provided in the application gallery menu. Para una lista completa de los requisitos de licencia, consulte la página de licencias de Azure AD.For a full list of license requirements, see Azure AD licensing page.

Licencias de aplicacionesApplication licensing

Necesitará las licencias adecuadas para las aplicaciones que quiera aprovisionar de manera automática.You'll need the appropriate licenses for the application(s) you want to automatically provision. Hable con los propietarios de la aplicación para saber los usuarios asignados a la aplicación tienen las licencias adecuadas para sus roles de aplicación.Discuss with the application owners whether the users assigned to the application have the proper licenses for their application roles. Si Azure AD administra el aprovisionamiento automático basado en roles, los roles asignados en Azure AD deben alinearse con las licencias de aplicación.If Azure AD manages automatic provisioning based on roles, the roles assigned in Azure AD must align to application licenses. Las licencias incorrectas que se poseen en la aplicación pueden dar lugar a errores durante el aprovisionamiento o la actualización de un usuario.Incorrect licenses owned in the application may lead to errors during the provisioning/updating of a user.

TérminosTerms

En este artículo se usan los términos siguientes:This article uses the following terms:

  • Operaciones CRUD: acciones realizadas en las cuentas de usuario: Crear, leer, actualizar, eliminar.CRUD operations - Actions taken on user accounts: Create, Read, Update, Delete.

  • Inicio de sesión único (SSO): la capacidad de un usuario de iniciar sesión una vez y acceder a todas las aplicaciones habilitadas para SSO.Single sign-on (SSO) - The ability for a user to sign-on once and access all SSO enabled applications. En el contexto del aprovisionamiento de usuarios, SSO es el resultado de que los usuarios tengan una cuenta única para acceder a todos los sistemas que usan el aprovisionamiento automático de usuarios.In the context of user provisioning, SSO is a result of users having a single account to access all systems that use automatic user provisioning.

  • Sistema de origen: el repositorio de los usuarios desde donde se aprovisiona Azure AD.Source system - The repository of users that the Azure AD provisions from. Azure AD es el sistema de origen para la mayoría de los conectores de aprovisionamiento integrados previamente.Azure AD is the source system for most pre-integrated provisioning connectors. Sin embargo, hay algunas excepciones para las aplicaciones en la nube, como SAP, WorkDay y AWS.However, there are some exceptions for cloud applications such as SAP, Workday, and AWS. Por ejemplo, consulte el aprovisionamiento de usuarios de WorkDay a AD.For example, see User provisioning from Workday to AD.

  • Sistema de destino: el repositorio de los usuarios hacia donde se aprovisiona Azure AD.Target system - The repository of users that the Azure AD provisions to. Por lo general, el sistema de destino es una aplicación SaaS como ServiceNow, Zscaler y Slack.The Target system is typically a SaaS application such as ServiceNow, Zscaler, and Slack. El sistema de destino también puede ser un sistema local, como AD.The target system can also be an on-premises system such as AD.

  • Sistema para la administración de identidades entre dominios (SCIM): un estándar abierto que permite la automatización del aprovisionamiento de usuarios.System for Cross-domain Identity Management (SCIM) - An open standard that allows for the automation of user provisioning. SCIM comunica datos de identidades de usuario entre proveedores de identidades, como Microsoft, y proveedores de servicios como Salesforce u otras aplicaciones SaaS que requieren información de identidad de usuario.SCIM communicates user identity data between identity providers such as Microsoft, and service providers like Salesforce or other SaaS apps that require user identity information.

