Planeamiento de la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Azure Active Directory

Históricamente, el personal del departamento de TI ha confiado en métodos manuales para crear, actualizar y eliminar a empleados. Ha usado métodos como la carga de archivos CSV o scripts personalizados para sincronizar los datos de los empleados. Estos procesos de aprovisionamiento son propensos a errores, inseguros y difíciles de administrar.

Para administrar los ciclos de vida de la identidad de los empleados, proveedores o trabajadores temporales, el servicio de aprovisionamiento de usuarios de Azure Active Directory (Azure AD) ofrece integración con aplicaciones de recursos humanos (RR. HH.) basadas en la nube. Entre los ejemplos de aplicaciones se incluyen Workday o SuccessFactors.

Azure AD usa esta integración para habilitar los siguientes flujos de trabajo de aplicación de RR. HH. en la nube:

  • Aprovisionar a los usuarios en Active Directory: aprovisione conjuntos de usuarios seleccionados de una aplicación de RR. HH. en la nube en uno o varios dominios de Active Directory.
  • Aprovisionar a los usuarios solo en la nube en Azure AD: en escenarios en los que no se usa Active Directory, aprovisione a los usuarios directamente desde la aplicación de RR. HH. en la nube en Azure AD.
  • Reescribir en la aplicación de RR. HH. en la nube: reescriba los atributos de nombre de usuario y dirección de correo electrónico de Azure AD en la aplicación de RR. HH. en la nube.

Nota

En este plan de implementación se muestra cómo implementar los flujos de trabajo de aplicaciones de RR. HH. en la nube con el aprovisionamiento de usuarios de Azure AD. Para obtener información sobre cómo implementar el aprovisionamiento automático de usuarios en aplicaciones de software como servicio (SaaS), vea Planeamiento de una implementación del aprovisionamiento automático de usuarios.

Escenarios de RR. HH. habilitados

El servicio de aprovisionamiento de usuarios de Azure AD permite la automatización de los siguientes escenarios de administración del ciclo de vida de la identidad basados en RR. HH.:

  • Contratación de nuevos empleados: cuando se agrega a un nuevo empleado a la aplicación de RR. HH. en la nube, se crea automáticamente una cuenta de usuario en Active Directory y Azure AD con la opción de reescribir los atributos de nombre de usuario y dirección de correo electrónico en la aplicación de RR. HH. en la nube.
  • Actualizaciones de los perfiles y los atributos de los empleados: cuando se actualiza el registro de un empleado (por ejemplo, el nombre, el puesto o el jefe) en la aplicación de RR. HH. en la nube, su cuenta de usuario se actualiza automáticamente en Active Directory y Azure AD.
  • Bajas de empleados: cuando se da de baja a un empleado en la aplicación de RR. HH. en la nube, su cuenta de usuario se deshabilita automáticamente en Active Directory y Azure AD.
  • Recontrataciones de empleados: cuando se vuelve a contratar a un empleado en la aplicación de RR. HH. en la nube, su cuenta anterior se puede volver a activar o aprovisionar automáticamente en Active Directory y Azure AD.

¿Para quién es idónea esta integración?

La integración de aplicaciones de RR. HH. en la nube con el aprovisionamiento de usuarios de Azure AD es ideal para organizaciones que:

  • Buscan una solución basada en la nube y precompilada para el aprovisionamiento de usuarios de RR. HH. en la nube.
  • Necesitan un aprovisionamiento de usuarios directos de la aplicación de RR. HH. en la nube en Active Directory o Azure AD.
  • Necesitan que los usuarios se aprovisionen con los datos obtenidos de la aplicación de RR. HH. en la nube.
  • Necesitan combinar y mover usuarios, y dejar que se sincronicen con uno o varios bosques, dominios o unidades organizativas de Active Directory en función de únicamente la información de cambio detectada en la aplicación de RR. HH. en la nube.
  • Use Microsoft 365 para el correo electrónico.

Obtener información

El aprovisionamiento de usuarios crea una base en la gobernanza de identidades en curso. Mejora la calidad de los procesos empresariales que se basan en datos de identidad autoritativos.

Términos

En este artículo se usan los términos siguientes:

  • Sistema de origen: repositorio de usuarios desde el que se aprovisiona Azure AD. Un ejemplo es una aplicación de RR. HH. en la nube, como Workday o SuccessFactors.
  • Sistema de destino: repositorio de usuarios en el que aprovisiona Azure AD. Algunos ejemplos son Active Directory, Azure AD, Microsoft 365 u otras aplicaciones SaaS.
  • Proceso de incorporaciones, cambios y bajas: término que se usa para nuevas contrataciones, transferencias y bajas mediante una aplicación de RR. HH. en la nube como sistema de registros. El proceso se completa cuando el servicio aprovisiona correctamente los atributos necesarios en el sistema de destino.

Ventajas principales

Esta función de aprovisionamiento de TI controlada por RR. HH. ofrece las siguientes ventajas empresariales importantes:

  • Aumento de la productividad: ahora puede automatizar la asignación de las cuentas de usuario y las licencias de Microsoft 365, así como proporcionar acceso a los grupos clave. La automatización de las asignaciones proporciona a las nuevas contrataciones acceso inmediato a sus herramientas de trabajo y aumenta la productividad.
  • Administración de riesgos: para aumentar la seguridad, puede automatizar los cambios en función del estado de los empleados o de las pertenencias a grupos con datos que fluyen desde la aplicación de RR. HH. en la nube. La automatización de los cambios garantiza que las identidades de los usuarios y el acceso a las aplicaciones principales se actualizan automáticamente cuando los usuarios se mueven o salen de la organización.
  • Control de cumplimiento y gobernanza: Azure AD admite registros de auditoría nativos de las solicitudes de aprovisionamiento de usuarios que hacen las aplicaciones de los sistemas de origen y de destino. Con la auditoría, puede hacer un seguimiento de quién tiene acceso a las aplicaciones desde una sola pantalla.
  • Administración del costo: el aprovisionamiento automático reduce los costos al evitar ineficiencias y errores humanos asociados con el aprovisionamiento manual. Reduce la necesidad de desarrollar soluciones personalizadas de aprovisionamiento de usuarios a lo largo del tiempo mediante plataformas heredadas y obsoletas.

