Configuración de la aplicación de aprovisionamiento de entrada controlada por API
Introducción
En este tutorial se describe cómo configurar el aprovisionamiento de usuarios entrantes controlado por API.
Esta característica solo está disponible cuando se configuran las siguientes aplicaciones de galería empresarial:
- Aprovisionamiento de usuarios entrantes basado en API para el Id. de Microsoft Entra
- Aprovisionamiento de usuarios entrantes controlado por API en AD local
Requisitos previos
Para completar los pasos de este tutorial, necesita acceso al centro de administración de Microsoft Entra con los siguientes roles:
- Administrador de aplicaciones (si está configurando el aprovisionamiento de usuarios entrantes para el Id. de Microsoft Entra) O
- Administrador de aplicaciones + Administrador de identidades híbridas (si va a configurar el aprovisionamiento de usuarios entrantes para Active Directory local)
Si está configurando el aprovisionamiento entrante de usuarios a Active Directory local, necesita acceso a un servidor Windows Server donde pueda instalar el agente de aprovisionamiento para conectarse a su controlador de dominio de Active Directory.
Crear la aplicación de aprovisionamiento controlada por API
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de aplicaciones.
Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.
Haga clic en Nueva aplicación para crear una nueva aplicación de aprovisionamiento.
Escriba Controlado por API en el campo de búsqueda y, a continuación, seleccione la aplicación para la configuración:
- Aprovisionamiento controlado por API en Active Directory local: selecciona esta aplicación si vas a aprovisionar identidades híbridas (identidades que necesitan cuenta de AD local y Microsoft Entra) desde tu sistema de registro. Una vez que estas cuentas se aprovisionan en AD local, se sincronizan automáticamente con su inquilino de Microsoft Entra mediante Microsoft Entra Connect Sync o la sincronización en la nube de Microsoft Entra Connect.
- Aprovisionamiento controlado por API en Microsoft Entra ID: selecciona esta aplicación si vas a aprovisionar identidades solo en la nube (identidades que no necesitan cuentas de AD local y solo necesitan cuenta de Microsoft Entra) desde tu sistema de registro.
En el campo Nombre, cambie el nombre de la aplicación para cumplir los requisitos de nomenclatura y, a continuación, haga clic en Crear.
Nota:
Si tiene previsto ingerir datos de varios orígenes, cada uno con sus propias reglas de sincronización, puede crear varias aplicaciones y asignar a cada aplicación un nombre descriptivo, como
Provision-Employees-From-CSV-to-AD
oProvision-Contractors-From-SQL-to-AD
.Una vez creada la aplicación correctamente, vaya a la hoja Aprovisionamiento y haga clic en Comenzar.
Cambie el modo de aprovisionamiento de Manual a Automático.
En función de la aplicación seleccionada, use una de las secciones siguientes para completar la configuración:
- Configurar el aprovisionamiento de entrada controlado por API en AD local
- Configurar el aprovisionamiento entrante basado en API para el Id. Microsoft Entra
Configurar el aprovisionamiento de entrada controlado por API en AD local
- Después de establecer el modo de aprovisionamiento en Automático, haga clic en Guardar para crear la configuración inicial del trabajo de aprovisionamiento.
- Haga clic en el banner de información sobre el agente de aprovisionamiento Microsoft Entra.
- Haga clic en Aceptar condiciones y descargar para descargar el agente de aprovisionamiento de Microsoft Entra.
- Consulte los pasos que se documentan aquí para instalar y configurar el agente de aprovisionamiento. Este paso registra sus dominios locales de Active Directory con su inquilino de Microsoft Entra.
- Una vez que el registro del agente se haya realizado correctamente, seleccione el dominio en la lista desplegable Dominio de Active Directory y especifique el nombre distintivo (DN) de la unidad organizativa donde se crean nuevas cuentas de usuario de forma predeterminada.
Nota:
Si el dominio de AD no está visible en la lista desplegable Dominio de Active Directory, vuelva a cargar la aplicación de aprovisionamiento en el explorador. Haga clic en Ver los agentes locales para el dominio para asegurarse de que el estado del agente es correcto.
