Configuración de la herramienta de administración de TheAccessHub con Azure Active Directory B2C

En este tutorial, aprenderá a integrar Azure Active Directory B2C (Azure AD B2C) con TheAccessHub Admin Tool desde N8 Identity N8ID. La solución aborda la migración de cuentas de cliente y la administración de solicitudes de servicio al cliente (CSR).

Use esta solución para los escenarios siguientes:

• Tiene un sitio y quiere migrar a Azure AD B2C.
  • Sin embargo, la migración de cuentas de cliente es complicada, incluidas las contraseñas.
• Necesita una herramienta CSR para administrar cuentas de Azure AD B2C.
• La administración delegada de CSR es un requisito.
• Quiere sincronizar y combinar datos de repositorios en Azure AD B2C.

Prerrequisitos

Para empezar, necesita lo siguiente:

• Una suscripción de Azure

  • Si no tiene una, puede obtener una cuenta gratuita de Azure.

• Un inquilino de Azure AD B2C vinculado a su suscripción de Azure
• Entorno de la herramienta de administración de AccessHub
  • Consulte N8 Identity/contact para un nuevo entorno.
• Opcional:
  • Información de conexión y credenciales para bases de datos o Protocolos ligeros de acceso a directorios (LDAP), desde los que desea migrar los datos de los clientes
  • Un entorno de Azure AD B2C configurado para directivas personalizadas para integrar TheAccessHub Admin Tool en el flujo de directivas de registro

Descripción del escenario

TheAccessHub Admin Tool se ejecuta en la suscripción de Azure N8ID o en la suscripción de cliente. En el diagrama de arquitectura siguiente se muestra la implementación.

1. El usuario llega a una página de inicio de sesión, crea una cuenta y escribe información. Azure AD B2C recopila atributos de usuario.
2. Azure AD B2C llama a theAccessHub Admin Tool y pasa los atributos de usuario.
3. La herramienta de administración deAccessHub comprueba la base de datos para obtener información de usuario actual.
4. Los registros de usuario se sincronizan entre la base de datos y la herramienta de administración de TheAccessHub.
5. La herramienta de administración deAccessHub comparte los datos con el CSR delegado o el administrador del departamento de soporte técnico.
6. La herramienta de administración deAccessHub sincroniza los registros de usuario con Azure AD B2C.
7. En función de la respuesta de theAccessHub Admin Tool, Azure AD B2C envía un correo electrónico de bienvenida personalizado a los usuarios.

Creación de un administrador de proveedor de identidades externo y un administrador de flujo de usuario de B2C en el inquilino de Azure AD B2C

Los permisos de la herramienta de administración deAccessHub actúan en nombre de un administrador de proveedor de identidades externo y un administrador de flujo de usuario B2C para leer la información del usuario y realizar cambios en el inquilino de Azure AD B2C. Los cambios en los administradores normales no afectan a la interacción de theAccessHub Admin Tool con el inquilino.

Para crear un administrador de proveedor de identidades externo y un administrador de flujo de usuario B2C:

1. En el portal de Azure, inicie sesión en su entidad de Azure AD B2C como administrador.
2. Vaya a Microsoft Entra ID>Usuarios.
3. Seleccione Nuevo usuario.
4. Elija Crear usuario para crear un usuario de directorio normal y no un cliente.
5. En el formulario de información de identidad:

• Escriba el nombre de usuario, como theaccesshub.
• Escriba el nombre de la cuenta, como La cuenta de servicio de TheAccessHub.

7. Seleccione Mostrar contraseña.
8. Copie y guarde la contraseña inicial.
9. Para asignar el rol Administrador de proveedores de identidades externos y Administrador de flujo de usuario B2C, en Usuario, seleccione el rol actual del usuario.
10. Seleccione los registros Administrador de proveedores de identidades externos y Administrador de flujo de usuario B2C .
11. Selecciona Crear.

Conecta TheAccessHub Admin Tool con tu tenant de Azure AD B2C

La herramienta de administración deAccessHub usa Microsoft Graph API para leer y realizar cambios en un directorio. Actúa como administrador de proveedores de identidades externos y administrador de flujos de usuario B2C en tu arrendatario. Siga estas instrucciones para agregar los permisos necesarios.

