Configuración del aprovisionamiento de usuarios externos
Habilitar el aprovisionamiento de usuarios externos permite la administración automática de usuarios de un origen de datos de un proveedor de identidades mediante SCIM (sistema para la administración de identidades entre dominios, por sus siglas en inglés).
Permisos
El aprovisionamiento de usuarios externos debe habilitarse en Diligent One y configurarse en un proveedor de identidades. Para configurar el aprovisionamiento de usuarios externos en una organización, se necesita un usuario con permisos de administrador del sistema en Diligent One y un usuario con permisos de administración en el proveedor de identidades. Estos permisos pueden estar asignados a una misma persona o a varias personas, en cuyo caso deberán coordinar entre sí para configurar el aprovisionamiento de usuarios externos. Por lo general, solo es necesario configurar la función una vez, tras lo cual el sistema funciona de manera autónoma.
Requisitos
Diligent One admite el aprovisionamiento de usuarios mediante SCIM 2.0, lo que habilita la administración automática de usuarios desde un origen de datos.
Operaciones admitidas
Después de haber habilitado el aprovisionamiento de usuarios externos, las operaciones para agregar y quitar usuarios de una organización y actualizar los perfiles de los usuarios se realizan automáticamente en Diligent One desde el proveedor de identidades.
En el futuro, se proyecta ofrecer compatibilidad con las siguientes operaciones: asignación en grupo y administración en grupo (agregar y eliminar).
Cuando se habilita el aprovisionamiento de usuarios externos, no desaparece la posibilidad de agregar y administrar usuarios de manera manual directamente en Diligent One. Si habilita el aprovisionamiento de usuarios externos, agrega opciones de administración de usuarios a las que ya tenía y puede usar todas en una solución híbrida.
Como aclaración, los usuarios que se agregaron exclusivamente en Diligent One y que no se sincronizaron con el proveedor de identidades solo se pueden administrar en Diligent One. Los usuarios que se sincronicen desde un proveedor de identidades solo se deben administrar mediante ese proveedor de identidades. Si se hacen cambios en los usuarios sincronizados en Diligent One, esos cambios se sobrescribirán en la siguiente sincronización. Consulte Enlace a Soporte de aprovisionamiento de usuarios híbrido.
Soporte de aprovisionamiento de usuarios híbrido
En el caso ideal, el proveedor de identidades debe ser el único origen de usuarios, ya que de esta manera se puede simplificar y automatizar la administración de usuarios. Sin embargo, puede haber casos en los que la mejor alternativa para administrar los usuarios de un sistema sea la implementación de una solución híbrida. Por ejemplo, tal vez no sea necesario agregar usuarios a un proveedor de identidades si esos usuarios solo necesitan acceso temporal para solucionar problemas o brindar consultoría.
En una solución híbrida, los usuarios que se agregaron exclusivamente en Diligent One y que no se sincronizaron con el proveedor de identidades solo se pueden administrar en Diligent One. Los usuarios que se sincronicen desde un proveedor de identidades solo se deben administrar mediante ese proveedor de identidades.
Importante
La siguiente información tiene por objetivo visibilizar los posibles problemas que pueden surgir si se usa una solución híbrida para que los tenga en cuenta a la hora de elegir la solución óptima para su organización y pueda evitarlos:
- Actualmente, en Diligent One, no hay distinción visual entre los usuarios administrados a través del proveedor de identidades y los que se agregan manualmente en Diligent One.
- Los usuarios que se agregaron en Diligent One y que no se sincronizaron con el proveedor de identidades solo existen en Diligent One y, por lo tanto, solo se pueden administrar en esa plataforma.
- No administre las actualizaciones de usuarios en Diligent One si el usuario ya está sincronizado desde el proveedor de identidades. Si un usuario que se sincroniza mediante el proveedor de identidades se edita en Diligent One, esos cambios se sobrescribirán en la siguiente sincronización automática del proveedor de identidades. En el caso de un usuario sincronizado, el proveedor de identidades es el único origen de confianza que el perfil utilizará de manera predeterminada. En este caso, los cambios se deben hacer en el proveedor de identidades para que este después los transfiera a Diligent One.
- Si bien el riesgo es bajo, si se quita un usuario sincronizado de Diligent One antes de quitarlo del proveedor de identidades, se pueden producir errores en la automatización en el origen externo. Si esto ocurre, puede ser necesario realizar acciones manuales en el origen externo para volver a sincronizar Diligent One con el proveedor de identidades. En el caso de que se produzca esta situación, comuníquese con el Soporte para recibir asistencia.
