Compartir a través de


Tutorial: Configuración de G Suite para el aprovisionamiento automático de usuarios

En este tutorial, se describen los pasos que debe realizar en G Suite y Microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios y grupos en G Suite mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Nota:

En este tutorial se describe un conector que se crea sobre el servicio de Aprovisionamiento de usuarios de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Funcionalidades admitidas

  • Crear usuarios en G Suite
  • Quitar usuarios de G Suite cuando ya no necesiten acceso (nota: la eliminación de un usuario del ámbito de sincronización no dará lugar a la eliminación del objeto en GSuite)
  • Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y G Suite
  • Aprovisionar grupos y pertenencias a grupos en G Suite
  • Inicio de sesión único en G Suite (recomendado)

Requisitos previos

En el escenario descrito en este tutorial se supone que ya cuenta con los requisitos previos siguientes:

Paso 1: Planeación de la implementación de aprovisionamiento

  1. Obtenga información sobre cómo funciona el servicio de aprovisionamiento.
  2. Determinar quién está en el ámbito de aprovisionamiento.
  3. Determine qué datos quiere asignar entre Microsoft Entra ID y G Suite.

Paso 2: Configuración de G Suite para admitir el aprovisionamiento con Microsoft Entra ID

Antes de configurar G Suite para el aprovisionamiento automático de usuarios con Microsoft Entra ID, debe habilitar el aprovisionamiento de SCIM en G Suite.

  1. Inicie sesión en la consola de administración de G Suite con su cuenta de administrador y vaya al menú principal; desde ahí, seleccione Security (Seguridad). Si no lo ve, es posible que esté oculto bajo el menú Show More (Mostrar más).

    Seguridad de G Suite

    Más información sobre G Suite

  2. Vaya a Security -> Access and data control -> API Controls (Seguridad - Control de acceso y datos - Controles de API). Active la casilla Trust internal,domain-owned apps (Configurar en aplicaciones internas propiedad de dominio) y, a continuación, haga clic en SAVE (GUARDAR).

    API de G Suite

    Importante

    El nombre en Microsoft Entra ID de cada uno de los usuarios que quiera aprovisionar en G Suite tiene que estar vinculado a un dominio personalizado. Por ejemplo, G Suite no acepta los nombres de usuario parecidos a bob@contoso.onmicrosoft.com. Por otro lado, bob@contoso.com se acepta. Puede cambiar el dominio de un usuario existente siguiendo las instrucciones indicadas aquí.

  3. Una vez que agregue y compruebe los dominios personalizados deseados con Microsoft Entra ID, debe comprobarlos de nuevo con G Suite. Para comprobar los dominios en G Suite, consulte los pasos siguientes:

    1. En la consola de administración de G Suite, vaya a Account -> Domains -> Manage Domains (Cuenta - Dominios - Administrar dominios).

      Dominios de G Suite

    2. En la página Administrar dominio, haga clic en Add a domain (Agregar un dominio).

      Adición de un dominio de G Suite

    3. En la página para agregar un dominio, escriba el nombre del dominio que desea agregar.

      Dominio de comprobación de G Suite

    4. Seleccione AGREGAR DOMINIO - INICIAR VERIFICACIÓN. A continuación, siga los pasos para comprobar que posee el nombre de dominio. Para obtener instrucciones completas sobre cómo comprobar un dominio con Google, consulte Verificar que eres el propietario de un sitio web.

    5. Repita los pasos anteriores para todos los dominios adicionales que vaya a agregar a G Suite.

  4. A continuación, determine qué cuenta de administrador quiere usar para administrar el aprovisionamiento de usuarios en G Suite. Vaya a Account->Admin roles (Cuenta - Administrar roles).

    Administrador de G Suite

  5. En el rol administrativo de esa cuenta, edite los valores de Privileges (Privilegios) para ese rol. Asegúrese de que habilita todos los privilegios de la API de administración para que esta cuenta pueda usarse para el aprovisionamiento.