Licencias

Para configurar la integración del aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Azure AD, necesita una licencia válida de Azure AD Premium y una licencia de la aplicación de RR. HH. en la nube, como Workday o SuccessFactors.

También necesita una licencia válida de suscripción a Azure AD Premium P1 o superior para cada usuario que se obtenga de la aplicación de RR. HH. en la nube y que se aprovisionará en Active Directory o en Azure AD. Un número incorrecto de las licencias que se poseen en la aplicación de RR. HH. en la nube puede dar lugar a errores durante el aprovisionamiento de usuarios.

Requisitos previos

  • Rol de administrador de identidades híbridas de Azure AD para configurar el agente de aprovisionamiento de Azure AD Connect.
  • Rol de administrador de aplicaciones de Azure AD para configurar la aplicación de aprovisionamiento en Azure Portal.
  • Una instancia de prueba y producción de la aplicación de RR. HH. en la nube.
  • Permisos de administrador en la aplicación de RR. HH. en la nube para crear un usuario de integración del sistema y efectuar cambios para probar los datos de los empleados con fines de pruebas.
  • Para el aprovisionamiento de usuarios en Active Directory, se necesita un servidor que ejecute Windows Server 2016 (o una versión posterior) a fin de hospedar el agente de aprovisionamiento de Azure AD Connect. Este servidor debe ser un servidor de nivel 0 basado en el modelo de nivel administrativo de Active Directory.
  • Azure AD Connect para sincronizar usuarios entre Active Directory y Azure AD.

Recursos de aprendizaje

Recursos Vínculo y descripción
Vídeos ¿Qué es el aprovisionamiento de usuarios en Active Azure Directory?
Cómo implementar el aprovisionamiento de usuarios en Azure Active Directory
Tutoriales Lista de tutoriales sobre cómo integrar aplicaciones SaaS con Azure AD
Tutorial: Configuración de Workday para el aprovisionamiento automático de usuarios
Preguntas más frecuentes Aprovisionamiento automático de usuarios.
Aprovisionamiento de WorkDay a Azure AD

Arquitectura de la solución

En el ejemplo siguiente se describe la arquitectura de la solución de aprovisionamiento de usuarios de un extremo a otro para entornos híbridos comunes, e incluye lo siguiente:

  • Flujo de datos de RR. HH. autoritativo desde la aplicación de RR. HH. en la nube a Active Directory. En este flujo, el evento de RR. HH. (proceso de incorporaciones, cambios y bajas) se inicia en el inquilino de la aplicación de RR. HH. en la nube. El servicio de aprovisionamiento de Azure AD y el agente de aprovisionamiento de Azure AD Connect aprovisionan los datos de los usuarios desde el inquilino de la aplicación de RR. HH. en la nube en Active Directory. En función del evento, puede dar lugar a operaciones de creación, actualización, habilitación y deshabilitación en Active Directory.
  • Sincronice con Azure AD y reescriba el correo electrónico y el nombre de usuario desde la instancia local de Active Directory en la aplicación de RR. HH. en la nube. Una vez actualizadas las cuentas en Active Directory, se sincronizan con Azure AD mediante Azure AD Connect. Se pueden reescribir los atributos de nombre de usuario y dirección de correo electrónico en el inquilino de la aplicación de RR. HH. en la nube.

Diagrama de flujo de trabajo

Descripción del flujo de trabajo

En el diagrama se indican los siguientes pasos clave:

  1. El equipo de recursos humanos realiza las transacciones en el inquilino de la aplicación de RR. HH. en la nube.
  2. El servicio de aprovisionamiento de Azure AD ejecuta los ciclos programados desde el inquilino de la aplicación de RR. HH. en la nube e identifica los cambios que deben procesarse para la sincronización con Active Directory.
  3. El servicio de aprovisionamiento de Azure AD invoca al agente de aprovisionamiento de Azure AD Connect con una carga de solicitud que contiene las operaciones de creación, actualización, habilitación y deshabilitación de las cuentas de Active Directory.
  4. El agente de aprovisionamiento de Azure AD Connect usa una cuenta de servicio para administrar los datos de la cuenta de Active Directory.
  5. Azure AD Connect ejecuta una sincronización diferencial para extraer las actualizaciones de Active Directory.
  6. Las actualizaciones de Active Directory se sincronizan con Azure AD.
  7. El servicio de aprovisionamiento de Azure AD reescribe el atributo de correo electrónico y el nombre de usuario de Azure AD en el inquilino de la aplicación de RR. HH. en la nube.

Planeamiento del proyecto de implementación

Tenga en cuenta las necesidades de su organización al determinar la estrategia de esta implementación en su entorno.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas. Asegúrese también de que los roles de las partes interesadas del proyecto estén bien entendidos. Documente las partes interesadas, así como sus aportaciones y responsabilidades en el proyecto.

Incluya a un representante de la organización de RR. HH. que pueda proporcionar aportaciones sobre los procesos empresariales de RR. HH. y los requisitos de procesamiento de datos laborales e identidad de los trabajadores existentes.

Planeamiento de las comunicaciones

La comunicación es fundamental para el éxito de cualquier servicio nuevo. Comuníquese de forma proactiva con los usuarios sobre cuándo y cómo cambiará su experiencia. Indíqueles cómo obtener soporte técnico si tienen problemas.

Planeamiento de un piloto

Integrar procesos de negocio de RR. HH. y flujos de trabajo de identidad desde la aplicación de RR. HH. en la nube en los sistemas de destino necesita una gran cantidad de validación, transformación y limpieza de datos, así como pruebas de un extremo a otro antes de poder implementar la solución en producción.

Ejecute la configuración inicial en un entorno piloto antes de escalarla a todos los usuarios de producción.