Recursos de aprendizajeTraining resources

RecursosResources Vínculo y descripciónLink and Description
Seminarios web a peticiónOn-demand webinars Administración de aplicaciones empresariales con Azure ADManage your Enterprise Applications with Azure AD
‎Obtenga información sobre cómo Azure AD puede ayudarlo a lograr SSO a las aplicaciones SaaS empresariales y procedimientos recomendados para controlar el acceso.‎Learn how Azure AD can help you achieve SSO to your enterprise SaaS applications and best practices for controlling access.
VídeosVideos ¿Qué es el aprovisionamiento de usuarios en Active Azure Directory?What is user provisioning in Active Azure Directory?
¿Cómo implementar el aprovisionamiento de usuarios en Azure Active Directory?How to deploy user provisioning in Active Azure Directory?
Integración de Salesforce con Azure AD: automatización del aprovisionamiento de usuariosIntegrating Salesforce with Azure AD: How to automate User Provisioning
Cursos en líneaOnline courses SkillUp Online: Administración de identidadesSkillUp Online: Managing Identities
Obtenga información sobre cómo integrar Azure AD con muchas aplicaciones SaaS y proteger el acceso del usuario a esas aplicaciones.Learn how to integrate Azure AD with many SaaS applications and to secure user access to those applications.
LibrosBooks Modern Authentication with Azure Active Directory for Web Applications (Developer Reference) (Autenticación remota con Azure Active Directory para aplicaciones web [referencia para desarrolladores]), primera edición.Modern Authentication with Azure Active Directory for Web Applications (Developer Reference) 1st Edition.
‎Se trata de una guía autoritativa y profunda sobre cómo compilar soluciones de autenticación de Active Directory para estos entornos nuevos.‎This is an authoritative, deep-dive guide to building Active Directory authentication solutions for these new environments.
TutorialesTutorials Consulte la lista de tutoriales sobre cómo integrar aplicaciones SaaS con Azure AD.See the list of tutorials on how to integrate SaaS apps with Azure AD.
Preguntas más frecuentesFAQ Preguntas más frecuentes sobre el aprovisionamiento automatizado de usuariosFrequently asked questions on automated user provisioning

Arquitecturas de las solucionesSolution architectures

El servicio de aprovisionamiento de Azure AD aprovisiona usuarios para las aplicaciones SaaS y otros sistemas mediante la conexión de los puntos de conexión de la API de administración de usuarios que proporciona el proveedor de cada aplicación.The Azure AD provisioning service provisions users to SaaS apps and other systems by connecting to user management API endpoints provided by each application vendor. Estos puntos de conexión de la API de administración de usuarios permiten a Azure AD crear, actualizar y quitar usuarios mediante programación.These user management API endpoints allow Azure AD to programmatically create, update, and remove users.

Aprovisionamiento automático de usuarios para empresas híbridasAutomatic user provisioning for hybrid enterprises

En este ejemplo, los usuarios y los grupos se crean en una base de datos de recursos humanos conectada a un directorio local.In this example, users and or groups are created in an HR database connected to an on-premises directory. El servicio de aprovisionamiento de Azure AD administra el aprovisionamiento automático de usuarios en las aplicaciones SaaS de destino.The Azure AD provisioning service manages automatic user provisioning to the target SaaS applications.

aprovisionamiento de usuarios

Descripción del flujo de trabajo:Description of workflow:

  1. Los usuarios o grupos se crean en un sistema o aplicación de recursos humanos local, como SAP.Users/groups are created in an on-premises HR application/system, such as SAP.

  2. El agente de Azure AD Connect ejecuta sincronizaciones programadas de identidades (usuarios y grupos) desde la instancia de AD local a Azure AD.Azure AD Connect agent runs scheduled synchronizations of identities (users and groups) from the local AD to Azure AD.

  3. El servicio de aprovisionamiento de Azure AD comienza un ciclo inicial en el sistema de origen y el sistema de destino.Azure AD provisioning service begins an initial cycle against the source system and target system.

  4. El servicio de aprovisionamiento de Azure AD consulta el sistema de origen para saber si algún usuario o grupo cambió desde el ciclo inicial y envía los cambios en ciclos incrementales.Azure AD provisioning service queries the source system for any users and groups changed since the initial cycle, and pushes changes in incremental cycles.

