Configuración del aprovisionamiento de usuarios externos
Habilitar el aprovisionamiento de usuarios externos permite la administración automática de usuarios de un origen de datos de un proveedor de identidades mediante SCIM (sistema para la administración de identidades entre dominios, por sus siglas en inglés).
Permisos
El aprovisionamiento de usuarios externos debe habilitarse en Diligent One y configurarse en un proveedor de identidades. Para configurar el aprovisionamiento de usuarios externos en una organización, se necesita un usuario con permisos de administrador del sistema en Diligent One y un usuario con permisos de administración en el proveedor de identidades. Estos permisos pueden estar asignados a una misma persona o a varias personas, en cuyo caso deberán coordinar entre sí para configurar el aprovisionamiento de usuarios externos. Por lo general, solo es necesario configurar la función una vez, tras lo cual el sistema funciona de manera autónoma.
Requisitos
Diligent One admite el aprovisionamiento de usuarios mediante SCIM 2.0, lo que habilita la administración automática de usuarios desde un origen de datos.
Operaciones admitidas
Después de haber habilitado el aprovisionamiento de usuarios externos, las operaciones para agregar y quitar usuarios de una organización y actualizar los perfiles de los usuarios se realizan automáticamente en Diligent One desde el proveedor de identidades.
En el futuro, se proyecta ofrecer compatibilidad con las siguientes operaciones: asignación en grupo y administración en grupo (agregar y eliminar).
Cuando se habilita el aprovisionamiento de usuarios externos, no desaparece la posibilidad de agregar y administrar usuarios de manera manual directamente en Diligent One. Si habilita el aprovisionamiento de usuarios externos, agrega opciones de administración de usuarios a las que ya tenía y puede usar todas en una solución híbrida.
Como aclaración, los usuarios que se agregaron exclusivamente en Diligent One y que no se sincronizaron con el proveedor de identidades solo se pueden administrar en Diligent One. Los usuarios que se sincronicen desde un proveedor de identidades solo se deben administrar mediante ese proveedor de identidades. Si se hacen cambios en los usuarios sincronizados en Diligent One, esos cambios se sobrescribirán en la siguiente sincronización. Consulte Enlace a Soporte de aprovisionamiento de usuarios híbrido.
Soporte de aprovisionamiento de usuarios híbrido
En el caso ideal, el proveedor de identidades debe ser el único origen de usuarios, ya que de esta manera se puede simplificar y automatizar la administración de usuarios. Sin embargo, puede haber casos en los que la mejor alternativa para administrar los usuarios de un sistema sea la implementación de una solución híbrida. Por ejemplo, tal vez no sea necesario agregar usuarios a un proveedor de identidades si esos usuarios solo necesitan acceso temporal para solucionar problemas o brindar consultoría.
En una solución híbrida, los usuarios que se agregaron exclusivamente en Diligent One y que no se sincronizaron con el proveedor de identidades solo se pueden administrar en Diligent One. Los usuarios que se sincronicen desde un proveedor de identidades solo se deben administrar mediante ese proveedor de identidades.
Importante
La siguiente información tiene por objetivo visibilizar los posibles problemas que pueden surgir si se usa una solución híbrida para que los tenga en cuenta a la hora de elegir la solución óptima para su organización y pueda evitarlos:
- Actualmente, en Diligent One, no hay distinción visual entre los usuarios administrados a través del proveedor de identidades y los que se agregan manualmente en Diligent One.
- Los usuarios que se agregaron en Diligent One y que no se sincronizaron con el proveedor de identidades solo existen en Diligent One y, por lo tanto, solo se pueden administrar en esa plataforma.
- No administre las actualizaciones de usuarios en Diligent One si el usuario ya está sincronizado desde el proveedor de identidades. Si un usuario que se sincroniza mediante el proveedor de identidades se edita en Diligent One, esos cambios se sobrescribirán en la siguiente sincronización automática del proveedor de identidades. En el caso de un usuario sincronizado, el proveedor de identidades es el único origen de confianza que el perfil utilizará de manera predeterminada. En este caso, los cambios se deben hacer en el proveedor de identidades para que este después los transfiera a Diligent One.