Selección de aplicaciones de conectores de aprovisionamiento de RR. HH. en la nube

Para facilitar los flujos de trabajo de aprovisionamiento de Azure AD entre la aplicación de RR. HH. en la nube y Active Directory, puede agregar varias aplicaciones de conectores de aprovisionamiento desde la galería de aplicaciones de Azure AD:

  • Aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Active Directory: esta aplicación de conector de aprovisionamiento facilita el aprovisionamiento de cuentas de usuario de la aplicación de RR. HH. en la nube en un solo dominio de Active Directory. Si tiene varios dominios, puede agregar una instancia de esta aplicación desde la galería de aplicaciones de Azure AD para cada dominio de Active Directory en el que deba efectuar un aprovisionamiento.
  • Aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Azure AD: si bien Azure AD Connect es la herramienta que se debe usar para sincronizar los usuarios de Active Directory con Azure AD, esta aplicación de conector de aprovisionamiento se puede usar para facilitar el aprovisionamiento de usuarios que solo están en la nube desde la aplicación de RR. HH. en la nube en un inquilino de Azure AD.
  • Reescritura de la aplicación de RR. HH. en la nube: esta aplicación de conector de aprovisionamiento facilita la reescritura de las direcciones de correo electrónico de los usuarios de Azure AD en la aplicación de RR. HH. en la nube.

Por ejemplo, en la imagen siguiente se enumeran las aplicaciones de conector de Workday que están disponibles en la galería de aplicaciones de Azure AD.

Galería de aplicaciones del portal de Azure Active Directory

Diagrama de flujo de decisión

Use el siguiente diagrama de decisiones para identificar qué aplicaciones de aprovisionamiento de RR. HH. en la nube son pertinentes en su escenario.

Diagrama de flujo de decisión

Diseño de la topología de implementación del agente de aprovisionamiento de Azure AD Connect

La integración de aprovisionamiento entre la aplicación de RR. HH. en la nube y Active Directory necesita cuatro componentes:

  • Inquilino de la aplicación de RR. HH. en la nube
  • Aplicación de conector de aprovisionamiento
  • Agente de aprovisionamiento de Azure AD Connect
  • Dominio de Active Directory

La topología de implementación del agente de aprovisionamiento de Azure AD Connect depende del número de inquilinos de la aplicación de RR. HH. en la nube y de los dominios secundarios de Active Directory que se van a integrar. Si tiene varios dominios de Active Directory, dependerá de si estos dominios son contiguos o no contiguos.

En función de su decisión, elija uno de los escenarios de implementación siguientes:

  • Inquilino de una aplicación de RR. HH. en la nube único -> dirigido a uno o varios dominios secundarios de Active Directory en un bosque de confianza.
  • Inquilino de una aplicación de RR. HH. en la nube único -> dirigido a varios dominios secundarios en un bosque de Active Directory no contiguo.

Inquilino de una aplicación de RR. HH. en la nube único -> dirigido a uno o varios dominios secundarios de Active Directory en un bosque de confianza.

Se recomienda la siguiente configuración de producción:

Requisito Recomendación
Número de agentes de aprovisionamiento de Azure AD Connect que se van a implementar Dos (para la alta disponibilidad y la conmutación por error)
Número de aplicaciones de conectores de aprovisionamiento que se van a configurar Una aplicación por dominio secundario
Host de servidor para el agente de aprovisionamiento de Azure AD Connect Windows Server 2016 con campo visual a los controladores de dominio de Active Directory ubicados geográficamente
Puede coexistir con el servicio de Azure AD Connect

Flujo a los agentes locales

Inquilino de una aplicación de RR. HH. en la nube único -> dirigido a varios dominios secundarios en un bosque de Active Directory no contiguo.

Este escenario implica aprovisionar a los usuarios desde la aplicación de RR. HH. en dominios de bosques de Active Directory no contiguos.

Se recomienda la siguiente configuración de producción:

Requisito Recomendación
Número de agentes de aprovisionamiento de Azure AD Connect que se van a implementar localmente Dos por bosque de Active Directory no contiguo
Número de aplicaciones de conectores de aprovisionamiento que se van a configurar Una aplicación por dominio secundario
Host de servidor para el agente de aprovisionamiento de Azure AD Connect Windows Server 2016 con campo visual a los controladores de dominio de Active Directory ubicados geográficamente
Puede coexistir con el servicio de Azure AD Connect

Bosque único de Active Directory no contiguo del inquilino de la aplicación de RR. HH. en la nube

Requisitos del agente de aprovisionamiento de Azure AD Connect

Para la solución de aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Active Directory es necesario implementar uno o varios agentes de aprovisionamiento de Azure AD Connect en servidores que ejecutan Windows Server 2016 o versiones posteriores. Los servidores deben tener un mínimo de 4 GB de RAM y un entorno de ejecución .NET 4.7.1+. Asegúrese de que el servidor host tiene acceso de red al dominio de Active Directory de destino.

Para preparar el entorno local, el asistente para la configuración del agente de aprovisionamiento de Azure AD Connect registra el agente en el inquilino de Azure AD, abre los puertos, permite el acceso a las direcciones URL y admite la configuración de proxy HTTPS saliente.

El agente de aprovisionamiento configura una cuenta de servicio administrada global (GMSA) para comunicarse con los dominios de Active Directory. Si desea usar una cuenta de servicio que no sea de GMSA para el aprovisionamiento, puede omitir la configuración de GMSA y especificar la cuenta de servicio durante la configuración.

Puede seleccionar los controladores de dominio que deben controlar las solicitudes de aprovisionamiento. Si tiene varios controladores de dominio distribuidos geográficamente, instale al agente de aprovisionamiento en el mismo sitio que los controladores de dominio preferidos. Este posicionamiento mejora la confiabilidad y el rendimiento de la solución integral.

Para lograr una alta disponibilidad, puede implementar más de un agente de aprovisionamiento de Azure AD Connect. Registre el agente para controlar el mismo conjunto de dominios locales de Active Directory.

Diseño de la topología de implementación de aplicaciones de aprovisionamiento de RR. HH.

