Integración de directorio SCIM con Microsoft Entra ID (anteriormente Azure AD)

  • EF

Microsoft Entra ID es el nuevo nombre de Azure AD (Azure Active Directory).

Prerrequisitos

  • Complete los pasos descritos en el artículo de soporte técnico de integración de directorios SCIM para configurar un nuevo directorio de usuario SCIM en el inquilino Kandji . Deberá obtener el token de acceso SCIM y la URL de la API.

  • Copie y almacene el token proporcionado en el artículo Integración de directorio SCIM . Una vez que haga clic en Listo, el token no será visible y será necesario en un paso posterior.

  • Asegúrese de revisar los atributos de usuario y grupo admitidos enumerados en la integración de directorios SCIM.

Creación de la integración de SCIM en el identificador de Microsoft Entra

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Abra el menú del portal y, a continuación, seleccione Identidad.

  3. En el menú Identidad , en Aplicaciones, seleccione Aplicaciones empresariales.

  4. En la sección Administrar, seleccione Todas las aplicaciones.

  5. Seleccione Nueva aplicación. Si ya ha creado una aplicación de inicio de sesión único de SAML, puede seleccionar esa aplicación y agregar SCIM. 

  6. Seleccione Crear su propia aplicación.

  7. Asigne un nombre a la aplicación.

  8. Seleccione Integrar cualquier otra aplicación que no encuentre en la galería (No galería).

  9. Haga clic en Crear

  10. Accederá a la página Información general de la aplicación recién creada.

  11. En Administrar, seleccione Aprovisionamiento

  12. Haga clic en Comenzar

  13. En Modo de aprovisionamiento, seleccione Automático.

  14. Si la sección Credenciales de administrador no muestra detalles, haga clic en el triángulo de revelación para expandirlo.

  15. Pegue la Kandji URL de la API de SCIM que copió anteriormente en el campo URL del inquilino .

  16. Pegue el token de API que copió anteriormente en el campo Token secreto .

  17. Haga clic en Probar conexión. Debería ver una notificación de prueba correcta.

  18. En la esquina superior izquierda, haz clic en Guardar

  19. Expanda el triángulo de revelación de asignaciones y asegúrese de que tanto los grupos como los usuarios estén habilitados.

  20. Haga clic en la X en la esquina superior derecha para cerrar la configuración.

  21. Haga clic en Editar aprovisionamiento.

  22. Expanda el triángulo de revelación de configuración .

  23. En Ámbito, elija Sincronizar solo los usuarios y grupos asignados.

  24. Establezca el estado de aprovisionamiento en activado.

  25. Haga clic en Guardar.

  26. Haga clic en la X en la esquina superior derecha para cerrar la configuración.

  27. En la página Información general , haga clic en la X en la esquina superior derecha para cerrar la configuración.

Asignar usuarios y grupos

  1. En Administrar, seleccione Usuarios y grupos.

  2. En el menú, seleccione Agregar usuario/grupo.

  3. En el cuadro de diálogo Agregar asignación , seleccione el vínculo en Usuarios y grupos

  4. Se muestra una lista de usuarios y grupos de seguridad. Puede buscar un usuario o grupo específico o seleccionar varios usuarios y grupos que aparezcan en la lista.

  5. Una vez que haya seleccionado los usuarios y grupos, seleccione SeleccionarSi ve el mensaje a continuación, significa que se está utilizando un nivel gratuito, lo que significa que solo puede agregar usuarios (no grupos) a la aplicación Passport Enterprise. 

  6. Seleccione Asignar para terminar de asignar usuarios y grupos a la aplicación.

  7. Confirme que los usuarios y grupos que ha agregado aparecen en la lista Usuarios y grupos .

Consideraciones

Sincronización

La sincronización de usuarios es unidireccional, lo que significa que la aplicación SCIM de Microsoft Entra ID enviará información de usuario a Kandji solo cuando se necesite nueva información. Si se agrega un usuario o grupo a la aplicación SCIM en el identificador de Microsoft Entra después de crear la aplicación, se producirá una sincronización cada 40 minutos (establecida por el identificador de Microsoft Entra). Si desea que la sincronización se produzca antes, puede detener o iniciar el aprovisionamiento en la aplicación SCIM en el identificador de Microsoft Entra. Esto no afectará a los usuarios/grupos existentes en Kandji.

Reglas de asignación

Si usa reglas de asignación con grupos, debe agregar explícitamente cada grupo que desee aprovisionar en Kandji a la aplicación SCIM; De lo contrario, los grupos no se sincronizarán automáticamente si agrega solo el usuario.