¿Tiene preguntas? Tenemos respuestas.

Búsqueda

  1. MindBridge: Spanish (Spain)
  2. Empezar
  3. Aprenda lo esencial
  4. Gestione su cuenta MindBridge

Implementar el aprovisionamiento de usuarios desde Azure Active Directory utilizando SCIM

  • Actualización

Resumen

Azure AD puede crear automáticamente usuarios en su arrendatario de MindBridge utilizando una integración SCIM saliente. SCIM es un protocolo para crear, deshabilitar y eliminar usuarios automáticamente.

Requisitos previos

Primero, siga los pasos en Implementar inicio de sesión único (SSO), incluyendo la sección sobre la implementación de restricciones de seguridad adicionales. En particular, todos sus usuarios deben poder iniciar sesión usando el botón de Microsoft.

Todos los usuarios deben tener una dirección de correo electrónico asociada con su cuenta de Azure AD.

Debe configurar un grupo de seguridad en Azure AD para usuarios regulares de MindBridge, y un segundo grupo para administradores de aplicaciones de MindBridge. Pueble los grupos con algunos usuarios para pruebas. Cada usuario de MindBridge debe estar en uno de estos grupos.

  • Los grupos anidados no son compatibles con el aprovisionamiento de Azure AD; todos los usuarios deben ser miembros directos de uno de estos grupos.
  • Los grupos dinámicos son compatibles. 

Contacte a su CSM para habilitar el acceso a la API para su arrendatario de MindBridge.

Revise la guía de Microsoft sobre aprovisionamiento de aplicaciones para obtener información de fondo.

Creación de un token de API para SCIM

  1. Inicie sesión en su arrendatario de MindBridge como un administrador de aplicaciones.
  2. En la barra lateral ( Sidebar_open-close_icon.svg ) a la izquierda, seleccione Admin ( Admin_icon.svg ) y luego vaya a la pestaña API.
  3. Seleccione Crear token.mceclip7.png

  4. Dé un nombre al token, como SCIM 2023-06-30.
  5. Seleccione una fecha de expiración.
  6. Bajo Permisos, seleccione SCIM.mceclip8.png

  7. Seleccione Crear token, y copie el token en su administrador de contraseñas. Lo necesitará en el siguiente paso.
Consejo: Recomendamos crear un recordatorio en el calendario del grupo para renovar el token. Puede incluir un enlace a este artículo en la descripción del evento.

Creación de una aplicación empresarial para aprovisionamiento

  1. En Azure AD, vaya a Aplicaciones empresariales > Agregar > Aplicación empresarial.
  2. Elija la opción para Crear su propia aplicación. mceclip4.png

  3. Ingrese un nombre como "Aprovisionamiento de MindBridge" y elija la opción de integración no-galería.
  4. Haga clic en Crear.
    mceclip5.png
     
  5. Después de que se haya creado, bajo Administrar (a la izquierda), vaya a Aprovisionamiento y seleccione Comenzar.mceclip6.png

  6. Cambie el modo de aprovisionamiento a Automático.
  7. Establezca la URL del arrendatario en la URL de su arrendatario de MindBridge, más /scim/v2.
    Por ejemplo, si la URL de su arrendatario es https://exampletenant.mindbridge.ai, use https://exampletenant.mindbridge.ai/scim/v2.
  8. Establezca el Token Secreto en el token que generó en el paso anterior.mceclip9.png
  9. Seleccione Probar conexión.
    mceclip10.png

  10. Guardar.
    Dos nuevas secciones para Mapeos y Configuración aparecerán en la misma pantalla.

Deshabilitar el aprovisionamiento de grupos

  1. Expanda Mapeos.mceclip11.png

  2. Deshabilite la opción para Aprovisionar Grupos de Azure Active Directory seleccionándola y cambiando el interruptor de Habilitado a No.
  3. Guarde el mapeo de atributos.mceclip14.png

  4. Haga clic en el botón de cerrar para volver a la pantalla de edición de aprovisionamiento.
    Los mapeos deberían mostrarse de la siguiente manera:mceclip15.png

Configurar el aprovisionamiento de usuarios

  1. Edite la configuración para "Aprovisionar Usuarios de Azure Active Directory" para eliminar el mapeo de atributos displayName. No es utilizado por MindBridge.mceclip17.png

  2. En la parte inferior de la pantalla, seleccione la casilla de verificación para Mostrar opciones avanzadas.
  3. Haga clic en el enlace Editar lista de atributos para customappsso.mceclip18.png

  4. En la parte inferior de la página, use el campo de entrada para agregar un nuevo atributo.
    • Nombre: roles
    • Tipo: Cadena
  5. Deje todas las casillas de verificación sin marcar.mceclip0.png

  6. Guardar, y volverá a la página principal de mapeo de atributos para "Aprovisionar Usuarios de Azure Active Directory."
  7. Haga clic en el enlace Agregar nuevo mapeo.
    mceclip20.png
    • Tipo de mapeo: Expresión
    • Expresión: SingleAppRoleAssignment([appRoleAssignments])
    • Valor predeterminado si es nulo: dejar en blanco
    • Atributo de destino: roles
    • Coincidir objetos usando este atributo: No (predeterminado)
    • Aplicar este mapeo: Siempre (predeterminado)
  8. Haga clic en Aceptar para guardar y cerrar el mapeo de atributos.
  9. Guardar, luego haga clic en el botón de cerrar para volver a la pantalla de edición de aprovisionamiento. 

