Compartir a través de


Introducción a las API de flujos de trabajo de ciclo de vida

Flujos de trabajo de ciclo de vida es un servicio de gobernanza de identidades en Microsoft Entra ID que permite a las organizaciones automatizar procesos de ciclo de vida básico para sus usuarios en tres niveles:

  1. Joiner: cuando una persona entra en el ámbito de la necesidad de acceso; por ejemplo, un nuevo empleado que se une a una empresa u organización.
  2. Mover: cuando un individuo se mueve entre los límites dentro de una organización; por ejemplo, un usuario que estaba en marketing ahora es miembro de la organización de ventas. Este movimiento puede requerir más acceso, autorización o revocación de otros privilegios.
  3. Leaver: cuando una persona deja el ámbito de necesidad de acceso, es posible que sea necesario revocar el acceso y desaprovisionar al usuario. Por ejemplo, un empleado que se retira o termina.

Por este motivo, los flujos de trabajo de ciclo de vida se pueden denominar flujo de trabajo Joiner-Mover-Leaver (JML).

Las API de flujo de trabajo de ciclo de vida de Microsoft Graph le permiten automatizar las funcionalidades de flujos de trabajo de ciclo de vida de su organización. En este artículo se introdujo el conjunto de API que habilitan el servicio Flujos de trabajo de ciclo de vida en Microsoft Entra ID.

Las API de flujos de trabajo de ciclo de vida se definen en el subnombre de ODataspace, microsoft.graph.identityGovernance.

Nota:

En este artículo se describe cómo exportar datos personales desde un dispositivo o servicio. Estos pasos se pueden usar para respaldar sus obligaciones en virtud del Reglamento general de protección de datos (RGPD). Los administradores de inquilinos autorizados pueden usar Microsoft Graph para corregir, actualizar o eliminar información de identificación sobre los usuarios finales, incluidos los perfiles de usuario de clientes y empleados o los datos personales, como el nombre, el título del trabajo, la dirección o el número de teléfono de un usuario, en el entorno de Microsoft Entra ID .

Flujos de trabajo

Los flujos de trabajo son contenedores para los procesos implicados en la administración del ciclo de vida de los usuarios de la organización. En su núcleo se encuentran las tareas y las condiciones de ejecución.

  • Las tareas son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo.
  • Las condiciones de ejecución definen el ámbito de "quién" y el desencadenador de "cuándo" se ejecuta un flujo de trabajo.

Para crear flujos de trabajo, se recomienda usar una de las plantillas de flujo de trabajo predefinidas.

Plantillas de flujo de trabajo

Microsoft Entra ID proporciona las siguientes plantillas de flujo de trabajo predefinidas que definen las plantillas para combinaciones de tareas y condiciones de ejecución que pueden formar parte de un flujo de trabajo. Puede usar las plantillas de flujo de trabajo para crear los flujos de trabajo mediante programación.

Tipo de plantilla de flujo de trabajo Categoría ciclo de vida
Incorporación de empleados de pre-contratación Carpintero
Incorporación de nuevos empleados de contratación Carpintero
Incorporación posterior a un nuevo empleado de contratación Carpintero
Cambio de empleado en tiempo real Mover
Cambios en la pertenencia a grupos de empleados Mover
Cambio del perfil de trabajo del empleado Mover
Terminación de empleados en tiempo real Licenciado
Eliminación previa de un empleado Licenciado
Offboard a un empleado Licenciado
Post-Offboarding de un empleado Licenciado

Use el tipo de recurso workflowTemplate y sus métodos asociados para identificar las plantillas preconfiguradas, las tareas y las condiciones de ejecución que admiten, y copie y use las plantillas para crear los flujos de trabajo mediante programación.

Información general del flujo de trabajo

Cada flujo de trabajo contiene información descriptiva general, como su identificador, nombre, descripción y si está habilitado para ejecutarse como programado o a petición.