Aprovisionamiento automático de usuarios para empresas solo en la nubeAutomatic user provisioning for cloud-only enterprises

En este ejemplo, la creación de usuarios se produce en Azure AD y el servicio de aprovisionamiento de Azure AD administra el aprovisionamiento automático de usuarios en las aplicaciones de destino (SaaS).In this example, user creation occurs in Azure AD and the Azure AD provisioning service manages automatic user provisioning to the target (SaaS) applications.

Diagrama que muestra el proceso de creación de usuarios o grupos desde una aplicación de RR. HH. local a través del servicio de aprovisionamiento de Azure AD a las aplicaciones SaaS de destino.

Descripción del flujo de trabajo:Description of workflow:

  1. Los usuarios o grupos se crean en Azure AD.Users/groups are created in Azure AD.

  2. El servicio de aprovisionamiento de Azure AD comienza un ciclo inicial en el sistema de origen y el sistema de destino.Azure AD provisioning service begins an initial cycle against the source system and target system.

  3. El servicio de aprovisionamiento de Azure AD consulta el sistema de origen para saber si algún usuario o grupo se actualizó desde el ciclo inicial y realiza cualquier ciclo incremental.Azure AD provisioning service queries the source system for any users and groups updated since the initial cycle, and performs any incremental cycles.

Aprovisionamiento automático de usuarios para aplicaciones de recursos humanos en la nubeAutomatic user provisioning for cloud HR applications

En este ejemplo, los usuarios o grupos se crean en una aplicación de recursos humanos en la nube, como Workday y SuccessFactors.In this example, the users and or groups are created in a cloud HR application like such as Workday and SuccessFactors. El servicio de aprovisionamiento de Azure AD y el agente de aprovisionamiento de Azure AD Connect aprovisionan los datos de los usuarios desde el inquilino de la aplicación de recursos humanos en la nube en AD.The Azure AD provisioning service and Azure AD Connect provisioning agent provisions the user data from the cloud HR app tenant into AD. Una vez que se actualizan las cuentas en AD, se realiza la sincronización con Azure AD a través de Azure AD Connect, y los atributos de dirección de correo electrónico y nombre de usuario se pueden volver a escribir en el inquilino de la aplicación de recursos humanos en la nube.Once the accounts are updated in AD, it is synced with Azure AD through Azure AD Connect, and the email addresses and username attributes can be written back to the cloud HR app tenant.

Imagen 2

  1. El equipo de recursos humanos realiza las transacciones en el inquilino de la aplicación de RR. HH. en la nube.HR team performs the transactions in the cloud HR app tenant.
  2. Servicio de aprovisionamiento de Azure AD ejecuta los ciclos programados desde el inquilino de la aplicación de RR. HH. en la nube e identifica los cambios que deben procesarse para la sincronización con AD.Azure AD provisioning service runs the scheduled cycles from the cloud HR app tenant and identifies changes that need to be processed for sync with AD.
  3. El servicio de aprovisionamiento de Azure AD invoca al agente de aprovisionamiento de Azure AD Connect con una carga de solicitud que contiene las operaciones de creación, actualización, habilitación o deshabilitación de las cuentas de AD.Azure AD provisioning service invokes the Azure AD Connect provisioning agent with a request payload containing AD account create/update/enable/disable operations.
  4. El agente de aprovisionamiento de Azure AD Connect usa una cuenta de servicio para administrar los datos de la cuenta de AD.Azure AD Connect provisioning agent uses a service account to manage AD account data.
  5. Azure AD Connect ejecuta una sincronización diferencial para extraer las actualizaciones de AD.Azure AD Connect runs delta sync to pull updates in AD.
  6. Las actualizaciones de AD se sincronizan con Azure AD.AD updates are synced with Azure AD.
  7. El servicio de aprovisionamiento de Azure AD reescribe el atributo de correo electrónico y el nombre de usuario de Azure AD en el inquilino de la aplicación de RR. HH. en la nube.Azure AD provisioning service writebacks email attribute and username from Azure AD to the cloud HR app tenant.