En función del número de dominios de Active Directory implicados en la configuración de aprovisionamiento de usuarios entrantes, puede considerar una de las siguientes topologías de implementación. Cada diagrama de topología usa un escenario de implementación de ejemplo para resaltar los aspectos de configuración. Use el ejemplo que más se parezca a su requisito de implementación para determinar la configuración que satisfaga sus necesidades.

Topología de implementación 1: aplicación única para aprovisionar todos los usuarios desde RR. HH. en la nube a un dominio único de Active Directory local

Esta es la topología de implementación más común. Use esta topología si necesita aprovisionar todos los usuarios desde RR. HH. en la nube en un dominio único de AD y se aplican las mismas reglas de aprovisionamiento a todos los usuarios.

Captura de pantalla de una aplicación única para aprovisionar usuarios desde RR. HH. en la nube a un dominio único de AD

Aspectos destacados de la configuración

Topología de implementación 2: aplicaciones independientes para aprovisionar distintos conjuntos de usuarios desde RR. HH. en la nube a un dominio único de Active Directory local

Esta topología admite requisitos empresariales en los que la lógica de asignación y aprovisionamiento de atributos difiere en función del tipo de usuario (empleado o contratista), la ubicación del usuario o la unidad de negocio del usuario. También puede usar esta topología para delegar la administración y el mantenimiento del aprovisionamiento de usuarios entrantes en función de la división o el país.

Captura de pantalla de aplicaciones independientes para aprovisionar usuarios desde RR. HH. en la nube a un dominio único de AD

Aspectos destacados de la configuración

  • Configure dos nodos de agente de aprovisionamiento para alta disponibilidad y conmutación por error.
  • Cree una aplicación de aprovisionamiento de HR2AD para cada conjunto de usuarios distinto que quiera aprovisionar.
  • Use filtros de ámbito en la aplicación de aprovisionamiento para definir los usuarios que cada aplicación va a procesar.
  • Para controlar el escenario en el que las referencias de administradores deben resolverse en distintos conjuntos de usuarios (por ejemplo, contratistas que informan a los administradores que son empleados), puede crear una aplicación de aprovisionamiento de HR2AD independiente para actualizar solo el atributo de administrador. Establezca el ámbito de esta aplicación en todos los usuarios.
  • Configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Nota

Si no tiene un dominio de AD de prueba y usa un contenedor de unidades organizativas TEST en AD, puede usar esta topología para crear dos aplicaciones independientes: HR2AD (Prod) y HR2AD (Test) . Use la aplicación HR2AD (Test) para probar los cambios de asignación de atributos antes de promoverla a la aplicación HR2AD (Prod) .

Topología de implementación 3: aplicaciones independientes para aprovisionar distintos conjuntos de usuarios desde RR. HH. en la nube a varios dominios de Active Directory local (sin visibilidad entre dominios)

Use esta topología para administrar varios dominios de AD secundarios e independientes que pertenecen al mismo bosque, si los administradores siempre existen en el mismo dominio que el usuario y las reglas de generación de identificadores exclusivos para atributos como userPrincipalName, samAccountName y mail no requieren una búsqueda en todo el bosque. También ofrece la flexibilidad de delegar la administración de cada trabajo de aprovisionamiento por límite de dominio.

Por ejemplo: en el diagrama siguiente, las aplicaciones de aprovisionamiento se configuran para cada región geográfica: Norteamérica (NA), Europa, Oriente Medio y África (EMEA) y Asia Pacífico (APAC). En función de la ubicación, los usuarios se aprovisionan en el dominio de AD correspondiente. La administración delegada de la aplicación de aprovisionamiento es posible para que los administradores de EMEA puedan administrar de forma independiente la configuración de aprovisionamiento de los usuarios que pertenecen a la región de EMEA.

Captura de pantalla de aplicaciones independientes para aprovisionar usuarios desde RR. HH. en la nube a varios dominios de AD

Aspectos destacados de la configuración

  • Configure dos nodos de agente de aprovisionamiento para alta disponibilidad y conmutación por error.
  • Use el asistente para configuración del agente de aprovisionamiento para registrar todos los dominios secundarios de AD con el inquilino de Azure AD.
  • Cree una aplicación de aprovisionamiento de HR2AD independiente para cada dominio de destino.
  • Al configurar la aplicación de aprovisionamiento, seleccione el dominio secundario de AD correspondiente en la lista desplegable de dominios de AD disponibles.
  • Use filtros de ámbito en la aplicación de aprovisionamiento para definir los usuarios que cada aplicación va a procesar.
  • Configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Topología de implementación 4: aplicaciones independientes para aprovisionar distintos conjuntos de usuarios desde RR. HH. en la nube a varios dominios de Active Directory local (con visibilidad entre dominios)

Use esta topología para administrar varios dominios de AD secundarios e independientes que pertenecen al mismo bosque, si el administrador de un usuario puede existir en un dominio diferente y las reglas de generación de identificadores exclusivos para atributos como userPrincipalName, samAccountName y mail requieren una búsqueda en todo el bosque.

Por ejemplo: en el diagrama siguiente, las aplicaciones de aprovisionamiento se configuran para cada región geográfica: Norteamérica (NA), Europa, Oriente Medio y África (EMEA) y Asia Pacífico (APAC). En función de la ubicación, los usuarios se aprovisionan en el dominio de AD correspondiente. Las referencias de administrador entre dominios y la búsqueda en todo el bosque se controlan habilitando la búsqueda de referencias en el agente de aprovisionamiento.