Tareas de flujo de trabajo

Las tareas de flujo de trabajo son acciones específicas que se ejecutan automáticamente cuando se desencadena un flujo de trabajo. Los flujos de trabajo de ciclo de vida definen las siguientes tareas preconfiguradas y de solo lectura permitidas para las categorías de flujo de trabajo especificadas. Estas definiciones de tareas muestran la configuración del tipo de tarea, lo que le guía a medida que crea tareas para el flujo de trabajo.

Actualmente, los flujos de trabajo de ciclo de vida admiten las siguientes tareas:

Tarea taskdefinitionID Categoría
Enviar correo electrónico de bienvenida a la nueva contratación 70b29d51-b59a-4773-9280-8841dfd3f2ea Carpintero
Enviar correo electrónico de recordatorio de incorporación 3C860712-2D37-42A4-928F-5C93935D26A1 Carpintero
Generación de pase de acceso temporal y envío por correo electrónico al administrador del usuario 1b555e50-7f65-41d5-b514-5894a026d10d Carpintero
Solicitud de asignación de paquetes de acceso de usuario c1ec1e76-f374-4375-aaa6-0bb6bd4c60be Joiner, Mover
Asignar licencias a los usuarios 683c87a4-2ad4-420b-97d4-220d90afcd24 Joiner, Mover
Enviar correo electrónico al administrador de notificaciones del traslado del usuario aab41899-9972-422a-9d97-f626014578b7 Mover
Agregar usuario a grupos 22085229-5809-45e8-97fd-270d28d66910 Joiner, Leaver, Mover
Adición de un usuario a los equipos e440ed8d-25a1-4618-84ce-091ed5be5594 Joiner, Leaver, Mover
Habilitar cuenta de usuario 6fc52c9d-398b-4305-9763-15f42c1676fc Joiner, Leaver
Ejecución de una extensión de tarea personalizada 4262b724-8dba-4fad-afc3-43fcbb497a0e Joiner, Leaver, Mover
Deshabilitar la cuenta de usuario 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 Licenciado
Eliminación del usuario del grupo seleccionado 1953a66c-751c-45e5-8bfe-01462c70da3c Joiner, Leaver, Mover
Eliminación de usuarios de todos los grupos b3a31406-2a15-4c9a-b25b-a658fa5f07fc Licenciado
Eliminación del usuario de los equipos 06aa7acb-01af-4824-8899-b14e5ed788d6 Joiner, Leaver, Mover
Eliminación del usuario de todos los equipos 81f7b200-2816-4b3b-8c5d-dc556f07b024 Licenciado
Eliminación de todas las asignaciones de licencias del usuario 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e Licenciado
Eliminación de la asignación de paquetes de acceso para el usuario 4a0b64f2-c7ec-46ba-b117-18f262946c50 Leaver, Mover
Eliminación de las asignaciones de licencias seleccionadas del usuario 5fc402a8-daaf-4b7b-9203-da868b05fc5f Leaver, Mover
Eliminación de todas las asignaciones de paquetes de acceso para el usuario 42ae2956-193d-4f39-be06-691b8ac4fa1d Licenciado
Cancelar todas las solicitudes de asignación de paquetes de acceso pendientes para el usuario 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 Licenciado
Eliminar usuario 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff Licenciado
Enviar correo electrónico al administrador antes del último día del usuario 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 Licenciado
Enviar correo electrónico a los usuarios el último día 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 Licenciado
Envío de correo electrónico fuera del panel al administrador de usuarios después de su último día 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce Licenciado

Use el tipo de recurso taskDefinition y sus métodos asociados para detectar todas las tareas predefinidas que se pueden configurar para el flujo de trabajo y la configuración de las propiedades. El tipo de recurso task y sus métodos GET asociados permiten ver las tareas configuradas para el flujo de trabajo.

Condiciones de ejecución

Para cada tarea de flujo de trabajo, hay una condición de ejecución que define el ámbito de "quién" y el desencadenador de "cuándo" se ejecuta un flujo de trabajo y sus tareas asociadas. Por ejemplo, una condición de ejecución puede especificar que un flujo de trabajo se ejecute para salir de los empleados, siete días antes de la fecha de finalización de su empleo, si están en el departamento de R&D. La tarea asociada en el flujo de trabajo puede especificar que el usuario se quite de los grupos y equipos de R&D.