Planeamiento del proyecto de implementaciónPlan the deployment project

Tenga en cuenta las necesidades de su organización para determinar la estrategia de implementación del aprovisionamiento de usuarios en el entorno.Consider your organizational needs to determine the strategy for deploying user provisioning in your environment.

Interactuar con las partes interesadas adecuadasEngage the right stakeholders

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades.When technology projects fail, it's typically because of mismatched expectations on impact, outcomes, and responsibilities. Para evitar estos problemas, asegúrese de involucrar a las partes interesadas correctas y que los roles de las partes interesadas en el proyecto se entiendan bien; para ello, documente las partes interesadas y sus aportes y responsabilidades en el proyecto.To avoid these pitfalls, ensure you're engaging the right stakeholders and that stakeholder roles in the project are well understood by documenting the stakeholders and their project input and accountabilities.

Planeamiento de las comunicacionesPlan communications

La comunicación es fundamental para el éxito de cualquier servicio nuevo.Communication is critical to the success of any new service. Comunique de forma proactiva a los usuarios cómo y cuándo va a cambiar su experiencia, y cómo obtener soporte técnico si tienen cualquier problema.Proactively communicate with your users how their experience will change, when it will change, and how to gain support if they experience issues.

Planeamiento de un pilotoPlan a pilot

Se recomienda que la configuración inicial del aprovisionamiento automático de usuarios esté en un entorno de prueba con un subconjunto de usuarios pequeño antes de escalarla a todos los usuarios de producción.We recommend that the initial configuration of automatic user provisioning be in a test environment with a small subset of users before scaling it to all users in production. Vea los procedimientos recomendados para ejecutar un piloto.See best practices for running a pilot.

Procedimientos recomendados para un pilotoBest practices for a pilot

Un piloto le permite probar con un grupo pequeño antes de implementar una funcionalidad para todos.A pilot allows you to test with a small group before deploying a capability for everyone. Asegúrese de que, como parte de sus pruebas, cada caso de uso de su organización se prueba de forma exhaustiva.Ensure that as part of your testing, each use case within your organization is thoroughly tested.

En su primera oleada, TI de destino, facilidad de uso y otros usuarios adecuados que pueden probar y proporcionar comentarios.In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. Use estos comentarios para desarrollar aún más las comunicaciones e instrucciones que envía a sus usuarios y proporcionarles información sobre los tipos de problemas que puede ver su personal de soporte técnico.Use this feedback to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

Amplíe la implementación en grupos de usuarios más grandes mediante el aumento del ámbito de los grupos objetivo.Widen the rollout to larger groups of users by increasing the scope of the group(s) targeted. Esto puede hacerse a través de la pertenencia dinámica a grupos o agregando usuarios manualmente a los grupos objetivo.This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

Planeamiento de la administración y conexiones de aplicaciónPlan application connections and administration

Use el portal de Azure AD para ver y administrar todas las aplicaciones que admiten el aprovisionamiento.Use the Azure AD portal to view and manage all the applications that support provisioning. Consulte Búsqueda de aplicaciones en el portal.See Finding your apps in the portal.

Determine el tipo de conector que se va a usarDetermine the type of connector to use

Los pasos que son necesarios para habilitar y configurar el aprovisionamiento automático varían según la aplicación.The actual steps required to enable and configure automatic provisioning vary depending on the application. Si la aplicación que quiere aprovisionar automáticamente aparece en la galería de aplicaciones SaaS de Azure AD, debe seleccionar el tutorial de integración específico para la aplicación para configurar el conector de aprovisionamiento de usuarios integrado previamente.If the application you wish to automatically provision is listed in the Azure AD SaaS app gallery, then you should select the app-specific integration tutorial to configure its pre-integrated user provisioning connector.