Captura de pantalla de aplicaciones independientes para aprovisionar usuarios desde RR. HH. en la nube a varios dominios de AD con compatibilidad entre dominios

Aspectos destacados de la configuración

  • Configure dos nodos de agente de aprovisionamiento para alta disponibilidad y conmutación por error.
  • Configure la búsqueda de referencias en el agente de aprovisionamiento.
  • Use el asistente para configuración del agente de aprovisionamiento para registrar el dominio primario de AD y todos los dominios secundarios de AD con el inquilino de Azure AD.
  • Cree una aplicación de aprovisionamiento de HR2AD independiente para cada dominio de destino.
  • Al configurar cada aplicación de aprovisionamiento, seleccione el dominio primario de AD en la lista desplegable de dominios de AD disponibles. Esto garantiza la búsqueda en todo el bosque al generar valores únicos para atributos como userPrincipalName, samAccountName y mail.
  • Use parentDistinguishedName con la asignación de expresiones para crear dinámicamente el usuario en el dominio secundario correcto y el contenedor de unidades organizativas.
  • Use filtros de ámbito en la aplicación de aprovisionamiento para definir los usuarios que cada aplicación va a procesar.
  • Para resolver las referencias de administradores entre dominios, cree una aplicación de aprovisionamiento de HR2AD independiente para actualizar solo el atributo de administrador. Establezca el ámbito de esta aplicación en todos los usuarios.
  • Configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Topología de implementación 5: aplicación única para aprovisionar todos los usuarios desde RR. HH. en la nube a varios dominios de Active Directory local (con visibilidad entre dominios)

Use esta topología si desea usar una única aplicación de aprovisionamiento para administrar los usuarios que pertenecen a todos los dominios de AD primarios y secundarios. Esta topología se recomienda si las reglas de aprovisionamiento son coherentes en todos los dominios y no hay ningún requisito para la administración delegada de trabajos de aprovisionamiento. Esta topología admite la resolución de referencias de administradores entre dominios y permite realizar una comprobación de unidad en todo el bosque.

Por ejemplo: en el diagrama siguiente, una única aplicación de aprovisionamiento administra los usuarios presentes en tres dominios secundarios diferentes agrupados por región: Norteamérica (NA), Europa, Oriente Medio y África (EMEA) y Asia Pacífico (APAC). La asignación de atributos de parentDistinguishedName se usa para crear dinámicamente un usuario en el dominio secundario adecuado. Las referencias de administrador entre dominios y la búsqueda en todo el bosque se controlan habilitando la búsqueda de referencias en el agente de aprovisionamiento.

Captura de pantalla de una aplicación única para aprovisionar usuarios desde RR. HH. en la nube a varios dominios de AD con compatibilidad entre dominios

Aspectos destacados de la configuración

  • Configure dos nodos de agente de aprovisionamiento para alta disponibilidad y conmutación por error.
  • Configure la búsqueda de referencias en el agente de aprovisionamiento.
  • Use el asistente para configuración del agente de aprovisionamiento para registrar el dominio primario de AD y todos los dominios secundarios de AD con el inquilino de Azure AD.
  • Cree una única aplicación de aprovisionamiento de HR2AD para todo el bosque.
  • Al configurar la aplicación de aprovisionamiento, seleccione el dominio primario de AD en la lista desplegable de dominios de AD disponibles. Esto garantiza la búsqueda en todo el bosque al generar valores únicos para atributos como userPrincipalName, samAccountName y mail.
  • Use parentDistinguishedName con la asignación de expresiones para crear dinámicamente el usuario en el dominio secundario correcto y el contenedor de unidades organizativas.
  • Si usa filtros de ámbito, configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Topología de implementación 6: aplicaciones independientes para aprovisionar distintos usuarios desde RR. HH. en la nube a bosques de Active Directory local desconectados

Use esta topología si la infraestructura de TI tiene bosques de AD desconectados o independientes y necesita aprovisionar usuarios a bosques diferentes en función de la afiliación empresarial. Por ejemplo: los usuarios que trabajan para la subsidiaria Contoso deben aprovisionarse en el dominio contoso.com, mientras que los usuarios que trabajan para la subsidiaria Fabrikam deben aprovisionarse en el dominio fabrikam.com.

Captura de pantalla de aplicaciones independientes para aprovisionar usuarios desde RR. HH. en la nube a bosques de AD desconectados

Aspectos destacados de la configuración

  • Configure dos conjuntos diferentes de agentes de aprovisionamiento para alta disponibilidad y conmutación por error, uno para cada bosque.
  • Cree dos aplicaciones de aprovisionamiento diferentes, una para cada bosque.
  • Si necesita resolver referencias entre dominios dentro del bosque, habilite la búsqueda de referencias en el agente de aprovisionamiento.
  • Cree una aplicación de aprovisionamiento de HR2AD independiente para cada bosque desconectado.
  • Al configurar cada aplicación de aprovisionamiento, seleccione el dominio primario de AD adecuado en la lista desplegable de nombres de dominios de AD disponibles.
  • Configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Topología de implementación 7: aplicaciones independientes para aprovisionar distintos usuarios desde varios RR. HH. en la nube a bosques de Active Directory local desconectados

En organizaciones grandes, no es raro tener varios sistemas de RR. HH. Durante los escenarios de M&A (fusiones y adquisiciones) empresariales, puede encontrarse con la necesidad de conectar Active Directory local a varios orígenes de RR. HH. Se recomienda la topología siguiente si tiene varios orígenes de RR. HH. y desea canalizar los datos de identidad de estos orígenes de RR. HH. a los mismos o diferentes dominios de Active Directory local.

Captura de pantalla de aplicaciones independientes para aprovisionar usuarios desde varios RR. HH. en la nube a bosques de AD desconectados

Aspectos destacados de la configuración

  • Configure dos conjuntos diferentes de agentes de aprovisionamiento para alta disponibilidad y conmutación por error, uno para cada bosque.
  • Si necesita resolver referencias entre dominios dentro del bosque, habilite la búsqueda de referencias en el agente de aprovisionamiento.
  • Cree una aplicación de aprovisionamiento de HR2AD independiente para cada combinación de sistema de RR. HH. y Active Directory local.
  • Al configurar cada aplicación de aprovisionamiento, seleccione el dominio primario de AD adecuado en la lista desplegable de nombres de dominios de AD disponibles.
  • Configure la marca de omisión de la eliminación de los usuarios fuera de ámbito para evitar desactivaciones accidentales de cuentas.

Planeamiento de los filtros de ámbito y la asignación de atributos

Al habilitar el aprovisionamiento desde la aplicación de RR. HH. en la nube en Active Directory o Azure AD, Azure Portal controla los valores de atributo mediante la asignación de atributos.