- Si bien el riesgo es bajo, si se quita un usuario sincronizado de Diligent One antes de quitarlo del proveedor de identidades, se pueden producir errores en la automatización en el origen externo. Si esto ocurre, puede ser necesario realizar acciones manuales en el origen externo para volver a sincronizar Diligent One con el proveedor de identidades. En el caso de que se produzca esta situación, comuníquese con el Soporte para recibir asistencia.
Limitaciones
El aprovisionamiento de usuarios externos está limitado a una integración por organización.
Activar el aprovisionamiento de usuarios externos en Diligent One
La configuración del aprovisionamiento de usuarios externos en Diligent One y del proveedor de identidades tiene dos componentes principales.
Activación del aprovisionamiento de usuarios externos en Diligent One
Si se activa el aprovisionamiento de usuarios externos en Diligent One, se genera una clave de la API que se debe agregar al proveedor de identidades para completar el proceso de configuración.
- Abra Launchpad.
Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
- Seleccione Configuración de la plataforma > Organización.
Si no ve Organización como una opción, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador.
- Seleccione Administrar aprovisionamiento de usuarios. Se abre la página Aprovisionamiento de usuarios.
- Seleccione Activar aprovisionamiento de usuarios. Al hacerlo, se genera una clave de la API y se muestra la URL base, que se puede copiar, en el cuadro de diálogo Detalles de configuración de aprovisionamiento.
- Copie la clave de la API y la URL base, y guarde los valores en un lugar seguro antes de cerrar el cuadro de diálogo Detalles de configuración de aprovisionamiento.
- Después de haber guardado la clave de la API y la URL base, seleccione Cerrar. Se cierra el cuadro de diálogo Detalles de configuración de aprovisionamiento y se actualiza la página Aprovisionamiento de usuarios para confirmar que se activó el aprovisionamiento de usuarios externos de SCIM.
- El último aspecto de la configuración del aprovisionamiento de usuarios externos ocurre fuera de Diligent One, en el proveedor de identidades. Consulte Configuración de los detalles del proveedor de identidades.
¡Precaución!
Como medida de seguridad, esta es la única oportunidad que tendrá de acceder a la clave de la API. Si no guarda la clave de la API y la pierde o la olvida, deberá crear una nueva, para lo que deberá desactivar brevemente el aprovisionamiento de usuarios externos en el proveedor de identidades y en Diligent One, generar un nuevo token y reactivar el aprovisionamiento de usuarios externos en Diligent One y en el proveedor de identidades con ese nuevo token. Consulte Actualizar tokens para aprovisionamiento de usuarios externos.
Después de activar el aprovisionamiento de usuarios externos, sigue teniendo la opción de agregar y quitar usuarios manualmente para otorgar acceso a corto plazo en situaciones como asistencia para la solución de problemas y servicios de consultoría. Sin embargo, hágalo con precaución (y, de ser posible, evítelo), ya que se podrían producir problemas con la sincronización. Consulte Enlace a Soporte de aprovisionamiento de usuarios híbrido.
Configuración de los detalles del proveedor de identidades
Después de activar el aprovisionamiento de usuarios externos en Diligent One, la configuración se completa cuando se configura el aprovisionamiento de usuarios externos en el proveedor de identidades. Consulte los pasos para configurar el aprovisionamiento de usuarios externos en la documentación del proveedor de identidades específico que desea utilizar, ya que pueden variar con cada proveedor diferente. Puede haber otros proveedores de identidades que admitan SCIM 2.0 que sean compatibles con esta solución; sin embargo, los siguientes son los que probamos y admitimos de manera activa:
- Microsoft Entra (antes Azure Active Directory): Configuración del aprovisionamiento de usuarios externos para Microsoft Entra
- Okta:
Asignación de atributos de SCIM
En la siguiente tabla se muestra la correspondencia entre los atributos de Diligent One y los atributos estándar de SCIM.
