Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este documento se proporciona información general conceptual sobre el aprovisionamiento de usuarios entrantes controlado por la API de Microsoft Entra.
Introduction
Hoy en día las empresas tienen varios sistemas autoritativos de registro. Para establecer el ciclo de vida completo de identidad, reforzar la postura de seguridad y cumplir las normativas, los datos de identidad de Microsoft Entra ID deben mantenerse sincronizados con los datos de los empleados administrados en estos sistemas de registro. El sistema de registro puede ser una aplicación de RR. HH., una aplicación de nóminas, una hoja de cálculo o tablas SQL en una base de datos hospedada en el entorno local o en la nube.
With API-driven inbound provisioning, the Microsoft Entra provisioning service now supports integration with any system of record. Customers and partners can use any automation tool of their choice to retrieve workforce data from the system of record and ingest it into Microsoft Entra ID. El administrador de TI tiene control total sobre cómo se procesan y transforman los datos con asignaciones de atributos. Once the workforce data is available in Microsoft Entra ID, the IT admin can configure appropriate joiner-mover-leaver business processes using Lifecycle Workflows.
Supported scenarios
Se habilitan varios escenarios de aprovisionamiento de usuarios entrantes mediante el aprovisionamiento de entrada controlado por API. En este diagrama se muestran los escenarios más comunes.
Escenario 1: Habilitar los equipos de TI para importar extractos de datos de RR. HH. mediante cualquier herramienta de automatización
Los archivos planos, los archivos CSV y las tablas de almacenamiento provisional de SQL se usan normalmente en escenarios de integración empresarial. La información de empleados, contratistas y proveedores se exporta periódicamente a uno de estos formatos y se utiliza una herramienta de automatización para sincronizar estos datos con los directorios de identidad de la empresa. Con el aprovisionamiento de entrada controlado por API, los equipos de TI pueden usar cualquier herramienta de automatización de su elección (ejemplo: scripts de PowerShell o Azure Logic Apps) para modernizar y simplificar esta integración.
Escenario 2: Permitir que los ISV creen una integración directa con Microsoft Entra ID
Con el aprovisionamiento de entrada basado en API, los ISV de RR. HH. pueden ofrecer experiencias de sincronización nativas para que los cambios en el sistema de RR. HH. fluyan automáticamente a Microsoft Entra ID y a los dominios de Active Directory locales conectados. Por ejemplo, una aplicación de RR. HH. o de sistemas de información de estudiantes puede enviar datos a Microsoft Entra ID en cuanto se complete una transacción o como actualización masiva al final del día.
Escenario 3: Habilitar integradores de sistemas para crear más conectores en sistemas de registro
Los asociados pueden crear conectores de RR. HH. personalizados para satisfacer diferentes requisitos de integración en torno al flujo de datos desde los sistemas de registro a Microsoft Entra ID.
En todos los casos anteriores la integración se simplifica considerablemente, ya que el servicio de aprovisionamiento de Microsoft Entra asume la responsabilidad de comparar los perfiles de identidad, lo que restringe la sincronización de datos a la lógica de ámbito configurada por el administrador de TI y ejecuta el flujo de atributos basado en reglas y la transformación administrada en el portal de administración de Microsoft Entra.
End-to-end flow
Pasos del flujo de trabajo
- El administrador de TI configura una aplicación de aprovisionamiento de usuarios entrantes controlada por API desde la galería de aplicaciones empresariales de Microsoft Entra.
- El administrador de TI concede permisos de acceso y proporciona los detalles de acceso al punto de conexión al desarrollador, asociado o integrador de sistemas de API.
- El desarrollador, asociado o integrador de sistemas de API crea un cliente de API para enviar datos de identidad autorizados a Microsoft Entra ID.
- El cliente de API lee los datos de identidad del origen autoritativo.
- The API client sends a POST request to provisioning /bulkUpload API endpoint associated with the provisioning app.
Note
El cliente de API no necesita realizar ninguna comparación entre los atributos de origen y los valores de atributo de destino para determinar qué operación (crear, actualizar, habilitar o deshabilitar) invocar. Esto lo controla automáticamente el servicio de aprovisionamiento. El cliente de la API simplemente carga los datos de identidad leídos del sistema de origen mediante el empaquetado como solicitud masiva utilizando construcciones de esquema SCIM.
- Si se ejecuta correctamente, se devuelve
Accepted 202 Status. - El servicio de aprovisionamiento de Microsoft Entra procesa los datos recibidos, aplica las reglas de asignación de atributos y completa el aprovisionamiento de usuarios.