Si no es así, siga estos pasos:If not, follow the steps below:

  1. Cree una solicitud para un conector de aprovisionamiento de usuarios integrado previamente.Create a request for a pre-integrated user provisioning connector. Nuestro equipo trabajará con usted y con el desarrollador de la aplicación para incorporar la aplicación a nuestra plataforma si es compatible con SCIM.Our team will work with you and the application developer to onboard your application to our platform if it supports SCIM.

  2. Use la compatibilidad con el aprovisionamiento genérico de usuarios BYOA SCIM de la aplicación.Use the BYOA SCIM generic user provisioning support for the app. Este es un requisito de Azure AD para aprovisionar usuarios en la aplicación sin un conector de aprovisionamiento integrado previamente.This is a requirement for Azure AD to provision users to the app without a pre-integrated provisioning connector.

  3. Si la aplicación puede usar el conector BYOA SCIM, consulte el tutorial de integración de BYOA SCIM para configurar el conector para la aplicación.If the application is able to utilize the BYOA SCIM connector, then refer to BYOA SCIM integration tutorial to configure the BYOA SCIM connector for the application.

Para más información, consulte ¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Azure AD?For more information, see What applications and systems can I use with Azure AD automatic user provisioning?

Recopilación de información para autorizar el acceso a la aplicaciónCollect information to authorize application access

La configuración del aprovisionamiento automático de usuarios es un proceso por aplicación.Setting up automatic user provisioning is a per-application process. Para cada aplicación, necesita proporcionar credenciales de administrador para conectarse al punto de conexión del usuario del sistema de destino.For each application, you need to provide administrator credentials to connect to the target system’s user management endpoint.

En la imagen siguiente muestra una versión de las credenciales de administración necesarias:The image below shows one version of the required admin credentials:

Pantalla Aprovisionamiento para administrar la configuración del aprovisionamiento de cuentas de usuario

Si bien algunas aplicaciones requieren la contraseña y el nombre de usuario del administrador, es posible que otras necesiten un token de portador.While some applications require the admin username and password, others may require a bearer token.

Planeamiento del aprovisionamiento de usuarios y gruposPlan user and group provisioning

Si habilita el aprovisionamiento de usuarios para aplicaciones empresariales, Azure Portal controla sus valores de atributos a través de la asignación de atributos.If you enable user provisioning for enterprise apps, the Azure portal controls its attribute values through attribute mapping.

Determinación de las operaciones para cada aplicación SaaSDetermine operations for each SaaS app

Cada aplicación puede tener atributos de usuario o de grupo únicos que deben asignarse a los atributos de Azure AD.Each application may have unique user or group attributes that must be mapped to the attributes in your Azure AD. La aplicación puede tener solo un subconjunto de las operaciones CRUD disponibles.Application may have only a subset of CRUD operations available.

Para cada aplicación, documente la información siguiente:For each application, document the following information:

  • Las operaciones CRUD de aprovisionamiento que se realizarán en los objetos de usuario o grupo para los sistemas de destino.CRUD provisioning operations to be performed on the user and or Group objects for the target systems. Por ejemplo, es posible que cada propietario de empresa de una aplicación SaaS no quiera todas las operaciones posibles.For example, each SaaS app business owner may not want all possible operations.

  • Atributos disponibles en el sistema de origenAttributes available in the source system

  • Atributos disponibles en el sistema de destinoAttributes available in the target system

  • Asignación de los atributos entre sistemas.Mapping of attributes between systems.

Elección de usuarios y grupos que se van a aprovisionarChoose which users and groups to provision

Antes de implementar el aprovisionamiento automático de usuarios, debe determinar los usuarios y grupos que se aprovisionarán en la aplicación.Before implementing automatic user provisioning, you must determine the users and groups to be provisioned to your application.

Definición de la asignación de atributos de usuario y grupoDefine user and group attribute mapping

Para implementar el aprovisionamiento automático de usuarios, debe definir los atributos de usuario y grupo necesarios para la aplicación.To implement automatic user provisioning, you need to define the user and group attributes that are needed for the application. Hay un conjunto preconfigurado de atributos y asignaciones de atributos entre los objetos de usuario de Azure AD y los objetos de usuario de cada aplicación SaaS.There's a pre-configured set of attributes and attribute-mappings between Azure AD user objects, and each SaaS application’s user objects. No todas las aplicaciones SaaS habilitan atributos de grupo.Not all SaaS apps enable group attributes.