Definición de filtros de ámbito

Use filtros de ámbito para definir las reglas basadas en atributos que determinan qué usuarios se deben aprovisionar desde la aplicación de RR. HH. en la nube en Active Directory o Azure AD.

Al iniciar el proceso de las incorporaciones, reúna los siguientes requisitos:

  • ¿La aplicación de RR. HH. en la nube se usa para incluir tanto a los empleados como a los trabajadores temporales?
  • ¿Planea usar la aplicación de RR. HH. en la nube para el aprovisionamiento de usuarios de Azure AD para administrar tanto a los empleados como a los trabajadores temporales?
  • ¿Tiene pensado implementar el aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Azure AD solo en un subconjunto de los usuarios de la aplicación de RR. HH. en la nube? Un ejemplo podría ser solo los empleados.

En función de sus requisitos, al configurar las asignaciones de atributos, puede establecer el campo Ámbito de objeto de origen para seleccionar los conjuntos de usuarios de la aplicación de RR. HH. en la nube que deben incluirse en el aprovisionamiento en Active Directory. Para más información, vea el tutorial de la aplicación de RR. HH. en la nube, donde podrá ver los filtros de ámbito que más se usan.

Determinación de los atributos coincidentes

Con el aprovisionamiento, obtiene la capacidad de hacer coincidir las cuentas existentes entre el sistema de origen y el de destino. Al integrar la aplicación de RR. HH. en la nube con el servicio de aprovisionamiento de Azure AD, puede configurar la asignación de atributos para determinar qué datos de los usuarios deben ir de la aplicación de RR. HH. en la nube a Active Directory o Azure AD.

Al iniciar el proceso de las incorporaciones, reúna los siguientes requisitos:

  • ¿Cuál es el identificador único de esta aplicación de RR. HH. en la nube que se usa para identificar a cada usuario?
  • Desde la perspectiva del ciclo de vida de las identidades, ¿cómo se administran las recontrataciones? En las recontrataciones, ¿se conserva el identificador anterior de los empleados?
  • ¿Procesa las contrataciones con fecha futura y crea cuentas de Active Directory para estas de antemano?
  • Desde la perspectiva del ciclo de vida de las identidades, ¿cómo controla la conversión de empleado a trabajador temporal o a la inversa?
  • ¿Los usuarios convertidos conservan sus cuentas anteriores de Active Directory u obtienen otras nuevas?

En función de sus requisitos, Azure AD admite la asignación directa de atributo a atributo al proporcionar valores constantes o escribir expresiones de asignaciones de atributos. Esta flexibilidad le brinda un mayor control de lo que se rellena en el atributo de la aplicación de destino. Puede usar Microsoft Graph API y Probador de Graph para exportar el esquema y las asignaciones de atributos de aprovisionamiento de usuarios en un archivo JSON e importarlos de nuevo en Azure AD.

De forma predeterminada, el atributo de la aplicación de RR. HH. en la nube que representa el identificador de empleado único se usa como atributo coincidente asignado al atributo único en Active Directory. Por ejemplo, en el escenario de la aplicación Workday, el atributo WorkerID de Workday está asignado al atributo employeeID de Active Directory.

Puede establecer varios atributos coincidentes y asignar una precedencia de coincidencia. Se evalúan según la precedencia de la coincidencia. En el momento en que se encuentre una coincidencia, no se evaluarán más atributos coincidentes.

También puede personalizar las asignaciones de atributos predeterminados, como cambiar o eliminar asignaciones de atributos existentes. También puede crear asignaciones de atributos según sus necesidades empresariales. Para más información, vea el tutorial de la aplicación de RR. HH. en la nube (por ejemplo, Workday), en donde podrá consultar una lista de los atributos personalizados que se pueden asignar.

Determinar el estado de la cuenta de usuario

De forma predeterminada, la aplicación de conector de aprovisionamiento asigna el estado de perfil de usuario de RR. HH. al estado de la cuenta de usuario en Active Directory o Azure AD para determinar si se debe habilitar o deshabilitar la cuenta de usuario.

Al iniciar el proceso de las incorporaciones o bajas, reúna los siguientes requisitos.

Proceso Requisitos
Incorporaciones Desde la perspectiva del ciclo de vida de las identidades, ¿cómo se administran las recontrataciones? En las recontrataciones, ¿se conserva el identificador anterior de los empleados?
¿Procesa las contrataciones con fecha futura y crea cuentas de Active Directory para estas de antemano? ¿Estas cuentas se crean con el estado habilitado o deshabilitado?
Desde la perspectiva del ciclo de vida de las identidades, ¿cómo controla la conversión de empleado a trabajador temporal o a la inversa?
¿Los usuarios convertidos conservan sus cuentas anteriores de Active Directory u obtienen otras nuevas?
Bajas ¿Las bajas de los empleados y los trabajadores temporales se administran de forma diferente en Active Directory?
¿Qué fechas vigentes se tienen en cuenta para procesar la baja del usuario?
¿Cómo afectan las conversiones de empleados y trabajadores temporales a las cuentas de Active Directory existentes?
¿Cómo procesa la operación de rescisión en Active Directory? Las operaciones de rescisión deben controlarse si se crean contrataciones futuras en Active Directory como parte del proceso de incorporación.

En función de sus requisitos, puede personalizar la lógica de asignación mediante expresiones de Azure AD para que la cuenta de Active Directory esté habilitada o deshabilitada según una combinación de puntos de datos.

Asignación de atributos de usuario de la aplicación de RR. HH. en la nube en Active Directory

Cada aplicación de RR. HH. en la nube se incluye con asignaciones predeterminadas de la aplicación de RR. HH. en la nube en Active Directory.

Al iniciar el proceso de incorporaciones, cambios o bajas, reúna los siguientes requisitos.