- En función de la aplicación de aprovisionamiento configurada, el usuario se aprovisiona en Active Directory local (para usuarios híbridos) o Microsoft Entra ID (para usuarios solo de nube).
- A continuación, el cliente de API consulta el punto de conexión de API de registros de aprovisionamiento para el estado de cada registro enviado.
- Si se produce un error en el procesamiento de algún registro, el cliente de la API puede comprobar los detalles del error e incluir los registros correspondientes a las operaciones con errores en la siguiente solicitud masiva (paso 5).
- En cualquier momento, el administrador de TI puede comprobar el estado del trabajo de aprovisionamiento y ver los eventos en los registros de aprovisionamiento.
Principales características del aprovisionamiento de usuarios entrantes controlado por API
- Available as a provisioning app that exposes an asynchronous Microsoft Graph provisioning /bulkUpload API endpoint accessed using valid OAuth token.
- Los administradores de inquilinos deben conceder a los clientes de API que interactúen con esta aplicación de aprovisionamiento los permisos
SynchronizationData-User.Uploadde Graph ,SynchronizationData-User.Upload.OwnedBy(para ISV) yProvisioningLog.Read.All. - El punto de conexión de Graph API acepta cargas de solicitud masiva válidas mediante construcciones de esquema SCIM.
- Con las extensiones de esquema SCIM, puede enviar cualquier atributo en la carga de la solicitud masiva.
- El
/bulkUploadpunto de conexión de API aplica los siguientes límites:- Hay un límite de 40 llamadas API dentro de cualquier ventana de 5 segundos. Si se supera este umbral, el servicio devuelve una respuesta HTTP 429 (demasiadas solicitudes). Para evitar la limitación, implemente la lógica de velocidad en el cliente para espaciar las solicitudes, como agregar retrasos o controlar el límite de velocidad entre envíos.
- Hay un límite de nivel de inquilino de 2000 llamadas API por período de 24 horas en la licencia entra ID P1/P2 y 6 000 llamadas API en la licencia de gobernanza de id. entra. Si se superan estos límites, se produce una respuesta HTTP 429 (demasiadas solicitudes). Para mantenerse dentro de la cuota, asegúrese de que las cargas masivas de SCIM están optimizadas para incluir hasta 50 operaciones por llamada API.
- Cada punto de conexión de API está asociado a una aplicación de aprovisionamiento específica en Microsoft Entra ID. Puede integrar varios orígenes de datos mediante la creación de una aplicación de aprovisionamiento para cada origen de datos.
- Las cargas de solicitudes masivas entrantes se procesan casi en tiempo real.
- Admins can check provisioning progress by viewing the provisioning logs.
- Los clientes de API pueden realizar un seguimiento del progreso consultando la API de registros de aprovisionamiento.
License requirements
Esta característica está disponible con las licencias de Microsoft Entra ID P1, P2 y Gobierno de Microsoft Entra ID. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.
Guía de uso de API
El punto de conexión de API de /bulkUpload amplía el número de formas en que puede administrar usuarios en Microsoft Entra ID. Para ayudarle a determinar si el punto de conexión de API /bulkUpload es adecuado para el escenario de integración, consulte esta tabla que lo compara con otras opciones de integración basadas en API.