Para autorizar a TheAccessHub Admin Tool a acceder al directorio:

1. Use las credenciales N8 Identity proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a System Admin>Azure AD B2C Config (Configuración de Azure AD B2C).
3. Seleccione Autorizar conexión.
4. En la nueva ventana, inicie sesión con el administrador del proveedor de identidades externo y la cuenta de administrador de flujo de usuario de B2C. Al iniciar sesión por primera vez con la nueva cuenta de servicio, puede aparecer un mensaje para restablecer la contraseña.
5. Siga las indicaciones y seleccione Aceptar.

Configura un nuevo usuario RSC con tu identidad empresarial

Cree un usuario csr o del departamento de soporte técnico que acceda a theAccessHub Admin Tool con credenciales empresariales de Microsoft Entra.

Para configurar un usuario csr o helpdesk con inicio de sesión único (SSO):

1. Use las credenciales N8 Identity proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Herramientas del Administrador>Administrar Compañeros.
3. Seleccione Add Colleague (Agregar compañero).
4. En Tipo de compañero, seleccione Administrador de Azure.
5. Para obtener la información del perfil, seleccione una organización principal para controlar quién tiene permiso para administrar este usuario.
6. En Id. de inicio de sesión/Nombre de usuario de Azure AD, escriba el nombre principal del usuario de la cuenta de Microsoft Entra.
7. En la pestaña Roles de TheAccessHub , seleccione el rol administrado por el departamento de soporte técnico .
8. Seleccione Enviar.

Configuración de un nuevo usuario csr con una nueva identidad

Cree un usuario csr o del departamento de soporte técnico para acceder a theAccessHub Admin Tool con una nueva credencial local. Este usuario es para organizaciones que no usan el identificador de Microsoft Entra.

Consulte AccessHub Administración Tool: Agregar administrador de compañeros sin SSO.

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Herramientas del Administrador>Administrar Compañeros.
3. Seleccione Add Colleague (Agregar compañero).
4. En Tipo de compañero, seleccione Administrador local.
5. Para obtener la información del perfil, seleccione una organización principal para controlar quién tiene permiso para administrar este usuario.
6. En la pestaña Roles de TheAccessHub , seleccione el rol administrado por el departamento de soporte técnico .
7. Copie los atributos Id. de inicio de sesión/Correo electrónico y Contraseña única . Proporcione las credenciales al nuevo usuario para que pueda iniciar sesión en TheAccessHub Admin Tool.
8. Seleccione Enviar.

Configurar la administración particionada de CSR

En La herramienta de administración de TheAccessHub, los permisos para administrar los usuarios de customer y CSR/Helpdesk se administran a través de una jerarquía de la organización. Los compañeros y clientes tienen una organización doméstica. Puede asignar compañeros o grupos de compañeros como propietarios de la organización.

Los propietarios de la organización pueden administrar y cambiar los compañeros y clientes de las organizaciones u organizaciones secundarias que poseen. Para que varios compañeros administren un conjunto de usuarios, cree un grupo con varios miembros. A continuación, asigne el grupo como propietario de la organización. Todos los miembros del grupo pueden administrar compañeros y clientes de la organización.

Creación de un nuevo grupo

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Organización > Administrar grupos.
3. Seleccione Agregar grupo.
4. Escriba los valores de Nombre de grupo, Descripción del grupo y Propietario del grupo.
5. Busque y active las casillas para que los compañeros sean miembros del grupo.
6. Selecciona Agregar.
7. Los miembros del grupo aparecen en la parte inferior de la página. Seleccione la X de una fila para quitar un miembro.
8. Seleccione Enviar.

Creación de una organización

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Organization>Manage Organizations.
3. Seleccione Agregar organización.
4. Escriba los valores de Nombre de la organización, Propietario de la organización y Organización primaria
5. Seleccione Enviar.

Modifica la jerarquía mediante la vista de árbol

Use esta función para visualizar la administración de compañeros y grupos.

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Herramientas del Administrador>Vista de Árbol.
3. Para modificar la jerarquía, arrastre las organizaciones a las organizaciones primarias.
4. Haga clic en Guardar.

Personalización de la notificación de bienvenida

Si usa theAccessHub Admin Tool para migrar usuarios de una solución a Azure AD B2C, puede personalizar la notificación de bienvenida del usuario. La notificación va a los usuarios durante la migración y puede incluir un vínculo para establecer una nueva contraseña en el directorio de Azure AD B2C.

