Compartir a través de

Sincronización de atributos de extensión para el aprovisionamiento de aplicaciones de Microsoft Entra

Microsoft Entra ID debe contener todos los datos (atributos) necesarios para crear un perfil de usuario al aprovisionar cuentas de usuario de Microsoft Entra ID a una aplicación SaaS o una aplicación local. Al personalizar las asignaciones de atributos para el aprovisionamiento de usuarios, es posible que el atributo que quiera asignar no aparezca en la lista De atributos de origen de Microsoft Entra ID. En este artículo se muestra cómo agregar el atributo que falta.

Determinación de dónde se deben agregar las extensiones

Adición de atributos que faltan y que son necesarios para que una aplicación se inicie en Active Directory local o en Microsoft Entra ID, en función de dónde residan las cuentas de usuario y cómo se introducen a Microsoft Entra ID.

En primer lugar, identifique qué usuarios del inquilino de Microsoft Entra necesitan acceso a la aplicación y, por lo tanto, están en el ámbito de que se aprovisionen en ella.

A continuación, determine cuál es el origen del atributo y la topología de cómo se introducen esos usuarios en Microsoft Entra ID.

Origen del atributo Topología Pasos necesarios
Sistema de RR. HH. Los trabajadores del sistema de RR. HH. se aprovisionan como usuarios en Microsoft Entra ID. Cree un atributo de extensión en microsoft Entra ID.
Actualice la asignación de entrada de RR. HH. para rellenar el atributo de extensión en los usuarios de Microsoft Entra ID desde el sistema de RR. HH.
Sistema de RR. HH. Los trabajadores del sistema de RR. HH. se aprovisionan como usuarios en Windows Server AD.
La sincronización en la nube de Microsoft Entra Connect los sincroniza con Microsoft Entra ID.		 Amplíe el esquema de AD, si es necesario.
Cree un atributo de extensión en microsoft Entra ID mediante la sincronización en la nube.
Actualice la asignación de entrada de RR. HH. para rellenar el atributo de extensión en el usuario de AD desde el sistema de RR. HH.
Sistema de RR. HH. Los trabajadores del sistema de RR. HH. se aprovisionan como usuarios en Windows Server AD.
Microsoft Entra Connect los sincroniza con Microsoft Entra ID.		 Amplíe el esquema de AD, si es necesario.
Cree un atributo de extensión en el identificador de Microsoft Entra mediante Microsoft Entra Connect.
Actualice la asignación de entrada de RR. HH. para rellenar el atributo de extensión en el usuario de AD desde el sistema de RR. HH.

Si los usuarios de la organización ya están en Active Directory local o si los crea en Active Directory, debe sincronizar los usuarios de Active Directory con Microsoft Entra ID. Puede sincronizar usuarios y atributos mediante Microsoft Entra Connect o la sincronización en la nube de Microsoft Entra Connect.

  1. Compruebe con los administradores de dominio de Active Directory local si los atributos necesarios forman parte de la clase de objeto de esquema User de AD DS y, si no lo son, amplíe el esquema de Active Directory Domain Services en los dominios donde esos usuarios tienen cuentas.
  2. Configura Microsoft Entra Connect o la sincronización en la nube de Microsoft Entra Connect para sincronizar a los usuarios con su atributo de extensión desde Active Directory a Microsoft Entra ID. Ambas soluciones sincronizan automáticamente determinados atributos con Microsoft Entra ID, pero no todos los atributos. Además, es posible que algunos atributos (por ejemplo, sAMAccountName) que se sincronizan de manera predeterminada no puedan exponerse a través de Graph API. En estos casos, puede usar la característica de extensión de directorio Microsoft Entra Connect para sincronizar el atributo con el identificador de Microsoft Entra o usar la sincronización en la nube de Microsoft Entra Connect. De este modo, el atributo es visible para Graph API y el servicio de aprovisionamiento de Microsoft Entra.
  3. Si los usuarios de Active Directory local no tienen aún los atributos necesarios, deberá actualizar los usuarios de Active Directory. Esta actualización se puede realizar mediante la lectura de las propiedades de Workday, de SAP SuccessFactors o si usa otro sistema de RR. HH. mediante la API de RR. HH. de entrada.
  4. Espere a que Microsoft Entra Connect o la sincronización en la nube de Microsoft Entra Connect sincronicen las actualizaciones realizadas en el esquema de Active Directory y los usuarios de Active Directory en Microsoft Entra ID.