Proceso Requisitos
Incorporaciones ¿El proceso de creación de cuentas de Active Directory es manual, automatizado o parcialmente automatizado?
¿Tiene pensado propagar los atributos personalizados de la aplicación de RR. HH. en la nube a Active Directory?
Cambios ¿Qué atributos quiere procesar cada vez que se realice una operación de cambio en la aplicación de RR. HH. en la nube?
¿Se realizan validaciones de atributo específicas en el momento de realizar las actualizaciones de usuarios? Si la respuesta es que sí, proporcione detalles.
Bajas ¿Las bajas de los empleados y los trabajadores temporales se administran de forma diferente en Active Directory?
¿Qué fechas vigentes se tienen en cuenta para procesar la baja del usuario?
¿Cómo afectan las conversiones de empleados y trabajadores temporales a las cuentas de Active Directory existentes?

En función de sus requisitos, puede modificar las asignaciones para satisfacer sus objetivos de integración. Para más información, vea el tutorial de la aplicación específica de RR. HH. en la nube (por ejemplo, Workday), en donde podrá consultar una lista de los atributos personalizados que se pueden asignar.

Generación de un valor de atributo único

Al iniciar el proceso de incorporaciones, es posible que tenga que generar valores de atributo únicos cuando establezca atributos como CN, samAccountName y UPN que tengan restricciones únicas.

La función de Azure AD SelectUniqueValues evalúa cada regla y, después, comprueba la unicidad del valor generado en el sistema de destino. Si quiere consultar un ejemplo, vea Generación de un valor único para el atributo userPrincipalName (UPN).

Nota

Actualmente, esta función solo se admite en el aprovisionamiento de usuarios de Workday en Active Directory y en el de SAP SuccessFactors en Active Directory. y no se puede usar con otras aplicaciones de aprovisionamiento.

Configuración de la asignación de contenedores de unidades organizativas de Active Directory

Un requisito común es colocar las cuentas de usuario de Active Directory en contenedores en función de las unidades, las ubicaciones y los departamentos de la empresa. Cuando se inicia un proceso de cambio, y si hay un cambio en la organización de supervisión, es posible que tenga que mover al usuario de una unidad organizativa a otra en Active Directory.

Use la función Switch() para configurar la lógica de negocios de la asignación de la unidad organizativa y asígnela al atributo parentDistinguishedName de Active Directory.

Por ejemplo, si quiere crear usuarios en la unidad organizativa según el atributo de RR. HH. Municipio, puede usar la siguiente expresión:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

Con esta expresión, si el valor de Municipio es Dallas, Austin, Seattle o Londres, la cuenta de usuario se creará en la unidad organizativa correspondiente. Si no hay ninguna coincidencia, la cuenta se creará en la unidad organizativa predeterminada.

Planeamiento de la entrega de contraseñas de nuevas cuentas de usuario

Al iniciar el proceso de incorporaciones, debe establecer y proporcionar una contraseña temporal a las nuevas cuentas de usuario. Con el aprovisionamiento de usuarios de RR. HH. en la nube en Azure AD, puede implementar la función de autoservicio de restablecimiento de contraseña (SSPR) de Azure AD para el usuario desde el primer día.

SSPR es un medio sencillo con el que los administradores de TI pueden permitir que los usuarios restablezcan sus contraseñas o desbloqueen sus cuentas. Puede aprovisionar el atributo Número de móvil desde la aplicación de RR. HH. en la nube en Active Directory y sincronizarlo con Azure AD. Una vez que el atributo Número de móvil esté en Azure AD, puede habilitar la SSPR en la cuenta del usuario. El primer día, el nuevo usuario puede usar el número de móvil registrado y verificado para autenticarse. Consulte la documentación de SSPR para más información sobre cómo rellenar previamente la información de contacto de autenticación.

Planeamiento del ciclo inicial

Cuando el servicio de aprovisionamiento de Azure AD se ejecuta por primera vez, se ejecuta un ciclo inicial en la aplicación de RR. HH. en la nube para crear una instantánea de todos los objetos de usuario en la aplicación de RR. HH. en la nube. El tiempo que tardan los ciclos iniciales depende directamente del número de usuarios que haya en el sistema de origen. El ciclo inicial de algunos inquilinos de aplicaciones de RR. HH. en la nube con más de 100 000 usuarios puede llevar mucho tiempo.

En el caso de los inquilinos de aplicaciones de RR. HH. en la nube de gran tamaño (>30 000 usuarios) , ejecute el ciclo inicial en fases progresivas. Inicie las actualizaciones incrementales después de validar que se han establecido en Active Directory los atributos correctos de distintos escenarios de aprovisionamiento de usuarios. Siga el orden que se indica aquí.

  1. Ejecute el ciclo inicial solo para un conjunto limitado de usuarios estableciendo el filtro de ámbito.
  2. Compruebe el aprovisionamiento de cuentas de Active Directory y los valores de atributo establecidos para los usuarios seleccionados en la primera ejecución. Si el resultado cumple con sus expectativas, expanda el filtro de ámbito para que incluya más usuarios de forma progresiva y compruebe los resultados de la segunda ejecución.

Cuando esté conforme con los resultados del ciclo inicial de los usuarios de prueba, inicie las actualizaciones incrementales.

Planeamiento de pruebas y seguridad

En cada fase de la implementación, desde el piloto inicial hasta la habilitación del aprovisionamiento de usuarios, asegúrese de que está probando que los resultados son los esperados y auditando los ciclos de aprovisionamiento.

Planeamiento de pruebas

Después de configurar el aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube en Azure AD, ejecute casos de prueba para comprobar si esta solución cumple con los requisitos de su organización.