Esquema de usuarios central
| Nombre de atributo de SCIM | Nombre de atributo de Diligent One | Obligatorio al crear el usuario |
|---|---|---|
| userName | Correo electrónico | Sí |
| name.givenName | Nombre | Sí |
| name.familyName | Apellidos | Sí |
| title | Título | No |
| name.initials | Iniciales | No |
| phoneNumbers(type work).value | Número de teléfono | No |
| phoneNumbers(type extension).value | Extensión del teléfono | No |
| name.middleName | Segundo nombre | No |
| addresses[type eq "work"].streetAddress | Línea 1 de dirección laboral | No |
| addresses[type eq "work"].streetAddress2 | Línea 2 de dirección laboral | No |
| addresses[type eq "work"].locality | Ciudad de dirección laboral | No |
| addresses[type eq "work"].region | Estado de dirección laboral | No |
| addresses[type eq "work"].country | País de dirección laboral | No |
| addresses[type eq "work"].postalCode | Código postal de dirección laboral | No |
| addresses[type eq "work"].location | Ubicación laboral | No |
| phoneNumbers[type eq "home"].value | Teléfono particular | No |
| phoneNumbers(type mobile).value | Teléfono móvil | No |
| phoneNumbers[type eq "mobile"].value | Correo electrónico alternativo | No |
Extensión de Policy Manager
Hay un máximo de 13 campos opcionales que se pueden completar a través de SCIM mediante la asignación de un atributo de un usuario del proveedor de identidades al siguiente atributo de SCIM:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Actualizar tokens para aprovisionamiento de usuarios externos
Si un token se pierde, se olvida o caduca, puede ser necesario actualizarlo. Si hay que actualizar un token, deberá desactivar brevemente el aprovisionamiento de usuarios externos y volver a activarlo en Diligent One y en el proveedor de identidades. Estas acciones se deben realizar de manera simultánea para evitar problemas de sincronización.
Para evitar que ocurran problemas de sincronización, cuando se esté preparando para iniciar este proceso, asegúrese de poder completarlo en una sola sesión. Para completar estos pasos, puede ser necesario coordinar con el departamento de TI o un administrador, ya que se genera un nuevo token en Diligent One que se debe implementar en el proveedor de identidades. No se recomienda iniciar este proceso y completarlo más tarde.
-
Opcional, pero firmemente recomendado. En el proveedor de identidades, desactive el aprovisionamiento de usuarios para implementar un nuevo token. Después de desactivar el aprovisionamiento de usuarios externos en Diligent One, la plataforma deja de recibir datos de usuarios desde el proveedor de identidades, pero este sigue enviando esos datos de usuario normalmente y eso es lo que causa el fallo. Para evitarlo, desactive el aprovisionamiento de usuarios externos en el proveedor de identidades. El método de desactivación depende de cada proveedor de identidades. Consulte Configuración de los detalles del proveedor de identidades.
- En Diligent One, desactive el aprovisionamiento de usuarios para implementar un nuevo token. Abra Launchpad.
- Seleccione Configuración de la plataforma > Organización.
-
Seleccione Administrar aprovisionamiento de usuarios. Se abre la página Aprovisionamiento de usuarios.
-
Seleccione Desactivar aprovisionamiento de usuarios. Se abre el cuadro de diálogo ¿Desactivar el aprovisionamiento de usuarios? .
-
Seleccione Desactivar. La clave de la API actual pierde validez de inmediato y se detiene la sincronización de todos los usuarios, que a partir de ese momento solo se pueden administrar localmente en Diligent One. Al completarse esta acción, se abre la página Aprovisionamiento de usuarios y se muestra un mensaje que confirma que el aprovisionamiento de usuarios se desactivó correctamente.
- Seleccione Activar aprovisionamiento de usuarios. Al hacerlo, se genera una clave de la API y una URL base, que se puede copiar, en el cuadro de diálogo Detalles de configuración de aprovisionamiento.
