Integración de directorios SCIM con Microsoft Entra ID

  • EF
  • CW
 Prev Next

Prerrequisitos

  • Complete los pasos descritos en el artículo de soporte técnico de integración de directorios de SCIM para configurar un nuevo directorio de usuarios de SCIM en el inquilino de Kandji . Deberá obtener el token de acceso SCIM y la URL de la API.

  • Copie y almacene el token proporcionado descrito en el artículo Integración de directorios SCIM . Una vez que haga clic en Listo, el token no será visible y se requerirá en un paso posterior.

  • Asegúrese de revisar los atributos de usuario y grupo admitidos que se enumeran en la integración de directorios de SCIM.

  • Asegúrese de que los grupos anidados no se incluyan con SCIM, ya que Microsoft no admite esta funcionalidad.

Crear la integración de SCIM en Microsoft Entra ID

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. Abra el menú del portal y, a continuación, seleccione Entra ID.

  3. En el menú Entra ID , en seleccione Aplicaciones empresariales.

  4. En la sección Administrar, seleccione Todas las aplicaciones.

  5. Seleccione Nueva aplicación. Si ya ha creado una aplicación de inicio de sesión único SAML, puede seleccionar esa aplicación y agregar SCIM.  

  6. Seleccione Crear su propia aplicación.

  7. Asigne un nombre a la aplicación.

  8. Seleccione Integrar cualquier otra aplicación que no encuentre en la galería (no galería).

  9. Haga clic en Crear.

  10. Accederá a la página Información general de la aplicación recién creada.

  11. En Administrar, seleccione Aprovisionamiento.

  12. Haga clic en Nueva configuración.

  13. Pegue la Kandji URL de la API de SCIM que copió anteriormente en el campo URL del inquilino .

  14. Pegue el token de API que copió anteriormente en el campo Token secreto .

  15. Haga clic en Probar conexión. Debería ver una notificación de prueba correcta.

  16. Haga clic en Crear.

  17. Haga clic en el aprovisionamiento en la sección Administrar.

  18. Expanda el triángulo de revelación Asignaciones y asegúrese de que tanto Grupos como Usuarios estén habilitados.

  19. Expande el triángulo de revelación de Configuración .

  20. En Ámbito, elija Sincronizar solo usuarios y grupos asignados.

  21. Establezca el estado de aprovisionamiento en Activado.

  22. Haga clic en Guardar.

  23. Haga clic en la X en la esquina superior derecha para cerrar la configuración.

Asignar usuarios y grupos

  1. En Administrar, seleccione Usuarios y grupos.

  2. En el menú, seleccione Agregar usuario/grupo.

  3. En el cuadro de diálogo Agregar asignación , seleccione el vínculo en Usuarios y grupos.

  4. Se muestra una lista de usuarios y grupos de seguridad. Puede buscar un usuario o grupo específico o seleccionar varios usuarios y grupos que aparecen en la lista.

  5. Seleccione los usuarios y grupos que desea que se le asignen.

  6. Haga clic en Seleccionar. Si ve el mensaje siguiente, significa que se está utilizando un nivel gratuito, lo que significa que solo puede agregar usuarios (no grupos) a la aplicación SCIM Enterprise.

  7. Seleccione Asignar para terminar de asignar usuarios y grupos a la aplicación.

  8. Confirme que los usuarios y grupos que agregó aparecen en la lista Usuarios y grupos .

Consideraciones

Asignación de certificados seguros de AD CS

Al usar Servicios de certificados de Active Directory (AD CS), se producirá un error en la autenticación si un certificado no se puede asignar firmemente a una cuenta de Active Directory. Siga los pasos a continuación para habilitar la asignación segura de certificados para la integración de directorios.

