¿Qué es el aprovisionamiento de aplicaciones en Microsoft Entra ID?

En Microsoft Entra ID, el término aprovisionamiento de aplicaciones hace referencia a la creación automática de identidades y roles de usuario para las aplicaciones.

Diagrama que muestra escenarios de aprovisionamiento.

El aprovisionamiento de aplicaciones de Microsoft Entra hace referencia a la creación automática de identidades y roles de usuario en las aplicaciones a las que los usuarios necesitan acceder. Además de crear identidades de usuario, el aprovisionamiento automático incluye el mantenimiento y la eliminación de identidades de usuario a medida que el estado o los roles cambian. Algunos escenarios comunes son el aprovisionamiento de un usuario de Microsoft Entra en aplicaciones SaaS como Dropbox, Salesforce y ServiceNow, entre otras.

Microsoft Entra ID también admite el aprovisionamiento de usuarios en aplicaciones hospedadas en un entorno local o en una máquina virtual, sin tener que abrir ningún firewall. En la tabla siguiente se proporciona una asignación de protocolos a conectores admitidos.

Protocolo Connector
SCIM SCIM - SaaS
SCIM: red local o privada
LDAP LDAP
SQL SQL
REST Servicios web
SOAP Servicios web
Archivo plano PowerShell
Personalizado Conectores ECMA personalizados
Conectores y puertas de enlace compiladas por asociados
  • Aprovisionamiento automatizado: Crear cuentas automáticamente en los sistemas adecuados para los usuarios nuevos cuando se unen a su equipo u organización.
  • Desaprovisionamiento automatizado: desactivar las cuentas automáticamente en los sistemas adecuados cuando los usuarios dejan el equipo o la organización.
  • Sincronización de datos entre sistemas: asegúrate de que las identidades de las aplicaciones y sistemas se mantienen actualizadas con los cambios del directorio o el sistema de recursos humanos.
  • Aprovisionamiento de grupos: aprovisionar grupos para las aplicaciones que los admitan.
  • Control del acceso: supervisa y audita los usuarios aprovisionados en las aplicaciones.
  • Implementación completa en escenarios que parten de recursos existentes: hacer coincidir las identidades actuales entre los sistemas y permitir una integración sencilla, incluso cuando los usuarios ya existen en el sistema de destino.
  • Uso de numerosos elementos de personalización: aprovechar las asignaciones de atributos personalizables que definen qué datos del usuario deben fluir del sistema de origen al sistema de destino.
  • Obtención de alertas para eventos críticos: el servicio de aprovisionamiento proporciona alertas para eventos críticos y permite la integración de Log Analytics, donde puede definir alertas personalizadas a la medida de las necesidades de su empresa.

¿Qué es SCIM?

Para ayudar a automatizar el aprovisionamiento y el desaprovisionamiento, las aplicaciones exponen las API de grupo y de usuario propietario. La administración de usuarios en más de una aplicación es un desafío porque cada aplicación intenta realizar las mismas acciones. Por ejemplo, crear o actualizar usuarios, agregar usuarios a grupos o desaprovisionar usuarios. A menudo, los desarrolladores implementan estas acciones ligeramente diferentes. Por ejemplo, usar diferentes rutas de puntos de conexión, diferentes métodos para especificar la información del usuario y diferentes esquemas para representar cada elemento de información.

Para abordar estos desafíos, la especificación de System for Cross-domain Identity Management (SCIM) proporciona un esquema de usuario común para ayudar a los usuarios a entrar, salir o moverse por las aplicaciones. SCIM se está convirtiendo en el estándar de facto para aprovisionar y, cuando se usa junto con estándares de federación, como el Lenguaje de marcado de aserción de seguridad (SAML) u OpenID Connect (OIDC), ofrece a los administradores una solución de un extremo a otro basada en estándares para la administración del acceso.

Para ver instrucciones detalladas acerca de cómo desarrollar un punto de conexión de SCIM para automatizar el aprovisionamiento y el desaprovisionamiento de usuarios y grupos en una aplicación, consulte Creación de un punto de conexión de SCIM y configuración del aprovisionamiento de usuarios. Muchas aplicaciones se integran directamente con Microsoft Entra ID. Algunos ejemplos son Slack, Azure Databricks y Snowflake. Para estas aplicaciones, omite la documentación para desarrolladores y usa los tutoriales que se proporcionan en Tutoriales para integrar aplicaciones SaaS con Microsoft Entra ID.