Como alternativa, si ninguno de los usuarios que necesitan acceso a la aplicación se origina en Active Directory local, deberá crear extensiones de esquema mediante PowerShell o Microsoft Graph en Microsoft Entra ID, antes de configurar el aprovisionamiento en la aplicación.

En las secciones siguientes se describe cómo crear atributos de extensión para un inquilino con solo usuarios en la nube y para un inquilino con usuarios de Active Directory.

Creación de un atributo de extensión en un inquilino con solo usuarios en la nube

Puede usar Microsoft Graph y PowerShell a fin de ampliar el esquema de usuario para los usuarios de Microsoft Entra ID. Esto es necesario si tiene usuarios que necesitan ese atributo y ninguno de ellos se origina en Active Directory local ni se sincroniza desde él. (Si tiene Active Directory, continúe leyendo a continuación en la sección sobre cómo usar la característica de extensión de directorio Microsoft Entra Connect para sincronizar el atributo con el id. de Microsoft Entra).

Una vez creadas las extensiones de esquema, estos atributos de extensión se detectan automáticamente al visitar la página de aprovisionamiento en el centro de administración de Microsoft Entra, en la mayoría de los casos.

Si tiene más de 1000 entidades de servicio, es posible que vea que faltan extensiones en la lista de atributos de origen. Si un atributo que ha creado no aparece automáticamente, compruebe que se ha creado el atributo y agréguelo manualmente al esquema. Para comprobar que se creó, use Microsoft Graph y el Explorador de Graph. Para agregarlo manualmente al esquema, consulte Edición de la lista de atributos admitidos.

Creación de un atributo de extensión para usuarios solo en la nube mediante Microsoft Graph

Puede ampliar el esquema de los usuarios de Microsoft Entra mediante Microsoft Graph.

En primer lugar, enumere las aplicaciones de su inquilino para obtener el identificador de la aplicación en el que está trabajando. Para más información, consulte Enumerar extensionPropiedades.

GET https://graph.microsoft.com/v1.0/applications

A continuación, cree el atributo de extensión. Reemplace la propiedad ID siguiente por el identificador recuperado en el paso anterior. Debe usar el atributo "ID" y no el "appId". Para obtener más información, consulte [Create extensionProperty]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

La solicitud anterior creó un atributo de extensión con el formato extension_appID_extensionName. Ahora puede actualizar un usuario con este atributo de extensión. Para más información, consulte Actualizar usuario.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Por último, compruebe el atributo para el usuario. Para más información, consulte Obtención de un usuario. Graph v1.0 no devuelve de manera predeterminada ninguno de los atributos de extensión de directorio de un usuario, a menos que los atributos se especifiquen en la solicitud como una de las propiedades a devolver.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Crear un atributo de extensión para usuarios solo en la nube mediante PowerShell

Puede crear una extensión personalizada mediante PowerShell.

#Connect to your Entra tenant
Connect-Entra -Scopes 'Application.ReadWrite.All'

#Create an application (you can instead use an existing application if you would like)
$App = New-EntraApplication -DisplayName "test app name" -IdentifierUris https://testapp

#Create a service principal
New-EntraServicePrincipal -AppId $App.AppId

#Create an extension property
New-EntraApplicationExtensionProperty -ApplicationId $App.ObjectId -Name "TestAttributeName" -DataType "String" -TargetObjects "User"

De manera opcional, puede probar que puede establecer la propiedad de extensión en un usuario solo en la nube.

#List users in your tenant to determine the objectid for your user
Get-EntraUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-EntraUserExtension -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName "extension_6552753978624005a48638a778921fan3_TestAttributeName"

#Verify that the attribute was added correctly.
Get-EntraUser -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb | Select -ExpandProperty ExtensionProperty

Creación de un atributo de extensión mediante la sincronización en la nube

Si tiene usuarios en Active Directory y usan la sincronización en la nube de Microsoft Entra Connect, la sincronización en la nube detecta automáticamente las extensiones en Active Directory local cuando va a agregar una nueva asignación. Si usa la sincronización de Microsoft Entra Connect, continúe leyendo en la sección siguiente crear un atributo de extensión mediante Microsoft Entra Connect.