    Privilegios de administración de G Suite

Para empezar a administrar el aprovisionamiento de G Suite, agregue G Suite desde la galería de aplicaciones de Microsoft Entra. Si ha configurado previamente G Suite para el inicio de sesión único, puede usar la misma aplicación. Sin embargo, se recomienda que cree una aplicación independiente al probar la integración inicialmente. Puede encontrar más información sobre cómo agregar una aplicación desde la galería aquí.

Paso 4: Definir quién está en el ámbito de aprovisionamiento

El servicio de aprovisionamiento de Microsoft Entra le permite definir quién se aprovisionará, en función de la asignación a la aplicación y de los atributos del usuario o grupo. Si elige el ámbito que aprovisionará en la aplicación en función de la asignación, puede usar los pasos siguientes para asignar usuarios y grupos a la aplicación. Si elige el ámbito que aprovisionará en función únicamente de los atributos del usuario o grupo, puede usar un filtro de ámbito, tal como se describe aquí.

  • Empiece por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Cuando el ámbito del aprovisionamiento se define en los usuarios y grupos asignados, puede controlarlo asignando uno o dos usuarios o grupos a la aplicación. Cuando el ámbito se establece en todos los usuarios y grupos, puede especificar un filtro de ámbito basado en atributos.

  • Si necesita más roles, puede actualizar el manifiesto de aplicación para agregar nuevos roles.

Paso 5: Configuración del aprovisionamiento automático de usuarios en G Suite

En esta sección, se le guiará por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios o grupos en TestApp en función de las asignaciones de usuarios o grupos de Microsoft Entra ID.

Nota:

Para más información sobre el punto de conexión de la API de directorio de G Suite, consulte la documentación de referencia de la API de directorio.

Para configurar el aprovisionamiento automático de usuarios para G Suite en Microsoft Entra ID :

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Aplicaciones de identidad>Aplicaciones>Empresariales.

    Hoja Aplicaciones empresariales

    Hoja Todas las aplicaciones

  3. En la lista de aplicaciones, seleccione G Suite.

    Vínculo a G Suite en la lista de aplicaciones

  4. Seleccione la pestaña Aprovisionamiento. Haga clic en Introducción.

    Captura de pantalla de las opciones de administración con la opción Aprovisionamiento seleccionada.

  5. Establezca el modo de aprovisionamiento en Automático.

    Captura de pantalla de la lista desplegable Modo de aprovisionamiento con la opción Automático seleccionada.

  6. En Credenciales de administrador, haga clic en Autorizar. Se le redirigirá a un cuadro de diálogo de autorización de Google en una nueva ventana del explorador.

    Autorización de G Suite

  7. Confirme que quiere conceder permisos de Microsoft Entra para realizar cambios en el inquilino de G Suite. Seleccione Aceptar.

    Autorización de un inquilino de G Suite

  8. Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse a la aplicación G Suite. Si la conexión no se establece, asegúrese de que la cuenta de G Suite tiene permisos de administrador y pruebe de nuevo. Luego vuelva a intentar el paso Autorizar.

  9. En el campo Correo electrónico de notificación, escriba la dirección de correo electrónico de una persona o grupo que deba recibir las notificaciones de error de aprovisionamiento y active la casilla Enviar una notificación por correo electrónico cuando se produzca un error.

    Correo electrónico de notificación

  10. Seleccione Guardar.

  11. En la sección Asignaciones, seleccione Aprovisionar usuarios de Microsoft Entra.

  12. Revise los atributos de usuario que se sincronizan entre Microsoft Entra ID y G Suite en la sección Asignación de atributos. Seleccione el botón Guardar para confirmar los cambios.

Nota:

Actualmente, el aprovisionamiento de GSuite solo admite el uso de primaryEmail como atributo coincidente.