| Casos de uso de asignación de escenario a API | API de creación de usuario | API masiva de entrada de RR. HH. | API de invitación de usuario | API de asignación directa |
|---|---|---|---|---|
| Cuando el escenario de creación de identidad es... | Creación de usuarios ad hoc en Microsoft Entra ID para un usuario no asociado a ningún trabajo de RR. HH. | Se obtienen registros de empleados de un origen de RR. HH. autoritativo y desea que esos empleados tengan cuentas de "miembro" en Microsoft Entra ID o Active Directory local | Creación de usuarios invitados ad hoc en Microsoft Entra ID, con fines de uso compartido, donde el invitado tiene derechos de acceso únicos | Asignación de acceso para usuarios existentes y creación de invitados (versión preliminar) en Microsoft Entra ID, para conceder al nuevo invitado acceso estandarizado |
| ...Uso de la API... | Create user | Perform bulkUpload. | Create invitation | Create accessPackageAssignmentRequest |
| El usuario resultante se crea primero en... | Microsoft Entra ID | Active Directory local o Microsoft Entra ID | Microsoft Entra ID | Microsoft Entra ID |
| El usuario resultante se autentifica en... | Microsoft Entra ID, con la contraseña que proporcione | Active Directory local de Microsoft Entra ID, con un Pase de acceso temporal proporcionado por los flujos de trabajo del ciclo de vida de Entra | Inquilino principal u otro proveedor de identidades | Inquilino principal u otro proveedor de identidades |
| Las actualizaciones posteriores del usuario se pueden realizar a través de | Graph API o centro de administración de Microsoft Entra | Graph API o la API de carga de entrada en masa o el centro de administración Microsoft Entra | Graph API o centro de administración de Microsoft Entra | Graph API o centro de administración de Microsoft Entra |
| El ciclo de vida del usuario cuando comienza su uso, viene determinado por... | Manual processes |
Flujos de trabajo del ciclo de vida de incorporación de Entra que se desencadenan en función del atributo employeeHireDate |
Entitlement management | Automatic assignment using Entitlement management access packages |
| El ciclo de vida del usuario cuando finaliza su uso viene determinado por... | Manual processes |
Flujos de trabajo del ciclo de vida de retirada de Entra que se desencadenan en función del atributo employeeLeaveDateTime |
Access reviews | Se retira la Administración de derechos cuando el usuario pierde su última asignación de paquete de acceso |
Ruta de aprendizaje recomendada
| # | Learning objective | Guidance |
|---|---|---|
| 1. | Si desea obtener más información sobre las especificaciones de la API de aprovisionamiento de entrada. | Refer to /bulkUpload API spec document. |
| 2. | Quiere familiarizarse más con los conceptos, escenarios y limitaciones del aprovisionamiento controlado por API. | Consulte Preguntas más frecuentes sobre el aprovisionamiento de entrada controlado por API. |
| 3. | As an Admin user, you want to quickly test the inbound provisioning API. | * Cree unaaplicación de aprovisionamiento de entrada controlada por API. * Probar la API mediante el Explorador de Graph |
| 4. | Con una cuenta de servicio o una identidad administrada, quiere probar rápidamente la API de aprovisionamiento de entrada. | * Cree unaaplicación de aprovisionamiento de entrada controlada por API. * Grant API permissions * Prueba de la API mediante cURL |
| 5. | Quiere ampliar la aplicación de aprovisionamiento controlada por API para procesar más atributos personalizados. | Consulte el tutorial Extensión del aprovisionamiento controlado por API para sincronizar atributos personalizados |
| 6. | Quiere automatizar la carga de datos desde el sistema de registro al punto de conexión de la API de aprovisionamiento de entrada. | Consulte los tutoriales * Inicio rápido con PowerShell * Inicio rápido con Azure Logic Apps |
| 7. | Quiere solucionar problemas de la API de aprovisionamiento de entrada | Refer to the Troubleshooting guide. |
Recursos de aprendizaje externo
El siguiente contenido, creado por nuestros asociados y MVP de Microsoft, ofrece instrucciones adicionales sobre cómo implementar y configurar el aprovisionamiento controlado por API para varios escenarios de integración.
Video tutorials
- John Savill explica cómo funciona el aprovisionamiento controlado por API
- Nick Ross, MVP de Microsoft, explica cómo configurar el aprovisionamiento controlado por API
- Nick Ross, MVP de Microsoft, explica cómo obtener datos de RR. HH. desde un archivo de Excel en SharePoint mediante Power Automate y el aprovisionamiento controlado por API
- Asociado de Microsoft Serie en 4 partes deIdentityXP en el aprovisionamiento controlado por API
Entradas de blog, presentaciones y otros enlaces útiles
- El artículo de Pim Jacob, MVP de Microsoft, explica cómo realizar el aprovisionamiento controlado por API de RR. HH. de Bamboo en Active Directory local
- Presentación de Pim Jacob, MVP de Microsoft, sobre cómo configurar el proceso de unión y de salida mediante flujos de trabajo de ciclo de vida y aprovisionamiento controlado por API
- Artículo de Marius Solbakken, MVP de Microsoft, que explica cómo obtener datos de Excel mediante el script de PowerShell y el aprovisionamiento controlado por API
- Artículo de Suryendu Bhattacharyya sobre cómo invocar el aprovisionamiento de conducción de API mediante la acción personalizada de GitHub
- Plantilla de Bicep para el aprovisionamiento controlado por API de Jan Vidar Elven, MVP de Microsoft