Para personalizar la notificación:

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Administrador del sistema>Notificaciones.
3. Seleccione la plantilla Crear compañero .
4. Seleccione Editar.
5. Realice los cambios necesarios en el mensaje y la plantilla. El campo Plantilla es compatible con HTML y puede enviar notificaciones con formato HTML.
6. Haga clic en Guardar.

Migración de datos de orígenes de datos externos a Azure AD B2C

Con la herramienta de administración de TheAccessHub, puede importar datos de varias bases de datos, LDAP y archivos .csv y, a continuación, insertar esos datos en el inquilino de Azure AD B2C. Cargas los datos para migrarlos al tipo de usuario colega de Azure AD B2C en TheAccessHub Admin Tool.

Configuración de un origen de datos

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Administrador del sistema>Orígenes de datos.
3. Seleccione Agregar origen de datos.
4. Proporcione los valores Name y Type para este origen de datos.
5. Escriba los datos del formulario para las bases de datos:

• Tipo: Base de datos
• Tipo de base de datos: seleccione una base de datos compatible.
• Dirección URL de conexión: escriba una cadena de conexión de Java Database Connectivity (JDBC), como jdbc:postgresql://myhost.com:5432/databasename
• Nombre de usuario: nombre de usuario para acceder a la base de datos
• Contraseña: contraseña para acceder a la base de datos
• Consulta: la consulta SQL para extraer los detalles del cliente, como SELECT * FROM mytable;"
• Selecciona Probar conexión. Parece que una muestra de datos confirma que la conexión está funcionando.

6. Escriba los datos del formulario para los LDAP:

• Tipo: LDAP
• Host: nombre de host o dirección IP de la máquina en la que se ejecuta el servidor LDAP, como mysite.com
• Puerto, número de puerto en el que escucha el servidor LDAP
• SSL, seleccione el cuadro de la herramienta de administración theAccessHub para comunicarse con LDAP con SSL (recomendado)
• Login DN: nombre distintivo de la cuenta de usuario (DN) para iniciar sesión y realizar la búsqueda LDAP.
• Contraseña: contraseña de usuario
• Base DN: DN en la parte superior de la jerarquía donde se realizará la búsqueda
• Filtro: cadena de filtro LDAP para obtener los registros del cliente
• Attributes: lista de atributos separados por comas, de sus registros de clientes, para pasar a TheAccessHub Admin Tool.
• Seleccione la conexión de prueba. Parece que una muestra de datos confirma que la conexión está funcionando.

7. Escriba los datos de OneDrive. Tipo: OneDrive para la Empresa".
8. Seleccione Autorizar conexión.
9. Una nueva ventana le pide que inicie sesión en OneDrive. Inicie sesión con acceso de lectura a la cuenta de OneDrive. TheAccessHub Admin Tool lee archivos de carga .csv.
10. Siga las indicaciones y seleccione Aceptar.
11. Haga clic en Guardar.

Sincroniza los datos desde tu origen de datos a Azure AD B2C

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Administrador del sistema>Sincronización de datos.
3. Seleccione Nueva carga.
4. Tipo de compañero: usuario de Azure AD B2C.
5. Seleccione Origen. En el cuadro de diálogo, seleccione el origen de datos. Si ha creado un origen de datos de OneDrive, seleccione el archivo.
6. Para crear nuevas cuentas de cliente con esta carga, cambie la primera directiva, IF colleague not found in TheAccessHub THEN: Do Nothing.
7. Para actualizar las cuentas de cliente, cambie la segunda directiva, SI los datos de origen y de TheAccessHub no coinciden ENTONCES: No hacer nada.
8. Seleccione Siguiente.
9. En Configuración de asignación de búsqueda, identifique la correlación de registros de carga con los clientes de TheAccessHub Administración Tool.
10. Seleccione los atributos de identificación de origen. Haga coincidir los atributos de TheAccessHub Admin Tool con los mismos valores. Si hay una coincidencia, el registro se invalida. De lo contrario, se crea un nuevo cliente.
11. Ordena el número de comprobaciones. Por ejemplo, compruebe primero el correo electrónico y luego el nombre y apellido.
12. En el menú de la izquierda, seleccione Data Mapping.
13. En Data-Mapping configuration, asigne qué atributos de TheAccessHub Admin Tool se deben rellenar a partir de los atributos de origen. Los atributos no mapeados permanecen sin cambios para los clientes. Si asigna el atributo org_name con un valor de organización actual, los clientes creados van a la organización.
14. Seleccione Siguiente.
15. Para que esta carga sea periódica, seleccione Diaria/Semanal o Mensual. De lo contrario, mantenga el valor predeterminado, Ahora.
16. Seleccione Enviar.
17. Para la programación Ahora, se agrega un nuevo registro a Sincronizaciones de Datos.
18. Cuando la validación sea del 100 por ciento, seleccione el nuevo registro para ver el resultado. En el caso de las cargas programadas, los registros aparecen después de la hora programada.
19. Si no hay errores, seleccione Ejecutar. De lo contrario, para quitar la carga, en el menú Más , seleccione Quitar.
20. Si hay errores, puede actualizar manualmente los registros. En cada registro, seleccione Actualizar y realice correcciones.
21. Cuando la sincronización de datos es del 100 %, los clientes aparecen o reciben cambios en Azure AD B2C.