Acceda a su aplicación SCIM

  1. Vaya al portal de administración de Microsoft Entra ID

  2. Vaya a Aplicaciones > Aplicaciones empresariales

  3. Busque y abra la aplicación SCIM que está usando con Kandji

Configurar el aprovisionamiento

  1. En Administrar, haga clic en Aprovisionamiento

  2. En Administrar, haga clic en Asignación de atributos (versión preliminar)

  3. Seleccione Aprovisionar usuarios de Microsoft Entra ID

Agregar el atributo de identificador de seguridad

  1. Desplázate hasta la parte inferior de la página

  2. Marque la casilla para mostrar las opciones avanzadas

  3. Haga clic en Editar lista de atributos para <customappsso>

  4. Agregue un nuevo campo llamado onPremisesSecurityIdentifier, dejando el tipo predeterminado como Cadena.

  5. Haga clic en Guardar

Asignar el atributo

  1. Volver a la sección Asignación de atributos

  2. Desplácese hacia abajo y haga clic en Agregar nueva asignación

  3. Mantener el tipo de asignación establecido en Directo

  4. Establezca el atributo Origen enonPremisesSecurityIdentifier

  5. Establezca el atributo Target enonPremisesSecurityIdentifier

  6. Haga clic en Aceptar y, a continuación, en Guardar

Aparecerá onPremisesSecurityIdentifier en sus atributos de usuario en Kandji después de la próxima sincronización SCIM de Entra (cada 20-40 minutos).

Sincronización

La sincronización de usuarios es unidireccional, lo que significa que la aplicación Microsoft Entra ID SCIM enviará información del usuario a Kandji solo cuando se necesite nueva información. Si se agrega un usuario o grupo a la aplicación SCIM en el identificador de Microsoft Entra después de crear la aplicación, se producirá una sincronización cada 40 minutos (establecida por el identificador de Microsoft Entra). Si desea que la sincronización se produzca antes, puede detener o iniciar el aprovisionamiento en la aplicación SCIM en el identificador de Microsoft Entra. Esto no afectará a los usuarios/grupos existentes en Kandji.

Eliminación de usuarios

  • Si el ID de Entra envía establece un uso en inactivo, el usuario se establecerá como inactivo en el inquilino Kandji .

  • Si Entra ID elimina un usuario, el usuario se eliminará de su inquilino Kandji .

Lógica condicional del modelo

Si usa Assignment Map lógica condicional con grupos, debe agregar explícitamente cada grupo que desee aprovisionar en Kandji a la aplicación SCIM. Los grupos no se sincronizarán automáticamente al agregar usuarios que sean miembros del grupo.

Cumplimiento de dispositivos de Microsoft

Si utiliza una integración de directorio de usuario SCIM de ID de Entra y la integración de cumplimiento de dispositivos de Microsoft, asegúrese de que las asignaciones de atributos de usuario y grupo para el atributo externalId de la aplicación SCIM se asignen a objectId como se indica a continuación. El objectId es utilizado por Kandji para asignar recursos de usuario y grupo en Intune.

Atributo de usuario

Valor para el usuario

Identificación externa

objectId

Atributo de grupo

Valor del grupo

Identificación externa

objectId

Actualización de asignaciones de usuarios y asignaciones de grupos

  1. Vaya a la aplicación empresarial SCIM en el Centro de administración de Microsoft Entra.

  2. Seleccione Aprovisionamiento.

  3. Seleccione la sección Asignación de atributos (versión preliminar).

  4. Si está actualizando los atributos de usuario, haga clic en Aprovisionar usuarios de ID de Microsoft Entra.

  5. Si está actualizando los atributos del grupo, haga clic en Aprovisionar grupos de ID de Microsoft Entra.

  6. Compruebe que externalId está asignado a objectId.

  7. Si no es así, haga clic en el botón Editar a la derecha del atributo y seleccione objectId en la lista.

  8. Haga clic en Guardar.

  9. Haga clic en la X para volver.

  10. Una vez de vuelta en la página Información general de aprovisionamiento, si se cambió algún valor, debe enviar los valores actualizados a Kandji inmediatamente deteniendo e iniciando el servicio de aprovisionamiento.

  11. Haga clic en el botón Pausar aprovisionamiento .

  12. Haga clic en el botón Iniciar aprovisionamiento .