Escenarios Resultados esperados
Se contrata al nuevo empleado en la aplicación de RR. HH. en la nube. - Se aprovisiona la cuenta de usuario en Active Directory.
- El usuario puede iniciar sesión en las aplicaciones del dominio de Active Directory y realizar las acciones que quiera.
- Si se ha configurado la sincronización de Azure AD Connect, la cuenta de usuario también se crea en Azure AD.
Se da de baja al usuario en la aplicación de RR. HH. en la nube. - Se deshabilita la cuenta de usuario en Active Directory.
- El usuario no puede iniciar sesión en ninguna de las aplicaciones empresariales protegidas por Active Directory.
Se actualiza la organización de supervisión de usuarios en la aplicación de RR. HH. en la nube. En función de la asignación de atributos, la cuenta de usuario se mueve de una unidad organizativa a otra en Active Directory.
El departamento de RR. HH. actualiza al administrador del usuario en la aplicación de RR. HH. en la nube. Se actualiza el campo de administrador de Active Directory para que refleje el nombre del nuevo administrador.
RR. HH. recontrata a un empleado en un nuevo rol. El comportamiento depende de cómo se haya configurado la aplicación de RR. HH. en la nube para generar los identificadores de los empleados:
- Si se vuelve a usar el identificador anterior del empleado en el caso de que se le vuelva a contratar, el conector habilita la cuenta existente de Active Directory del usuario.
- Si el empleado al que se vuelve a contratar obtiene un nuevo identificador, el conector crea otra cuenta de Active Directory para el usuario.
El departamento de RR. HH. convierte al empleado en trabajador temporal o viceversa. Se crea otra cuenta de Active Directory para el nuevo rol y la cuenta anterior se deshabilita en la fecha de aplicación de la conversión.

Use los resultados anteriores para determinar cómo realizar la transición de la implementación automática del aprovisionamiento de usuarios en producción en función de las escalas de tiempo establecidas.

Sugerencia

Use técnicas como la reducción y la limpieza de datos al actualizar el entorno de prueba con los datos de producción para quitar o enmascarar datos personales confidenciales a fin de cumplir con los estándares de privacidad y seguridad.

Planeamiento de seguridad

Es habitual que se necesite una revisión de seguridad como parte de la implementación de un nuevo servicio. Si se necesita una revisión de seguridad o no se ha realizado, vea las numerosas notas del producto de Azure AD, en las que se proporciona información general sobre la identidad como servicio.

Planeamiento de la reversión

La implementación del aprovisionamiento de usuarios de RR. HH. en la nube podría no funcionar según lo previsto en el entorno de producción. Si es así, los siguientes pasos de reversión pueden ayudarle a volver a un estado anterior que sepa que funciona.

  1. Vea el informe de resumen de aprovisionamiento y los registros de aprovisionamiento para determinar qué operaciones incorrectas se han producido en los usuarios o grupos afectados. Para más información sobre el informe de resumen y los registros de aprovisionamiento, vea Administración del aprovisionamiento de usuarios de la aplicación de RR. HH. en la nube.
  2. El último estado válido conocido de los usuarios o grupos afectados puede determinarse mediante los registros de auditoría de aprovisionamiento o al revisar los sistemas de destino (Azure AD o Active Directory).
  3. Trabaje con el propietario de la aplicación para actualizar los usuarios o grupos afectados directamente en la aplicación con los últimos valores de estado válido conocidos.

Implementación de la aplicación de RR. HH. en la nube

Elija la aplicación de RR. HH. en la nube que se ajuste a los requisitos de la solución.

Workday: para importar perfiles de trabajo de Workday en Active Directory y Azure AD, vea Tutorial: Configuración de Workday para el aprovisionamiento automático de usuarios. Si quiere, puede reescribir la dirección de correo electrónico, el nombre de usuario y el número de teléfono en Workday.

SAP SuccessFactors: para importar perfiles de trabajo de SuccessFactors en Active Directory y Azure AD, vea Tutorial: Configuración del aprovisionamiento de usuarios de SAP SuccessFactors a Active Directory. Opcionalmente, puede reescribir la dirección de correo electrónico y el nombre de usuario en SuccessFactors.

Administración de la configuración

Azure AD puede proporcionar información adicional sobre el uso del aprovisionamiento de usuarios y el estado operativo mediante registros de auditoría e informes.

Obtención de información a partir de informes y registros

Después de un ciclo inicial correcto, el servicio de aprovisionamiento de Azure AD sigue ejecutando actualizaciones incrementales de manera indefinida, a intervalos definidos en los tutoriales específicos de cada aplicación, hasta que se produzca alguno de los siguientes eventos:

  • El servicio se detiene de forma manual. Se desencadena un nuevo ciclo inicial mediante Azure Portal o el comando adecuado de Microsoft Graph API.
  • Se desencadena un nuevo ciclo inicial debido a un cambio en las asignaciones de atributos o los filtros de ámbito.
  • El proceso de aprovisionamiento entra en cuarentena debido a una alta tasa de errores. Permanece en cuarentena durante más de cuatro semanas, momento en el que se deshabilita de forma automática.

Para revisar estos eventos y todas las demás actividades que ha realizado el servicio de aprovisionamiento, aprenda a consultar los registros y obtener informes sobre la actividad de aprovisionamiento.

Registros de Azure Monitor

Todas las actividades realizadas por el servicio de aprovisionamiento se registran en los registros de aprovisionamiento de Azure AD. Puede enrutar los registros de auditoría de Azure AD a registros de Azure Monitor para su posterior análisis. Con los registros de Azure Monitor (que también se conocen como área de trabajo de Log Analytics), puede consultar los datos para buscar eventos, analizar tendencias y correlacionar varios orígenes de datos. Vea el siguiente vídeo para conocer las ventajas del uso de registros de Azure Monitor para registros de Azure AD en escenarios de usuario prácticos.

Instale las vistas de Log Analytics para los registros de actividad de Azure AD a fin de acceder a informes pregenerados sobre eventos de aprovisionamiento del entorno.

Para más información, vea Análisis de registros de actividad de Azure AD con registros de Azure Monitor.

Administración de datos personales

El agente de aprovisionamiento de Azure AD Connect instalado en Windows Server crea registros en el registro de eventos de Windows que pueden contener datos personales en función de las asignaciones de atributos de la aplicación de RR. HH. en la nube en Active Directory. Para cumplir con las obligaciones de privacidad de los usuarios, configure una tarea programada de Windows que borre el registro de eventos y asegúrese de que no se conserve ningún dato durante más de 48 horas.

El servicio de aprovisionamiento de Azure AD no genera informes, realiza análisis ni proporciona información más allá de 30 días, ya que el servicio no almacena, procesa ni conserva datos que tengan más de 30 días.

Solución de problemas

Para solucionar los problemas que pueden surgir durante el aprovisionamiento, vea los siguientes artículos:

Pasos siguientes