Qué es el aprovisionamiento automatizado de usuarios de aplicaciones SaaS en Azure ADWhat is automated SaaS app user provisioning in Azure AD?

En Azure Active Directory (Azure AD), el término aprovisionamiento de aplicaciones hace referencia a la creación automática de identidades y roles de usuario en las aplicaciones de nube (SaaS) a las que los usuarios necesitan acceso.In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. Algunos escenarios comunes son el aprovisionamiento de un usuario de Azure AD en aplicaciones como Dropbox, Salesforce y ServiceNow, entre otras.Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

¿Acaba de empezar a trabajar con la administración de aplicaciones y el inicio de sesión único (SSO) en Azure AD?Just getting started with app management and single sign-on (SSO) in Azure AD? Consulte la serie de inicios rápidos.Check out the Quickstart Series.

Para más información sobre SCIM y sobre cómo unirse a la conversación de Tech Community, consulte el artículo sobre el aprovisionamiento con SCIM Tech Community.To learn more about SCIM and join the Tech Community conversation, see Provisioning with SCIM Tech Community.

Diagrama de información general del aprovisionamiento

Esta característica le permite hacer lo siguiente:This feature lets you:

  • Aprovisionamiento automatizado: Crear cuentas automáticamente en los sistemas adecuados para los usuarios nuevos cuando se unen a su equipo u organización.Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Desaprovisionamiento automatizado: Desactivar las cuentas automáticamente en los sistemas adecuados cuando los usuarios dejan el equipo o la organización.Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Sincronización de datos entre sistemas: asegúrese de que las identidades de las aplicaciones y sistemas se mantienen actualizadas con los cambios del directorio o el sistema de recursos humanos.Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • Aprovisionamiento de grupos: aprovisione grupos para las aplicaciones que los admiten.Provision groups: Provision groups to applications that support them.
  • Control del acceso: supervise y audite a quién se ha aprovisionado en las aplicaciones.Govern access: Monitor and audit who has been provisioned into your applications.
  • Implementación sin problemas en escenarios que parten de recursos existentes: haga coincidir las identidades actuales entre los sistemas y permita una integración sencilla, incluso cuando los usuarios ya existen en el sistema de destino.Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • Uso de personalización de voz: aproveche las asignaciones de atributos personalizables que definen qué datos del usuario deben fluir del sistema de origen al sistema de destino.Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Obtención de alertas para eventos críticos: el servicio de aprovisionamiento proporciona alertas para los eventos críticos y permite la integración de Log Analytics, donde puede definir alertas personalizadas para establecer las necesidades de su empresa.Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

Ventajas del aprovisionamiento automáticoBenefits of automatic provisioning

A medida que el número de aplicaciones usadas en las organizaciones modernas sigue creciendo, los administradores de TI tienen tareas de administración de acceso a escala.As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Los estándares como el Lenguaje de marcado de aserción de seguridad (SAML) u Open ID Connect (OIDC) permiten a los administradores configurar rápidamente el inicio de sesión único (SSO), pero el acceso también requiere que los usuarios se aprovisionen en la aplicación.Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. Para muchos administradores, el aprovisionamiento significa crear manualmente cada cuenta de usuario o cargar los archivos CSV cada semana, pero estos procesos son lentos, caros y propensos a errores.To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. Se han adoptado soluciones como Just-in-Time (JIT) de SAML para automatizar el aprovisionamiento, pero las empresas también necesitan una solución que permita desaprovisionar a los usuarios cuando abandonan la organización o ya no necesitan acceso a determinadas aplicaciones según el cambio de roles.Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

Algunos de los motivos comunes para usar el aprovisionamiento automático incluyen:Some common motivations for using automatic provisioning include:

  • Maximizar la eficacia y la precisión de los procesos de aprovisionamiento.Maximizing the efficiency and accuracy of provisioning processes.
  • El ahorro en los costos asociados al hospedaje y el mantenimiento de scripts y soluciones de aprovisionamiento desarrollados de forma personalizada.Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Proteger su organización mediante la eliminación instantánea de las identidades de los usuarios de aplicaciones SaaS claves cuando estos abandonan la organización.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Importar fácilmente una gran cantidad de usuarios a una aplicación o sistema SaaS concretos.Easily importing a large number of users into a particular SaaS application or system.
  • Tener un único conjunto de directivas para determinar quién se aprovisiona y quién puede iniciar sesión en una aplicación.Having a single set of policies to determine who is provisioned and who can sign in to an app.

El aprovisionamiento de usuarios de Azure AD puede ayudar a resolver estos desafíos.Azure AD user provisioning can help address these challenges. Para más información sobre cómo usan los clientes el aprovisionamiento de usuarios de Azure AD, puede leer el caso práctico de ASOS.To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. El vídeo siguiente proporciona información general sobre el aprovisionamiento de usuarios en Azure AD:The video below provides an overview of user provisioning in Azure AD:

¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD ofrece compatibilidad preintegrada con muchas aplicaciones SaaS y sistemas de recursos humanos populares, así como compatibilidad genérica con aplicaciones que implementan determinadas partes del estándar SCIM 2.0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • Aplicaciones preintegradas (aplicaciones SaaS de la galería) .Pre-integrated applications (gallery SaaS apps). Para ver una lista de todas las aplicaciones en las que Azure AD admite un conector de aprovisionamiento integrado previamente, consulte la lista de tutoriales de aplicaciones de aprovisionamiento de usuarios.You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. Las aplicaciones integradas previamente que se enumeran en la galería suelen usar las API de administración de usuarios basadas en SCIM 2.0 para el aprovisionamiento.The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Logotipo de Salesforce