Azure AD admite la asignación de atributo a atributo directa, lo que proporciona valores constantes o permite escribir expresiones para asignaciones de atributos.Azure AD supports by direct attribute-to-attribute mapping, providing constant values, or writing expressions for attribute mappings. Esta flexibilidad le brinda un control preciso de lo que se rellenará en el atributo del sistema de destino.This flexibility gives you fine control of what will be populated in the targeted system's attribute. Puede usar Microsoft Graph API y Probador de Graph para exportar el esquema y las asignaciones de atributos de aprovisionamiento de usuarios a un archivo JSON e importarlos de nuevo en Azure AD.You can use Microsoft Graph API and Graph Explorer to export your user provisioning attribute mappings and schema to a JSON file and import it back into Azure AD.

Para más información, consulte Personalización de asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Azure Active Directory de usuarios.For more information, see Customizing User Provisioning Attribute-Mappings for SaaS Applications in Azure Active Directory.

Consideraciones especiales para el aprovisionamiento de usuariosSpecial considerations for user provisioning

Tenga en cuenta lo siguiente para disminuir los problemas posteriores a la implementación:Consider the following to reduce issues post-deployment:

  • Asegúrese de que los atributos usados para asignar objetos de usuario o grupo entre las aplicaciones de origen y de destino sean resistentes.Ensure that the attributes used to map user/group objects between source and target applications are resilient. No deberían hacer que los usuarios o grupos se aprovisionen de manera incorrecta si los atributos cambian (por ejemplo, un usuario se mueve a otra parte de la empresa).They shouldn't cause users/groups to be provisioned incorrectly if the attributes change (for example, a user moves to a different part of the company).

  • Las aplicaciones pueden tener restricciones o requisitos específicos que deben cumplirse para que el aprovisionamiento de usuarios funcione correctamente.Applications may have specific restrictions and/or requirements that need to be met for user provisioning to work correctly. Por ejemplo, Slack trunca los valores de ciertos atributos.For example, Slack truncates values for certain attributes. Consulte los tutoriales de aprovisionamiento automático de usuarios específicos para cada aplicación.Refer to automatic user provisioning tutorials specific to each application.

  • Confirme la coherencia del esquema entre los sistemas de origen y de destino.Confirm schema consistency between source and target systems. Entre los problemas comunes se incluyen atributos como UPN o correo que no coinciden.Common issues include attributes such as UPN or mail not matching. Por ejemplo, UPN en Azure AD se establece como john_smith@contoso.com y en la aplicación, es jsmith@contoso.com .For example, UPN in Azure AD set as john_smith@contoso.com and in the app, it's jsmith@contoso.com. Para más información, consulte la referencia del esquema de usuario y grupo.For more information, see The User and group schema reference.

Planeamiento de pruebas y seguridadPlan testing and security

En cada fase de la implementación, asegúrese de que está probando que los resultados son los esperados y auditando los ciclos de aprovisionamiento.At each stage of your deployment ensure that you’re testing that results are as expected, and auditing the provisioning cycles.

Planeamiento de pruebasPlan testing

Una vez que haya configurado el aprovisionamiento automático de usuarios para la aplicación, ejecutará casos de prueba para comprobar que esta solución cumple con los requisitos de su organización.Once you have configured automatic user provisioning for the application, you'll run test cases to verify this solution meets your organization’s requirements.