Aprovisionamiento manual y automático

Las aplicaciones de la galería de Microsoft Entra admiten uno de los dos modos de aprovisionamiento:

  • El aprovisionamiento manual indica que todavía no hay ningún conector de aprovisionamiento de Microsoft Entra automático para la aplicación. Debe crearlas manualmente. Por ejemplo, agregar usuarios directamente en el portal administrativo de la aplicación o cargar una hoja de cálculo con los detalles de estas cuentas. Consulte la documentación suministrada por la aplicación o póngase en contacto con su desarrollador para determinar qué mecanismos hay disponibles.
  • Automático significa que un conector de aprovisionamiento de Microsoft Entra está disponible para esta aplicación. Siga el tutorial de configuración específico para configurar el aprovisionamiento de la aplicación. Busca los tutoriales de la aplicación en Tutoriales para integrar aplicaciones SaaS con Microsoft Entra ID.

El modo de aprovisionamiento compatible con una aplicación también se puede ver en la pestaña Aprovisionamiento una vez que se ha agregado la aplicación a las aplicaciones empresariales.

Ventajas del aprovisionamiento automático

El número de aplicaciones usadas en las organizaciones modernas sigue creciendo. Como administrador de TI, debes administrar la administración de acceso a gran escala. Utilizas estándares como SAML u OIDC para el inicio de sesión único (SSO), pero el acceso también requiere que aprovisiones a los usuarios en una aplicación. Puedes pensar que el aprovisionamiento significa crear manualmente cada cuenta de usuario o cargar archivos CSV cada semana. Estos procesos son lentos, caros y propensos a errores Para simplificar el proceso, usa SAML Just-In-Time (JIT) para automatizar el aprovisionamiento. Utiliza el mismo proceso para dar de baja a los usuarios cuando dejen la organización o ya no necesiten acceso a determinadas aplicaciones según el cambio de función.

Algunos de los motivos comunes para usar el aprovisionamiento automático incluyen:

  • Maximizar la eficacia y la precisión de los procesos de aprovisionamiento.
  • El ahorro en los costos asociados al hospedaje y el mantenimiento de scripts y soluciones de aprovisionamiento desarrollados de forma personalizada.
  • Proteger su organización mediante la eliminación instantánea de las identidades de los usuarios de aplicaciones SaaS claves cuando estos abandonan la organización.
  • Importar fácilmente una gran cantidad de usuarios a una aplicación o sistema SaaS concretos.
  • Un único conjunto de políticas para determinar los usuarios aprovisionados que pueden iniciar sesión en una aplicación.

El aprovisionamiento de usuarios de Microsoft Entra puede ayudar a resolver estos desafíos. Para más información sobre cómo usan los clientes el aprovisionamiento de usuarios de Azure D, lea el caso práctico de ASOS. El vídeo siguiente proporciona información general sobre el aprovisionamiento de usuarios en Microsoft Entra ID.

¿Qué aplicaciones y sistemas puedo usar con el aprovisionamiento automático de usuarios de Microsoft Entra?

Microsoft Entra ofrece compatibilidad preintegrada con muchas aplicaciones SaaS y sistemas de recursos humanos populares, así como compatibilidad genérica con aplicaciones que implementan determinadas partes del estándar SCIM 2.0.

¿Cómo configuro el aprovisionamiento automático para una aplicación?

Para las aplicaciones preintegradas enumeradas en la galería, usa las instrucciones paso a paso existentes para configurar el aprovisionamiento automático, consulta los Tutoriales para integrar aplicaciones SaaS con Microsoft Entra ID. El siguiente video muestra cómo configurar el aprovisionamiento automático de usuarios en SalesForce.

Para otras aplicaciones que admiten SCIM 2.0, siga los pasos descritos en Tutorial: Desarrollo y planeación del aprovisionamiento de un punto de conexión de SCIM en Azure Active Directory.

Pasos siguientes