Limitaciones
El aprovisionamiento de usuarios externos está limitado a una integración por organización.
Activar el aprovisionamiento de usuarios externos en Diligent One
La configuración del aprovisionamiento de usuarios externos requiere lo siguiente:
-
Activación del aprovisionamiento de usuarios externos en la plataforma Diligent One.
-
Configuración del proveedor de identidades.
Activación del aprovisionamiento de usuarios externos en la plataforma Diligent One
Si se activa el aprovisionamiento de usuarios externos en Diligent One, se genera una clave de la API que se debe agregar al proveedor de identidades para completar el proceso de configuración.
-
Abra la página de inicio de Launchpad (www.highbond.com).
Si su empresa utiliza más de una instancia en Launchpad, asegúrese de que esté activa la instancia apropiada.
-
En el navegador de la izquierda, seleccione Configuración de la plataforma, y en Gestión de la organización, seleccione Organización.
-
En la página que aparece, seleccione Administrar aprovisionamiento de usuarios.
Aparece la página Aprovisionamiento de usuarios.
- En la página Aprovisionamiento de usuarios, seleccione Crear.
- Desde el panel lateral Detalles de configuración de aprovisionamiento que aparece, copie la clave de la API generada y la URL base.
- Guarde los valores en un lugar seguro antes de cerrar el panel lateral Detalles de configuración de aprovisionamiento.
¡Precaución!
Por razones de seguridad, esta es la única vez que puede acceder a la clave de la API. Si no guarda la clave de la API, la pierde o la olvida, deberá generar una nueva. Si desea obtener más información, consulte Actualizar tokens para aprovisionamiento de usuarios externos.
- Cierre el panel.
La página Aprovisionamiento de usuarios muestra los detalles y la cantidad de días hasta que la clave de la API caduque.
NotaDespués de activar el aprovisionamiento de usuarios externos, sigue teniendo la opción de agregar y quitar usuarios manualmente para otorgar acceso a corto plazo en situaciones como asistencia para la solución de problemas y servicios de consultoría. Sin embargo, hágalo con precaución, ya que se podrían producir problemas con la sincronización. Si desea obtener más información, consulte Soporte de aprovisionamiento de usuarios híbrido.
Configuración de los detalles del proveedor de identidades
Después de habilitar el aprovisionamiento de usuarios en Diligent One, debe configurarlo en su proveedor de identidades para completar los ajustes. Consulte la documentación de su proveedor de identidades para conocer las instrucciones de configuración específicas, ya que el proceso puede variar dependiendo del proveedor.
Aunque otros proveedores de identidad que admiten SCIM 2.0 pueden ser compatibles con esta solución, probamos activamente y admitimos los siguientes proveedores de identidad:
- Microsoft Entra (antes Azure Active Directory): Configuración del aprovisionamiento de usuarios externos para Microsoft Entra
- Okta:
- Ping One: Creación de una conexión SCIM
- One Login: Crear una aplicación SCIM (Esquema recomendado: SCIM V2.0 - Esquema básico)
Asignación de atributos de SCIM
En la siguiente tabla se muestra la correspondencia entre los atributos de Diligent One y los atributos estándar de SCIM.
Esquema de usuarios central
| Nombre de atributo de SCIM | Nombre de atributo de Diligent One | Obligatorio al crear el usuario |
|---|---|---|
| userName | Correo electrónico | Sí |
| name.givenName | Nombre | Sí |
| name.familyName | Apellidos | Sí |
| title | Título | No |
| name.initials | Iniciales | No |
| phoneNumbers(type work).value | Número de teléfono | No |
| phoneNumbers(type extension).value | Extensión del teléfono | No |
| name.middleName | Segundo nombre | No |
| addresses[type eq "work"].streetAddress | Línea 1 de dirección laboral | No |
| addresses[type eq "work"].streetAddress2 | Línea 2 de dirección laboral | No |
| addresses[type eq "work"].locality | Ciudad de dirección laboral | No |
| addresses[type eq "work"].region | Estado de dirección laboral | No |
| addresses[type eq "work"].country | País de dirección laboral | No |
| addresses[type eq "work"].postalCode | Código postal de dirección laboral | No |
| addresses[type eq "work"].location | Ubicación laboral | No |
| phoneNumbers[type eq "home"].value | Teléfono particular | No |
| phoneNumbers(type mobile).value | Teléfono móvil | No |
| phoneNumbers[type eq "mobile"].value | Correo electrónico alternativo | No |
Extensión de Policy Manager
Hay un máximo de 13 campos opcionales que se pueden completar a través de SCIM mediante la asignación de un atributo de un usuario del proveedor de identidades al siguiente atributo de SCIM:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Abordar los tokens que están a punto de caducar
Cuando un token está a punto de caducar, los administradores reciben correos electrónicos 30 días, cinco días y un día antes. Se envía un correo electrónico final al caducar. Se seguirán enviando correos electrónicos hasta que el token se elimine o caduque. Cuando caduca, todos los procesos dependientes fallan, a menos que se reemplace.