EscenariosScenarios Resultados esperadosExpected results
El usuario se agrega a un grupo asignado al sistema de destinoUser is added to a group assigned to the target system El objeto de usuario se aprovisiona en el sistema de destino.User object is provisioned in target system.
El usuario puede iniciar sesión en el sistema de destino y realizar las acciones deseadas.User can sign-in to target system and perform the desired actions.
El usuario se quita de un grupo asignado al sistema de destinoUser is removed from a group that is assigned to target system El objeto de usuario se desaprovisiona en el sistema de destino.User object is deprovisioned in the target system.
El usuario no puede iniciar sesión en el sistema de destino.User can't sign-in to target system.
La información de usuario se actualiza en Azure AD con cualquier métodoUser information is updated in Azure AD by any method Los atributos de usuario actualizados se reflejan en el sistema de destino después de un ciclo incremental.Updated user attributes are reflected in target system after an incremental cycle
El usuario está fuera del ámbitoUser is out of scope El objeto de usuario está deshabilitado o eliminado.User object is disabled or deleted.
Nota: Este comportamiento se invalida para el aprovisionamiento de Workday.Note: This behavior is overridden for Workday provisioning.

Planeamiento de seguridadPlan security

Es habitual que se requiera una revisión de seguridad como parte de una implementación.It's common for a security review to be required as part of a deployment. Si necesita una revisión de seguridad, consulte las muchas notas del producto de Azure AD que proporcionan información general sobre la identidad como servicio.If you require a security review, see the many Azure AD whitepapers that provides an overview for identity as a service.

Planeamiento de la reversiónPlan rollback

Si la implementación del aprovisionamiento automático de usuarios no funciona como se desea en el entorno de producción, los pasos de reversión siguientes pueden ayudarlo a revertir a un estado correcto conocido anterior:If the automatic user provisioning implementation fails to work as desired in the production environment, the following rollback steps below can assist you in reverting to a previous known good state:

  1. Revise el informe de resumen de aprovisionamiento y los registros de aprovisionamiento para determine qué operaciones incorrectas se produjeron en los usuarios o grupos afectados.Review the provisioning summary report and provisioning logs to determine what incorrect operations occurred on the affected users and/or groups.

  2. Use los registros de auditoría del aprovisionamiento para determinar el último estado correcto conocido de los usuarios o grupos afectados.Use provisioning audit logs to determine the last known good state of the users and/or groups affected. Revise también los sistemas de origen (Azure AD o AD).Also review the source systems (Azure AD or AD).

  3. Trabaje con el propietario de la aplicación para actualizar los usuarios o grupos afectados directamente en la aplicación con los últimos valores de estado correctos conocidos.Work with the application owner to update the users and/or groups affected directly in the application using the last known good state values.

Implementación del servicio de aprovisionamiento automático de usuariosDeploy automatic user provisioning service

Elija los pasos que se ajusten a los requisitos de la solución.Choose the steps that align to your solution requirements.

Preparación del ciclo inicialPrepare for the initial cycle

Cuando el servicio de aprovisionamiento de Azure AD se ejecuta por primera vez, el ciclo inicial en el sistema de origen y el sistema de destino crea una instantánea de todos los objetos de usuario para cada sistema de destino.When the Azure AD provisioning service runs for the first time, the initial cycle against the source system and target systems creates a snapshot of all user objects for each target system.

Al habilitar el aprovisionamiento automático para una aplicación, el ciclo inicial puede tardar desde 20 minutos a varias horas.When enabling automatic provisioning for an application, the initial cycle can take anywhere from 20 minutes to several hours. La duración depende del tamaño del directorio de Azure AD y el número de usuarios en el ámbito del aprovisionamiento.The duration depends on the size of the Azure AD directory and the number of users in scope for provisioning.

El servicio de aprovisionamiento almacena el estado de ambos sistemas después del ciclo inicial, lo que permite mejorar el rendimiento de los ciclos incrementales siguientes.The provisioning service stores the state of both systems after the initial cycle, improving performance of subsequent incremental cycles.