    Si quiere solicitar una nueva aplicación para el aprovisionamiento, puede solicitar que la aplicación se integre con la galería de aplicaciones.If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. Si se da una solicitud de aprovisionamiento de usuarios, es necesario que la aplicación tenga un punto de conexión compatible con SCIM.For a user provisioning request, we require the application to have a SCIM-compliant endpoint. Solicite al proveedor de la aplicación que siga el estándar SCIM para que podamos incorporar la aplicación a nuestra plataforma rápidamente.Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • Aplicaciones que admiten SCIM 2.0.Applications that support SCIM 2.0. Para obtener información sobre cómo conectar genéricamente aplicaciones que implementan API de administración de usuarios basadas en SCIM 2.0, consulte Aprovisionamiento de usuarios de SCIM con Azure Active Directory (Azure AD).For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

¿Qué es el sistema de administración de identidades entre dominios (SCIM)?What is System for Cross-domain Identity Management (SCIM)?

Para ayudar a automatizar el aprovisionamiento y el desaprovisionamiento, las aplicaciones exponen las API de grupo y de usuario propietario.To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. Sin embargo, cualquier persona que intente administrar usuarios en más de una aplicación le indicará que cada una intenta realizar las mismas acciones sencillas, como crear o actualizar usuarios, agregar usuarios a grupos o cancelar el aprovisionamiento de usuarios.However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. Aún así, todas estas acciones sencillas se implementan de forma que difieren ligeramente, con diferentes rutas de acceso de puntos de conexión, distintos métodos para especificar la información del usuario y un esquema distinto para representar cada elemento de información.Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

Para abordar estos desafíos, la especificación de SCIM proporciona un esquema de usuario común a fin de ayudar a los usuarios a entrar a las aplicaciones, salir de ellas y trabajar con ellas.To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. SCIM se está convirtiendo en el estándar de facto para aprovisionar y, cuando se usa junto con estándares de federación como SAML u OpenID Connect, ofrece a los administradores una solución de un extremo a otro basada en estándares para la administración del acceso.SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

Para ver instrucciones detalladas acerca de cómo desarrollar un punto de conexión de SCIM para automatizar el aprovisionamiento y el desaprovisionamiento de usuarios y grupos en una aplicación, consulte Creación de un punto de conexión de SCIM y configuración del aprovisionamiento de usuarios.For detailed guidance on developing a SCIM endpoint to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning. En el caso de las aplicaciones integradas previamente en la galería (Slack, Azure Databricks, Snowflake, etc.), puede obviar la documentación para desarrolladores y usar los tutoriales que se proporcionan aquí.For pre-integrated applications in the gallery (Slack, Azure Databricks, Snowflake, etc.), you can skip the developer documentation and use the tutorials provided here.

Aprovisionamiento manual y automáticoManual vs. automatic provisioning

Las aplicaciones de la galería de Azure AD admiten uno de los dos modos de aprovisionamiento:Applications in the Azure AD gallery support one of two provisioning modes:

  • El aprovisionamiento manual significa que todavía no hay ningún conector de aprovisionamiento de Azure AD automático para la aplicación.Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. Las cuentas de usuario deben crearse manualmente, por ejemplo, agregando usuarios directamente en el portal administrativo de la aplicación o cargando una hoja de cálculo con los detalles de estas cuentas.User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. Consulte la documentación suministrada por la aplicación o póngase en contacto con su desarrollador para determinar qué mecanismos hay disponibles.Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • Automático significa que se ha desarrollado un conector de aprovisionamiento de Azure AD para esta aplicación.Automatic means that an Azure AD provisioning connector has been developed for this application. Debe seguir el tutorial de configuración específico para configurar el aprovisionamiento de la aplicación.You should follow the setup tutorial specific to setting up provisioning for the application. Puede encontrar tutoriales sobre aplicaciones en Lista de tutoriales sobre cómo integrar aplicaciones SaaS con Azure Active Directory.App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

En la galería de Azure AD, las aplicaciones que admiten el aprovisionamiento automático se designan mediante un icono de aprovisionamiento.In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. Cambie a la nueva experiencia en versión preliminar de la galería para ver estos iconos (en el banner situado en la parte superior de la página para agregar una aplicación, seleccione el vínculo que indica Haga clic aquí para probar la nueva y mejorada experiencia de la galería de aplicaciones).Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

Icono de aprovisionamiento en la galería de aplicaciones

El modo de aprovisionamiento compatible con una aplicación también se puede ver en la pestaña Aprovisionamiento una vez que se ha agregado la aplicación a Aplicaciones empresariales.The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

¿Cómo configuro el aprovisionamiento automático para una aplicación?How do I set up automatic provisioning to an application?

En el caso de las aplicaciones preintegradas que se enumeran en la galería, se ofrece una guía paso a paso para configurar el aprovisionamiento automático.For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. Consulte la lista de tutoriales para las aplicaciones integradas de la galería.See the list of tutorials for integrated gallery apps. En el vídeo siguiente se muestra cómo configurar el aprovisionamiento automático de usuarios para SalesForce.The following video demonstrates how to set up automatic user provisioning for SalesForce.

Para otras aplicaciones que admiten SCIM 2.0, siga los pasos descritos en el artículo Aprovisionamiento de usuarios de SCIM con Azure Active Directory (Azure AD).For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.

Pasos siguientesNext steps