Atributo Tipo
primaryEmail String
relations.[type eq "manager"].value String
name.familyName String
name.givenName String
suspended String
externalIds.[type eq "custom"].value String
externalIds.[type eq "organization"].value String
addresses.[type eq "work"].country String
addresses.[type eq "work"].streetAddress String
addresses.[type eq "work"].region String
addresses.[type eq "work"].locality String
addresses.[type eq "work"].postalCode String
emails.[type eq "work"].address String
organizations.[type eq "work"].department String
organizations.[type eq "work"].title String
phoneNumbers.[type eq "work"].value String
phoneNumbers.[type eq "mobile"].value String
phoneNumbers.[type eq "work_fax"].value String
emails.[type eq "work"].address String
organizations.[type eq "work"].department String
organizations.[type eq "work"].title String
addresses.[type eq "home"].country String
addresses.[type eq "home"].formatted String
addresses.[type eq "home"].locality String
addresses.[type eq "home"].postalCode String
addresses.[type eq "home"].region String
addresses.[type eq "home"].streetAddress String
addresses.[type eq "other"].country String
addresses.[type eq "other"].formatted String
addresses.[type eq "other"].locality String
addresses.[type eq "other"].postalCode String
addresses.[type eq "other"].region String
addresses.[type eq "other"].streetAddress String
addresses.[type eq "work"].formatted String
changePasswordAtNextLogin String
emails.[type eq "home"].address String
emails.[type eq "other"].address String
externalIds.[type eq "account"].value String
externalIds.[type eq "custom"].customType String
externalIds.[type eq "customer"].value String
externalIds.[type eq "login_id"].value String
externalIds.[type eq "network"].value String
gender.type String
GeneratedImmutableId String
Identificador String
ims.[type eq "home"].protocol String
ims.[type eq "other"].protocol String
ims.[type eq "work"].protocol String
includeInGlobalAddressList String
ipWhitelisted String
organizations.[type eq "school"].costCenter String
organizations.[type eq "school"].department String
organizations.[type eq "school"].domain String
organizations.[type eq "school"].fullTimeEquivalent String
organizations.[type eq "school"].location String
organizations.[type eq "school"].name String
organizations.[type eq "school"].symbol String
organizations.[type eq "school"].title String
organizations.[type eq "work"].costCenter String
organizations.[type eq "work"].domain String
organizations.[type eq "work"].fullTimeEquivalent String
organizations.[type eq "work"].location String
organizations.[type eq "work"].name String
organizations.[type eq "work"].symbol String
OrgUnitPath String
phoneNumbers.[type eq "home"].value String
phoneNumbers.[type eq "other"].value String
websites.[type eq "home"].value String
websites.[type eq "other"].value String
websites.[type eq "work"].value String
  1. En la sección Asignaciones, seleccione Aprovisionar grupos de Microsoft Entra.

  2. Revise los atributos de grupos que se sincronizan entre Microsoft Entra ID y G Suite en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para establecer coincidencias con los grupos de G Suite con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.

    Atributo Tipo
    email String
    Members String
    name String
    description String
  3. Para configurar filtros de ámbito, consulte las siguientes instrucciones, que se proporcionan en el artículo Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.

  4. Para habilitar el servicio de aprovisionamiento de Microsoft Entra para G Suite, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.

    Estado de aprovisionamiento activado

  5. Elija los valores deseados en Ámbito, en la sección Configuración, para definir los usuarios o grupos que desea que se aprovisionen en G Suite.

    Ámbito del aprovisionamiento

  6. Cuando esté listo para realizar el aprovisionamiento, haga clic en Guardar.

    Guardar la configuración de aprovisionamiento

Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito en la sección Configuración. El ciclo de sincronización inicial tarda más tiempo en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos si el servicio de aprovisionamiento de Microsoft Entra está ejecutándose.

Nota:

Si los usuarios ya tienen una cuenta personal o de consumidor existente con la dirección de correo electrónico del usuario de Microsoft Entra, es posible que se produzca algún problema que pueda resolverse mediante la herramienta Google Transfer antes de realizar la sincronización de directorios.