⁄⁄Sample snippet for the executionConditions object

"executionConditions": {
    "@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
    "scope": {
        "@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
        "rule": "department eq 'R&D'"
    },
    "trigger": {
        "@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
        "timeBasedAttribute": "employeeLeaveDateTime",
        "offsetInDays": -7
    }
}

Al crear o actualizar un flujo de trabajo, use el tipo de recurso workflowExecutionConditions para configurar las condiciones de ejecución. Use este objeto para configurar también un flujo de trabajo que se ejecute solo a petición.

Creación y administración de flujos de trabajo

Después de identificar las tareas y las condiciones de ejecución que desea definir para el flujo de trabajo, use el tipo de recurso de flujo de trabajo y sus métodos asociados para crear y administrar el flujo de trabajo. Puede crear hasta 100 flujos de trabajo en un inquilino. La categoría de la tarea debe coincidir con la categoría del flujo de trabajo. Cada flujo de trabajo puede tener hasta 25 tareas. Por lo tanto:

  • Una tarea admitida solo para la categoría de flujo de trabajo "leaver" no se puede especificar en un escenario de flujo de trabajo "joiner" o "mover" y viceversa.
  • Se puede especificar una tarea compatible con las categorías de flujo de trabajo "joiner", "mover" y "leaver" en un escenario de flujo de trabajo "joiner", "mover" o "leaver".

Puede programar un flujo de trabajo para que se ejecute en función de la programación de todo el inquilino o ejecutarlo a petición. La programación de inquilinos puede encargarse de las nuevas contrataciones y terminaciones programadas, mientras que puede ejecutar un flujo de trabajo a petición inmediatamente para finalizar el acceso de un empleado si hay un evento confidencial.

Versiones de flujo de trabajo

Mientras se usa un flujo de trabajo, es posible que tenga que actualizar las condiciones de ejecución y las tareas de un flujo de trabajo. Sin embargo, los flujos de trabajo de ciclo de vida no permiten actualizar estas propiedades para un flujo de trabajo existente.

En lugar de crear nuevos flujos de trabajo, use el tipo de recurso workflowVersion y sus métodos asociados para crear y administrar una nueva versión de flujo de trabajo, en función de un objeto de flujo de trabajo existente. La versión del flujo de trabajo puede tener un conjunto similar o diferente de tareas y condiciones de ejecución.

Informes

Los flujos de trabajo de ciclo de vida admiten amplias capacidades de generación de informes para realizar un seguimiento del estado del procesamiento del flujo de trabajo en el nivel de ejecución del flujo de trabajo, en el nivel de tarea y en el nivel de usuario.

Para obtener más información sobre las funcionalidades de generación de informes para flujos de trabajo de ciclo de vida, consulte la introducción a las API de informes de flujos de trabajo de ciclo de vida.

Extensiones

A veces, es posible que las tareas integradas no sean adecuadas para satisfacer todos los escenarios empresariales. Para ampliar los escenarios de administración del ciclo de vida, los flujos de trabajo de ciclo de vida admiten la definición de tareas personalizadas para integrarse con sistemas externos a través de Azure Logic Apps. Por ejemplo, para un escenario "leaver", es posible que también quiera conceder acceso al administrador del usuario a la cuenta de correo electrónico del usuario.

Use el tipo de recurso customTaskExtension y sus métodos asociados para definir la configuración de la aplicación lógica de Azure.

Configuración

Cada inquilino define una programación para todo el inquilino cuando se ejecutan todos los flujos de trabajo programados. El inquilino puede adoptar la programación predeterminada definida por el identificador de Microsoft Entra, donde los flujos de trabajo se ejecutan cada tres horas, o modificar la programación para que se ejecute entre 1 hora y 24 horas.

Comprobaciones de licencia

El uso de esta característica requiere licencias de gobernanza de id. de Microsoft Entra. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Microsoft Entra ID.