Actualizar tokens para aprovisionamiento de usuarios externos
Si un token se pierde, se olvida, está cerca de caducar o caduca, es necesario actualizarlo. Para evitar problemas de sincronización, asegúrese de completar el proceso en una sola sesión. Coordine con el departamento de TI o un administrador, ya que el token que se genera en la plataforma Diligent One también se debe implementar en el proveedor de identidades.
Para actualizar un token, siga estos pasos:
-
Abra la página de inicio de Launchpad (www.highbond.com).
Si su empresa utiliza más de una instancia en Launchpad, asegúrese de que esté activa la instancia apropiada.
-
En el navegador de la izquierda, seleccione Configuración de la plataforma, y en Gestión de la organización, seleccione Organización.
-
En la página que aparece, seleccione Administrar aprovisionamiento de usuarios.
Aparece la página Aprovisionamiento de usuarios.
- En la página Aprovisionamiento de usuarios, junto al campo Clave de la API, seleccione Generar nuevo.
- Desde el panel lateral Detalles de configuración de aprovisionamiento que aparece, copie la clave de la API generada.
- Guarde el valor en un lugar seguro antes de cerrar el panel lateral Detalles de configuración de aprovisionamiento.
¡Precaución!
Por razones de seguridad, esta es la única vez que puede acceder a la clave de la API.
- Cierre el panel.
La página Aprovisionamiento de usuarios muestra los detalles y la cantidad de días hasta que la clave de la API caduque.
-
Vaya a su proveedor de identidades y haga lo siguiente:
-
Asegúrese de que su proveedor de identidades esté utilizando el token nuevo.
-
Siga las instrucciones para mantener sus usuarios sincronizados.
-
-
En la plataforma Diligent One, en la página Aprovisionamiento de usuarios, elimine el token que está cerca de caducar.
Desactivar el aprovisionamiento de usuarios externos en la plataforma Diligent One
Los efectos de quitar el aprovisionamiento de usuarios son los siguientes:
-
Las claves de la API existentes se revocan al instante.
-
Las sincronizaciones de usuarios se detienen.
-
La gestión de usuarios solo está disponible a nivel local en la plataforma Diligent One.
Para desactivar el aprovisionamiento de usuarios externos para gestionar manualmente los usuarios a través de Diligent One exclusivamente, primero debe desactivar el aprovisionamiento de usuarios externos en su proveedor de identidades. El método de desactivación depende de su proveedor de identidades específico. Si desea obtener más información, consulte Configuración de los detalles del proveedor de identidades.
Cuando se desactiva el aprovisionamiento de usuarios externos en Diligent One, la plataforma deja de recibir datos de usuarios desde el proveedor de identidades, pero este sigue enviando esos datos de usuario normalmente y eso es lo que causa el fallo. Para evitarlo, debe desactivar el aprovisionamiento de usuarios externos en el proveedor de identidades. Esta acción puede requerir coordinación con el departamento de TI o con la persona que tenga los permisos adecuados para el proveedor de identidades.
Después de desactivar el aprovisionamiento de usuarios externos en su proveedor de identidades, haga lo siguiente:
-
Abra la página de inicio de Launchpad (www.highbond.com).
Si su empresa utiliza más de una instancia en Launchpad, asegúrese de que esté activa la instancia apropiada.
-
En el navegador de la izquierda, seleccione Configuración de la plataforma, y en Gestión de la organización, seleccione Organización.
-
En la página que aparece, seleccione Administrar aprovisionamiento de usuarios.
Aparece la página Aprovisionamiento de usuarios.
-
En la página Aprovisionamiento de usuarios, seleccione Quitar.
-
En el cuadro de diálogo Quitar aprovisionamiento de usuarios que aparece, consulte los efectos de quitar el aprovisionamiento de usuarios, y seleccione Quitar.