- Haga clic en Probar conexión para asegurarse de que el Id. de Microsoft Entra puede conectarse al agente de aprovisionamiento.
- Haga clic en Guardar para guardar los cambios.
- Una vez que la operación de guardado se realiza correctamente, verá dos paneles de expansión más: uno para Asignaciones y otro para Configuración. Antes de continuar con el paso siguiente, proporcione un id. de correo electrónico de notificación válido y vuelva a guardar la configuración.
Nota:
Proporcionar el correo electrónico de notificación en Configuración es obligatorio. Si el correo electrónico notificación está vacío, el aprovisionamiento entra en cuarentena al iniciar la ejecución.
- Haga clic en el hipervínculo en el panel de expansión Asignaciones para ver las asignaciones de atributos predeterminadas.
Nota
La configuración predeterminada en la página Asignaciones de atributos asigna los atributos de usuario principal de SCIM y usuario de empresa a los atributos de AD locales. Se recomienda usar las asignaciones predeterminadas para empezar a trabajar y personalizar estas asignaciones más adelante a medida que se familiarice con el flujo de datos general.
- Complete la configuración siguiendo los pasos de la sección Iniciar la aceptación de solicitudes de aprovisionamiento.
Configure el aprovisionamiento entrante basado en API para el Id. de Microsoft Entra
Después de establecer el modo de aprovisionamiento en Automático, haga clic en Guardar para crear la configuración inicial del trabajo de aprovisionamiento.
Una vez que la operación de guardado se realiza correctamente, verá dos paneles de expansión más: uno para Asignaciones y otro para Configuración. Antes de continuar con el paso siguiente, asegúrese de proporcionar un id. de correo electrónico de notificación válido y guardar la configuración una vez más.
Nota:
Proporcionar el correo electrónico de notificación en Configuración es obligatorio. Si el correo electrónico notificación está vacío, el aprovisionamiento entra en cuarentena al iniciar la ejecución.
Haga clic en el hipervínculo en el panel de expansión Asignaciones para ver las asignaciones de atributos predeterminadas.
Nota
La configuración predeterminada en la página Asignaciones de atributos asigna los atributos de usuario principal de SCIM y usuario de empresa a los atributos de AD locales. Se recomienda usar las asignaciones predeterminadas para empezar a trabajar y personalizar estas asignaciones más adelante a medida que se familiarice con el flujo de datos general.
Complete la configuración siguiendo los pasos de la sección Iniciar la aceptación de solicitudes de aprovisionamiento.
Iniciar la aceptación de solicitudes de aprovisionamiento
- Abra la página Aprovisionamiento>Información general de la aplicación de aprovisionamiento.
- En esta página, puede realizar las siguientes acciones:
- Botón de control Iniciar aprovisionamiento: haga clic en este botón para colocar el trabajo de aprovisionamiento en modo de escucha para procesar cargas de solicitud de carga masiva entrantes.
- Botón de control Detener aprovisionamiento - Use esta opción para pausar/detener el trabajo de aprovisionamiento.
- Botón de control Reiniciar aprovisionamiento: use esta opción para purgar las cargas de solicitud existentes pendientes de procesamiento e iniciar un nuevo ciclo de aprovisionamiento.
- Botón de control Editar aprovisionamiento: use esta opción para editar la configuración del trabajo, las asignaciones de atributos y para personalizar el esquema de aprovisionamiento.
- Botón de control de Aprovisionamiento a petición: esta característica no es compatible con el aprovisionamiento entrante controlado por API.
- Texto de dirección URL Punto de conexión de API de aprovisionamiento: copie el valor de dirección URL HTTPS que se muestra y guárdelo en un Bloc de notas o OneNote para usarlo más adelante con el cliente de API.
- Expanda el panel Estadísticas hasta la fecha>Ver información técnica y copie la dirección URL del punto de conexión de API de aprovisionamiento. Comparta esta dirección URL con el desarrollador de API después de conceder permiso de acceso para invocar la API.