Paso 6: Supervisión de la implementación

Una vez configurado el aprovisionamiento, use los recursos siguientes para supervisar la implementación:

  1. Use los registros de aprovisionamiento para determinar qué usuarios se han aprovisionado correctamente o sin éxito.
  2. Consulte la barra de progreso para ver el estado del ciclo de aprovisionamiento y cuánto falta para que finalice
  3. Si la configuración de aprovisionamiento parece ser incorrecta, la aplicación pasará a estar en cuarentena. Más información sobre los estados de cuarentena aquí.

Sugerencias para la solución de problemas

  • Al quitar un usuario del ámbito de sincronización, se deshabilita en GSuite, pero no se elimina el usuario de G Suite

Acceso a aplicaciones Just-In-Time (JIT) con PIM para grupos

Con PIM para grupos, puede proporcionar acceso Just-In-Time a grupos en Google Cloud / Google Workspace y reducir el número de usuarios que tienen acceso permanente a grupos con privilegios en Google Cloud / Google Workspace.

Configuración de la aplicación empresarial para el inicio de sesión único y el aprovisionamiento

  1. Agregue Google Cloud o Google Workspace al inquilino, configúrelo para el aprovisionamiento tal como se describe en este tutorial e inicie el aprovisionamiento.
  2. Configure el inicio de sesión único para Google Cloud/ Google Workspace.
  3. Cree un grupo que proporcione a todos los usuarios acceso a la aplicación.
  4. Asigne el grupo a la aplicación de Google Cloud / Google Workspace.
  5. Asigne al usuario de prueba el rol de miembro directo del grupo creado en el paso anterior o proporciónele acceso al grupo a través de un paquete de acceso. Este grupo se puede usar para el acceso persistente y de no administrador en Google Cloud / Google Workspace.

Habilitación de PIM para grupos

  1. Cree un segundo grupo en Microsoft Entra ID. Este grupo proporciona acceso a los permisos de administrador en Google Cloud / Google Workspace.
  2. Coloque el grupo bajo administración en Microsoft Entra PIM.
  3. Defina al usuario de prueba como apto para el grupo en PIM con el rol establecido en miembro.
  4. Asigne el segundo grupo a la aplicación de Google Cloud / Google Workspace.
  5. Use el aprovisionamiento a petición para crear el grupo en Google Cloud / Google Workspace.
  6. Inicie sesión en Google Cloud / Google Workspace y asigne al segundo grupo los permisos necesarios para realizar tareas de administración.

Ahora cualquier usuario final que se definiese como apto para el grupo en PIM puede obtener acceso JIT al grupo en Google Cloud / Google Workspace activando su pertenencia al grupo. Cuando expira su asignación, el usuario se quita del grupo en Google Cloud o Google Workspace. Durante el siguiente ciclo incremental, el servicio de aprovisionamiento intenta quitar de nuevo al usuario del grupo. Esto puede provocar un error en los registros de aprovisionamiento. Este error es de esperar porque ya se quitó la pertenencia al grupo. El mensaje de error puede pasarse por alto.

  • ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?
    • Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
    • Cuando un usuario activa su pertenencia a grupos en PIM de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en 2 a 10 minutos. Cuando hay una alta tasa de solicitudes a la vez, las solicitudes se limitan a una velocidad de cinco solicitudes por cada 10 segundos.
      • Para los cinco primeros usuarios en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en un plazo de 2 a 10 minutos.
      • Para el sexto usuario y versiones posteriores en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
  • Si el usuario no puede acceder al grupo necesario en Google Cloud o Google Workspace, revise los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se diseñe la aplicación de destino, la pertenencia a grupos puede tardar más tiempo en surtir efecto en la aplicación.
  • Puede crear alertas de errores mediante Azure Monitor.

Registro de cambios

  • 17/10/2020 - Se ha agregado compatibilidad con atributos adicionales de usuario y grupo de G Suite.
  • 17/10/2020 - Se han actualizado los nombres de atributo de destino de G Suite para que coincidan con lo que se define aquí.
  • 17/10/2020 - Se han actualizado las asignaciones de atributos predeterminadas.

Más recursos

Pasos siguientes