- Copie la clave de la API y la URL base, y guarde los valores en un lugar seguro antes de cerrar el cuadro de diálogo Detalles de configuración de aprovisionamiento.
- Después de haber guardado la clave de la API y la URL base, seleccione Cerrar. Se cierra el cuadro de diálogo Detalles de configuración de aprovisionamiento y se actualiza la página Aprovisionamiento de usuarios para confirmar que se activó el aprovisionamiento de usuarios de SCIM.
- En el proveedor de identidades, reactive el aprovisionamiento de usuarios externos con el token que acaba de generar. Los pasos específicos que deba realizar dependerán del proveedor de identidades que use. Consulte Configuración de los detalles del proveedor de identidades.
Los siguientes pasos, a excepción del paso final, se realizan en Diligent One.
Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
Si no ve Organización como una opción, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador.
¡Precaución!
Como medida de seguridad, esta es la única oportunidad que tendrá de acceder a la clave de la API. Si no guarda la clave de la API y la pierde o la olvida, deberá desactivar brevemente el aprovisionamiento de usuarios tanto en Diligent One como en el proveedor de identidades, crear un nuevo token y reactivar el aprovisionamiento de usuarios en Diligent One y en el proveedor de identidades. Consulte Actualizar tokens para aprovisionamiento de usuarios externos.
Este paso concluye todo lo que debe hacer en Diligent One para generar un nuevo token para el aprovisionamiento de usuarios externos. Los pasos restantes para restablecer el aprovisionamiento de usuarios externos se realizan en el proveedor de identidades con el token que acaba de generar.
Si no tiene permisos de administración en el proveedor de identidades, es probable que deba coordinar con el departamento de TI para realizar estas acciones.
Al reactivarse el aprovisionamiento de usuarios, se hará automáticamente una sincronización para actualizar los datos de los usuarios.
Desactivar el aprovisionamiento de usuarios externos en Diligent One
Si solo necesita desactivar el aprovisionamiento de usuarios externos brevemente para generar un nuevo token que se ha perdido u olvidado o que ha caducado, consulte Actualizar tokens para aprovisionamiento de usuarios externos. Las siguientes instrucciones son para desactivar el aprovisionamiento de usuarios externos con el fin de administrar los usuarios de manera manual exclusivamente a través de Diligent One.
- Desactive el aprovisionamiento de usuarios externos en el proveedor de identidades. El método de desactivación depende de cada proveedor de identidades. Consulte Configuración de los detalles del proveedor de identidades. Nota
Después de desactivar el aprovisionamiento de usuarios externos en Diligent One, la plataforma deja de recibir datos de usuarios desde el proveedor de identidades, pero este sigue enviando esos datos de usuario normalmente y eso es lo que causa el fallo. Para evitarlo, debe desactivar el aprovisionamiento de usuarios externos en el proveedor de identidades. Esta acción puede requerir coordinación con el departamento de TI o con la persona que tenga los permisos adecuados para el proveedor de identidades.
- Abra Launchpad.
- Seleccione Configuración de la plataforma > Organización.
Si no ve Organización como una opción, la cuenta que utilizó para iniciar sesión no tiene privilegios de administrador.
- Seleccione Administrar aprovisionamiento de usuarios. Se abre la página Aprovisionamiento de usuarios.
- Seleccione Desactivar aprovisionamiento de usuarios. Se abre el cuadro de diálogo ¿Desactivar el aprovisionamiento de usuarios? .
- Seleccione Desactivar. Al completarse esta acción, se abre la página Aprovisionamiento de usuarios y se muestra un mensaje que confirma que el aprovisionamiento de usuarios se desactivó correctamente. La clave de la API actual pierde validez de inmediato y se detiene la sincronización de todos los usuarios, que a partir de ese momento solo se pueden administrar localmente en Diligent One.
- Seleccione Vaya a la página de la organización. Con esto, el aprovisionamiento de usuarios queda desactivado.
Si su empresa utiliza más de una instancia en Diligent One, asegúrese de que la instancia apropiada esté activa.