Finalizar la configuración de aprovisionamiento

  1. En Configuración, seleccione primero la casilla de verificación para habilitar notificaciones por correo electrónico para fallos, luego proporcione una dirección de correo electrónico.
  2. Seleccione la segunda casilla de verificación para habilitar prevención de eliminación accidental con un umbral adecuado (por ejemplo, 10 usuarios).
    Si el sistema de aprovisionamiento cree que necesita eliminar más de 10 usuarios a la vez, entrará en un estado de cuarentena para aprobación primero.
  3. Deje el campo Alcance en la configuración predeterminada, para sincronizar solo usuarios y grupos asignados.
  4. Deje el interruptor de Estado de aprovisionamiento en Desactivado por ahora.
  5. Guardar y cerrar.

mceclip16.png

Ocultar la aplicación de aprovisionamiento de los usuarios

La aplicación de aprovisionamiento no se utiliza para SSO y no debe aparecer en el lanzador de aplicaciones de O365. En la aplicación empresarial, vaya a Propiedades y cambie el Visible para los usuarios a No, luego guarde.

mceclip22.png

Definiendo roles

Las definiciones de roles se configuran en Registros de aplicaciones, no en Aplicaciones empresariales. Para configurar los roles, vaya a Azure AD > Registros de aplicaciones > Todas las aplicaciones, y busque la aplicación de aprovisionamiento de MindBridge.

mceclip23.png

Dentro del registro de la aplicación, vaya a Roles de la aplicación, Crear rol de la aplicación.

  • Nombre para mostrar: ADMIN
  • Tipos de miembros permitidos: Usuarios/Grupos
  • Valor: ADMIN
  • Descripción: Administradores de aplicaciones de MindBridge
  • Habilitar rol: Marcado (predeterminado)

Repita para agregar otro rol:

  • Nombre para mostrar: ORGANIZATION_CREATOR
  • Tipos de miembros permitidos: Usuarios/Grupos
  • Valor: ORGANIZATION_CREATOR
  • Descripción: Usuarios de MindBridge con permiso para crear nuevas organizaciones.
  • Habilitar rol: Marcado (predeterminado)

Repita para un tercer rol:

  • Nombre para mostrar: USER
  • Tipos de miembros permitidos: Usuarios/Grupos
  • Valor: USER
  • Descripción: Usuarios de MindBridge que no pueden crear nuevas organizaciones.
  • Habilitar rol: Marcado (predeterminado)

mceclip25.png

Asignar grupos a la aplicación de aprovisionamiento

  1. Regrese a la aplicación empresarial. En Azure AD, vaya a Aplicaciones empresariales y busque la aplicación de aprovisionamiento de MindBridge.
  2. En la aplicación empresarial, vaya a Usuarios y Grupos > Agregar usuario/grupo.
  3. Seleccione su grupo de administradores de aplicaciones de MindBridge.
  4. Para el rol, seleccione ADMIN, luego Asignar.
  5. Agregue otra asignación.
  6. Seleccione su grupo de usuarios de MindBridge.
  7. Para el rol, seleccione una de las siguientes opciones (todas en mayúsculas):
    • ORGANIZATION_CREATOR, si todos los usuarios deben poder crear nuevas organizaciones (recomendado);
    • USER, si los usuarios no deben poder crear nuevas organizaciones.mceclip26.png
  8. Revise sus asignaciones.mceclip27.png

Lista de verificación

Antes de continuar, confirme que ha:

  • Creado grupos para administradores de aplicaciones de MindBridge y usuarios regulares. Las membresías de los grupos deben ser mutuamente excluyentes (cada usuario solo puede estar en uno de ellos). Los grupos no pueden tener grupos anidados.
  • Creado una aplicación empresarial.
  • Probado la conexión con "Probar conexión".
  • Deshabilitado "Aprovisionar Grupos de Azure Active Directory".
  • Configurado "Aprovisionar Usuarios de Azure Active Directory":
    • Eliminado el mapeo del atributo displayName.
    • Agregado un atributo para "roles".
    • Agregado un mapeo de atributos para "roles".
  • Creado roles de aplicación en el registro de la aplicación.
  • Asignado grupos a la aplicación empresarial.
  • Hecho la aplicación invisible en Propiedades.

Habilitar aprovisionamiento

  1. Vaya a Aprovisionamiento > Editar aprovisionamiento.
  2. Cambie el estado de aprovisionamiento a Activado, luego guarde.mceclip28.png
  3. Cierre para regresar a la página principal de aprovisionamiento.
  4. Espere unos segundos, luego haga clic en Actualizar.
    Debería haberse ejecutado un ciclo de aprovisionamiento exitoso.
    mceclip29.png

  5. Utilice la opción para ver los registros de aprovisionamiento para investigar cualquier fallo.
  6. Verifique los roles de usuario en MindBridge (abra la barra lateral, haga clic en Admin ( Admin_icon.svg ), luego vaya a la pestaña Gestión de usuarios para asegurarse de que se hayan asignado los roles correctos.

Continuar con la población de grupos

Poblar sus grupos de usuarios y administradores de aplicaciones de MindBridge con los usuarios restantes. Asegúrese de que cada usuario esté solo en uno de estos grupos.

El ciclo de aprovisionamiento se ejecuta periódicamente en el intervalo mostrado en la página de Aprovisionamiento. Verifique los registros después del próximo ciclo para confirmar que sus usuarios han sido aprovisionados.

¿Algo más en mente? Chatee con nosotros o envíe una solicitud para obtener más ayuda.

¿Fue útil este artículo?