Configuración de sincronización por SCIM

Esta función está disponible para los planes:

PROFESSIONAL

PERFORMANCE

Haz clic aquí para ver más información sobre los planes disponibles.

Haz clic sobre los siguientes enlaces para ir a las secciones relacionadas dentro de este artículo:

Introducción
Requisitos
Configuración de la conexión de Azure AD con ForceManager
- Creación de una nueva aplicación empresarial
- Configuración de las políticas de sincronización
Configuración de usuarios específicos
- Asignación de usuarios a la aplicación empresarial

Introducción

Esta sincronización es únicamente de Azure AD a ForceManager, es decir, solo se crearán, borrarán o modificarán usuarios de ForceManager, al ser una sincronización unidireccional los datos de Azure AD no podrán ser modificados desde ForceManager.

Azure Ad infographic_es.png

La sincronización de usuarios admite los siguientes modos*:

Desactivación de usuarios: Si un usuario es borrado o desasignado de la aplicación en Azure AD, el usuario será desactivado en ForceManager y perderá su acceso. La información del usuario no se borrará, y en caso de que vuelva a ser activado en el directorio activo el usuario volverá a recuperar su acceso a ForceManager y sus datos.
Creación de nuevos usuarios: Cuando un usuario sea añadido al dominio del cliente, este será creado en ForceManager con unos permisos básicos y asignado al grupo y entorno por defecto
Modificación de usuarios existentes: Si se cambia algún dato del dominio de Azure (nombre, teléfono, direcciones, responsable jerárquicos), estos serán modificados en ForceManager.

* La sincronización de usuarios de ForceManager con Azure Active Directory (Azure AD) está basada en el uso del protocolo estándar SCIM 2.0. Mas información sobre la implementación de este protocolo en Azure AD puede encontrarse en los siguientes enlaces:

Requisitos

Para poder configurar correctamente la sincronización de directorios es necesario lo siguiente:

Un usuario de Azure AD con permisos de administración sobre el dominio*
Una implementación existente en ForceManager.
Un usuario de ForceManager con permisos para administrar y gestionar los usuarios de la implementación.
Es recomendable que la implementación este configurada para poder usar Azure AD como autenticador de usuarios. De esta forma un administrador de dominio podrá gestionar el ciclo de vida completo de un usuario incluyendo sus políticas de contraseña y de acceso.

* además el usuario debe poder registrar nuevas aplicaciones empresariales, así como asignar usuarios a las mismas.

Azure Ad infographic_2_es.png

Para validar si como usuario tienes permisos suficientes dentro de ForceManager para poder configurar la sincronización por SCIM es necesario que accedas a la siguiente dirección:

https://be-pro.forcemanager.net/scim/

Una vez accedas utiliza tus credenciales de ForceManager (o tus credenciales de Microsoft si Azure está dado de alta como proveedor de auteticación). Si has conseguido acceder con tus credenciales eso indica que todo está correctamente configurado por parte de ForceManager, ahora solo faltará que configures la conexión de Azure AD con ForceManager.

Configuración de la conexión de Azure AD con ForceManager.

Los pasos para poder configurar la sincronización de usuarios en Azure AD son los siguientes:

Creación de una nueva aplicación empresarial
Acceso a https://be-pro.forcemanager.net/scim/ para obtener el token de acceso de SCIM
Configuración de la nueva aplicación de Azure con dicho token
Configuración de las políticas de sincronización en Azure
Ejecución manual y verificación de la primera sincronización
Configurar la sincronización automática

Creación de una nueva aplicación empresarial

Una vez logado en la consola de Azure dirígete a la configuración de Azure Active Directory.

Haz click en la sección de Aplicaciones Empresariales

Al hacer clic podrás ver todas las aplicaciones empresariales que pueden ser configuradas, o que están configuradas para poder acceder a información del dominio.

Para poder configurar la sincronización de SCIM será necesario que crees una nueva aplicación empresarial y configures sus políticas de aprovisionamiento de usuarios de la siguiente forma.

Haz clic en nueva aplicación

Después, selecciona “Crear tu propia aplicación”

Nombra la nueva aplicación y selecciona “Integrar una aplicación que no se encuentra en la galería”. El nombre puede ser cualquiera que desees como administrador, desde ForceManager te recomenadamos usar el nombre “ForceManager SCIM User sync”

Una vez creada la aplicación es necesario que te dirijas a la sección de aprovisionamiento de usuarios:

Dentro de esta sección haz clic en aprovisionamiento de usuarios y cambia la configuración de manual a automático en el menú desplegable de la primera casilla.

A continuación, rellena los campos en las credenciales de administrador.

En Tenant URL añade el siguiente enlace:

https://be-pro.forcemanager.net/scim/

Utiliza esta misma url para obtener el Token secreto. Para obtener accede a https://be-pro.forcemamager.net/scim y lógate para acceder a la pantalla de credenciales, donde se podrá copiar y pegar en la caja de texto de Azure, el token obtenido debajo de la sección de API Key.

Al realizar esta acción el campo de Token quedará completado, facilitándote realizar un test de conexión.

Al realizar esta acción Azure puede conectarse a ForceManager para poder realizar los procesos de sincronización de usuarios. Los siguientes pasos te indicarán como configurar Azure para que solo transmita la información deseada, para ello no será necesario que modifiques los mapeos estándares de Azure (a no ser que el dominio tenga campos no estándares).Sera necesario guardar los cambios para que estos queden registrados.

Configuración de las políticas de sincronización

Para poder configurar qué información y cuando es sincronizada deberás acceder a la sección de “Mapeos (Mappings)”, una vez accedas podrás seleccionar entre:

Solo en borrados (o desasignar un usuario a la aplicación empresarial).
Solo en updates.
Solo en creación de nuevos usuarios (o asignaciones nuevas).

Para ello, es necesario hacer clic en “Provision Azure Active Directory Users

El enlace te llevará a esta página de atributos de mapeo, una vez allí y en caso de solo querer desactivar usuarios es necesario dejar marcada únicamente la casilla “Delete (Borrado)”. No es necesario modificar ninguna de los mappings estándar.

Importante: Para verificar que toda la sincronización es correcta te aconsejamos que lleves a cabo un ciclo de aprovisionamiento manual de un usuario. La aplicación por defecto tiene desactivado el aprovisionamiento automático en Azure. Será necesario activarlo después de su verificación.

Configuración de usuarios específicos

Una vez ya has configurado correctamente la conexión con ForceManager (y no hayas seleccionado sincronizar todos los usuarios) será necesario que configures los usuarios que tienen acceso a la aplicación, y decidir qué información deseas transferir de dichos usuarios.

Forcemanager usa el campo de Correo principal para mapear los usuarios entre el directorio activo y ForceManager, con lo que es necesario que dicho campo sea el mismo para el mismo usuario.

Asignación de usuarios a la aplicación empresarial

Por defecto, los usuarios del dominio no podrán acceder a una aplicación empresarial de nueva a no ser un administrador los autorice. Según hemos visto en la sección de configuración de la conexión, para ello es necesario llevar a cabo las asignaciones estándares dentro de Azure siendo soportadas todas las políticas de Azure Active Directory, incluyendo:

Asignación directa de acceso
Asignación por grupo de usuarios
Asignación por roles
Asignación del dominio completo