Siga los pasos que se indican a continuación para detectar automáticamente estos atributos y establecer la correspondencia con Microsoft Entra ID.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
  2. Vaya a Entra ID>Entra Connect>Sincronización en la nube.
  3. Seleccionar la configuración que quiere agregar al atributo de extensión y la asignación.
  4. En Administrar atributos, haga clic para editar asignaciones.
  5. Seleccione Agregar asignación de atributos. Los atributos se detectan automáticamente.
  6. Los nuevos atributos están disponibles en la lista desplegable en atributo de origen.
  7. Indique el tipo de asignación que desee y seleccione Aplicar.

Para obtener más información, consulte Asignación de atributos personalizados en la sincronización en la nube de Microsoft Entra Connect.

Creación de un atributo de extensión mediante Microsoft Entra Connect

Si los usuarios que acceden a las aplicaciones se originan en Active Directory local, debe sincronizar con Microsoft Entra ID los atributos con los usuarios de Active Directory. Si usa Microsoft Entra Connect, deberá realizar las siguientes tareas antes de configurar el aprovisionamiento en la aplicación.

  1. Compruebe con los administradores de dominio de Active Directory local si los atributos necesarios forman parte de la clase de objeto de esquema User de AD DS y, si no lo son, amplíe el esquema de Active Directory Domain Services en los dominios donde esos usuarios tienen cuentas.

  2. Abra el Asistente de Microsoft Entra Connect, elija Tareas y, a continuación, elija Personalizar opciones de sincronización.

  3. Inicie sesión como administrador de identidades híbridas.

  4. En la página Características opcionales , seleccione Sincronización de atributos de extensión de directorio.

  5. Seleccione los atributos que quiere extender a Microsoft Entra ID.

    Nota:

    La búsqueda en Atributos disponibles distingue mayúsculas de minúsculas.

  6. Finalice el asistente de Microsoft Entra Connect y permita que se ejecute un ciclo de sincronización completo. Cuando se complete el ciclo, se extiende el esquema y los nuevos valores se sincronizan entre AD local y Microsoft Entra ID.

Nota:

La capacidad de aprovisionar atributos de referencia desde AD local, como managedby o DN/DistinguishedName, no se admite actualmente. Puede solicitar esta característica en User Voice.

Rellenar y usar el nuevo atributo

En el Centro de administración de Microsoft Entra, mientras edita las asignaciones de atributos de usuario para el inicio de sesión único o el aprovisionamiento de Microsoft Entra ID en una aplicación, la lista de atributos de origen ahora contendrá el atributo agregado en el formato <attributename> (extension_<appID>_<attributename>), donde appID es el identificador de una aplicación de marcador de posición en su inquilino. Seleccione el atributo y asígnelo a la aplicación de destino para el aprovisionamiento.

Página de selección de extensiones de directorio del asistente de Microsoft Entra Connect

A continuación, deberá rellenar los usuarios asignados a la aplicación con el atributo necesario antes de habilitar el aprovisionamiento en la aplicación. Si el atributo no se origina en Active Directory, hay cinco maneras de rellenar los usuarios de forma masiva:

  • Si las propiedades se originan en un sistema de RR. HH. y está aprovisionando a los trabajadores de ese sistema de RR. HH. como usuarios de Active Directory, configure una asignación desde Workday, SAP SuccessFactors, o, si utiliza un sistema de RR. HH. diferente, mediante la API de RR. HH. de entrada al atributo de Active Directory. A continuación, espere a que Microsoft Entra Connect o la sincronización en la nube de Microsoft Entra Connect sincronicen las actualizaciones realizadas en el esquema de Active Directory y los usuarios de Active Directory en Microsoft Entra ID.
  • Si las propiedades se originan en un sistema de RR. HH. y no utiliza Active Directory, puede configurar una asignación desde Workday, SAP SuccessFactors u otros mediante la API de entrada al atributo de usuario de Microsoft Entra.
  • Si las propiedades se originan en otro sistema local, puede configurar el conector MIM para Microsoft Graph para crear o actualizar usuarios de Microsoft Entra.
  • Si las propiedades se originan en los propios usuarios, puede pedir a los usuarios que proporcionen los valores del atributo cuando soliciten acceso a la aplicación, incluyendo los requisitos de atributo en el catálogo de administración de derechos.
  • Para todas las demás situaciones, una aplicación personalizada puede actualizar los usuarios a través de Microsoft Graph API.

Pasos siguientes

  • Last updated on