Configuración del aprovisionamiento automático de usuariosConfigure automatic user provisioning

Use Azure Portal para administrar el aprovisionamiento y el desaprovisionamiento automáticos de cuentas de usuario en aplicaciones que lo admitan.Use the Azure portal to manage automatic user account provisioning and de-provisioning for applications that support it. Siga los pasos que aparecen en ¿Cómo configuro el aprovisionamiento automático para una aplicación?Follow the steps in How do I set up automatic provisioning to an application?

El servicio de aprovisionamiento de usuarios de Azure AD también se puede configurar y administrar mediante Microsoft Graph API.The Azure AD user provisioning service can also be configured and managed using the Microsoft Graph API.

Administración del aprovisionamiento automático de usuariosManage automatic user provisioning

Ahora que realizó la implementación, es necesario administrar la solución.Now that you've deployed, you need to manage the solution.

Supervisión del estado de las operaciones de aprovisionamiento de usuariosMonitor user provisioning operation health

Después de un ciclo inicial exitoso, el servicio de aprovisionamiento de Azure AD ejecutará actualizaciones incrementales de manera indefinida, a intervalos específicos para cada aplicación, hasta que se produce alguno de estos eventos:After a successful initial cycle, the Azure AD provisioning service will run incremental updates indefinitely, at intervals specific to each application, until one of the following events occurs:

  • El servicio se detiene de manera manual y se desencadena un ciclo inicial nuevo mediante Azure Portal o con el comando adecuado de Microsoft Graph API.The service is manually stopped, and a new initial cycle is triggered using the Azure portal, or using the appropriate Microsoft Graph API command.

  • Se desencadena un nuevo ciclo inicial debido a un cambio en las asignaciones de atributos o los filtros de ámbito.A new initial cycle is triggered by a change in attribute mappings or scoping filters.

  • El proceso de aprovisionamiento entra en cuarentena debido a una alta tasa de errores y permanece en ese estado durante más de cuatro semanas, cuando se deshabilitará automáticamente.The provisioning process goes into quarantine due to a high error rate and stays in quarantine for more than four weeks when it will be automatically disabled.

Para revisar estos eventos y todas las demás actividades realizadas por el servicio de aprovisionamiento, consulte los registros de aprovisionamiento de Azure AD.To review these events, and all other activities performed by the provisioning service, refer to Azure AD provisioning logs.

Para saber cuánto tiempo tardan los ciclos de aprovisionamiento y supervisar el progreso del trabajo de aprovisionamiento, puede comprobar el estado de aprovisionamiento de usuarios.To understand how long the provisioning cycles take and monitor the progress of the provisioning job, you can check the status of user provisioning.

Obtención de información a partir de los datosGain insights from reports

Azure AD puede proporcionar información adicional sobre el uso del aprovisionamiento de usuarios y el estado operativo mediante registros de auditoría e informes.Azure AD can provide additional insights into your organization’s user provisioning usage and operational health through audit logs and reports.

Los administradores deben comprobar el informe de resumen del aprovisionamiento para supervisar el estado operativo del trabajo de aprovisionamiento.Admins should check the provisioning summary report to monitor the operational health of the provisioning job. Todas las actividades realizadas por el servicio de aprovisionamiento se registran en los registros de aprovisionamiento de Azure AD.All activities performed by the provisioning service are recorded in the Azure AD audit logs. Consulte Tutorial: Creación de informes sobre el aprovisionamiento automático de cuentas de usuario.See Tutorial: Reporting on automatic user account provisioning.

Se recomienda asumir la propiedad de estos informes y consumirlos según una cadencia que cumpla con los requisitos de la organización.We recommend that you assume ownership of and consume these reports on a cadence that meets your organization’s requirements. Azure AD conserva la mayoría de los datos de auditoría durante 30 días.Azure AD retains most audit data for 30 days.

Solución de problemasTroubleshoot

Consulte los vínculos siguientes para solucionar los problemas que pueden surgir durante el aprovisionamiento:Refer to the following links to troubleshoot any issues that may turn up during provisioning:

Documentación útilHelpful documentation

RecursosResources

Pasos siguientesNext steps