Sincronización de los datos del cliente de Azure AD B2C

La herramienta de administración deAccessHub puede sincronizar la información del cliente de Azure AD B2C en theAccessHub Admin Tool como una operación única o continua. Esta operación garantiza que los administradores de CSR o del departamento de soporte técnico ven la información actualizada del cliente.

Para sincronizar datos de Azure AD B2C en theAccessHub Admin Tool:

1. Use las credenciales N8ID proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a Administrador del sistema>Sincronización de datos.
3. Seleccione Nueva carga.
4. Tipo de compañero: usuario de Azure AD B2C.
5. En Opciones, deje los valores predeterminados.
6. Seleccione Siguiente.
7. En Asignación de datos y búsqueda, mantén los valores predeterminados. Excepción: si asigna el atributo org_name a un valor de organización actual, los clientes creados aparecen en la organización.
8. Seleccione Siguiente.
9. Para que la carga sea periódica, seleccione una programación diaria o semanal o mensual . De lo contrario, deje el valor predeterminado Ahora . Se recomienda que se repita.
10. Seleccione Enviar.
11. Si seleccionó Ahora, aparecerá un nuevo registro en Sincronizaciones de datos. Después de que la validación sea del 100 por ciento, seleccione el nuevo registro para ver el resultado de la carga. En el caso de las cargas programadas, los registros aparecen después de la hora programada.
12. Si no hay errores, seleccione Ejecutar. De lo contrario, para quitar la carga, en el menú Más , seleccione Quitar.
13. Si hay errores, actualice manualmente cada registro y seleccione Actualizar.
14. Cuando la sincronización de datos es del 100 por ciento, se inician los cambios.

Configuración de directivas de Azure AD B2C

Si ocasionalmente sincroniza theAccessHub Admin Tool, es posible que no esté actualizado con Azure AD B2C. Puede usar theAccessHub Admin Tool API y las directivas de Azure AD B2C para informar a TheAccessHub Admin Tool de los cambios. Esta solución requiere conocimientos técnicos de las directivas personalizadas de Azure AD B2C.

Creación de una credencial segura para invocar la API de la herramienta de administración de TheAccessHub

Para las directivas personalizadas de registro, los pasos siguientes permiten que un certificado seguro notifique a TheAccessHub Admin Tool de nuevas cuentas.

1. Para iniciar sesión en TheAccessHub Admin Tool, use las credenciales N8ID proporcionadas.
2. Vaya a Administración del Sistema>Herramientas de Administración>Seguridad de API.
3. Selecciona Generar.
4. Copie la contraseña del certificado.
5. En el certificado de cliente, seleccione Descargar.
6. Use la instrucción en autenticación de certificados de cliente HTTPS para agregar el certificado de cliente a Azure AD B2C.

Recuperación de los ejemplos de directivas personalizadas

1. Use las credenciales N8 Identity proporcionadas para iniciar sesión en TheAccessHub Admin Tool.
2. Vaya a System Admin>Admin Tools>Azure B2C Policies.
3. Especifique su dominio de inquilino de Azure AD B2C y los dos identificadores de Identity Experience Framework de la configuración de Identity Experience Framework.
4. Haga clic en Guardar.
5. Seleccione Descargar para obtener un archivo .zip con políticas básicas que agregan clientes a la herramienta de administración de TheAccessHub a medida que los clientes se registran.
6. Para diseñar directivas personalizadas en Azure AD B2C, siga las instrucciones de Creación de flujos de usuario.

Pasos siguientes

• Directivas personalizadas de Azure AD B2C
• Introducción a las directivas personalizadas en Azure AD B2C