Provisionamiento SCIM con Entra ID (anteriormente Azure)

Este artículo explica cómo usar la aplicación SCIM de Azure para sincronizar automáticamente la información de usuario y de grupo, y aprovisionar usuarios y grupos de Entra ID a tu cuenta de Cato.

Capacidades Soportadas

  • Crear y deshabilitar usuarios en la Aplicación de Gestión de Cato
  • Sincronizar usuarios y atributos desde Azure AD a la Aplicación de Gestión de Cato
  • Inicio de sesión único (SSO) a Azure
  • Los usuarios pueden autenticarse con correo electrónico o UPN, dependiendo de su configuración de Azure.

Requisitos Previos

Asegúrate de que estos elementos estén listos antes de crear la aplicación SCIM de Azure:

  • Un inquilino de Entra ID
  • Permisos de Entra ID para configurar el aprovisionamiento de usuarios

Limitaciones

  • Eliminar un usuario de la aplicación IdP deshabilita al usuario en la Aplicación de Gestión de Cato (ver abajo Eliminando Usuarios o Grupos de Usuarios de la Aplicación SCIM)

  • Para las cuentas que usan sincronización LDAP para usuarios, cuando habilitas el provisionamiento SCIM, esta sincronización se desactiva para tu cuenta.

    • La sincronización LDAP para la Conciencia del Usuario continúa funcionando regularmente y no se ve afectada por el aprovisionamiento SCIM.
  • El aprovisionamiento de grupos anidados no está soportado
  • La sincronización SCIM sobrescribe los grupos LDAP existentes con el mismo nombre. Para obtener más información, consulte Cómo la Sincronización SCIM Sobrescribe Grupos LDAP Existentes
  • Los usuarios provisionados con SCIM no son identificados con la Conciencia del Usuario basada en WMI. La Conciencia del Usuario con SCIM está soportada utilizando Cato Agente de Identidad
  • El aprovisionamiento bajo demanda no soporta la asignación de usuarios a un grupo de usuarios

Planificación de la Sincronización de Usuarios

Esta sección describe cómo planificar Entra ID para sincronizar usuarios con tu cuenta de Cato. Para más información sobre la planificación de la sincronización de usuarios entre Azure y Cato, consulta estos artículos de Microsoft:

Definiendo Usuarios y Grupos para la Sincronización de Usuarios

Entra ID te permite definir los usuarios que se incluyen en la sincronización de usuarios con Cato según uno de estos métodos:

  • Asignación de usuarios a la aplicación Entra ID
  • Filtrando usuarios basándose en los atributos para usuarios o grupos

Como parte del proceso para planificar la sincronización de usuarios con Cato, recomendamos que empieces con un pequeño grupo de usuarios. Dependiendo del método anterior, puedes:

  • Asignar algunos usuarios a la aplicación Entra ID
  • Crear un filtro de alcance basado en atributos que solo coincida con algunos usuarios

Configurando la Sincronización de Usuarios Automática a Cato con la Aplicación SCIM de Cato

Puedes conectar Entra ID a tu cuenta de Cato y sincronizar usuarios entre ellos. Agrega la aplicación SCIM de Cato en la galería de Azure a tu cuenta y luego configura los ajustes para conectarse a tu cuenta de Cato. Azure inicia la sincronización automática de usuarios cada 40 minutos.

Luego puedes definir los grupos y usuarios de Entra ID que se sincronizan y habilitar el aprovisionamiento automático.

El estado de los usuarios en tu Proveedor de Identidad (IdP) se sincroniza automáticamente con tu cuenta de Cato. Por ejemplo, cuando desactivas usuarios en el IdP, se sincronizan con tu cuenta de Cato como desactivados.

Nota: Al considerar el número total de usuarios en un grupo SCIM en Azure en comparación con el grupo SCIM de CMA, ten en cuenta que tendrás menos usuarios en el grupo SCIM de CMA. Esto se debe a que no contamos a los usuarios deshabilitados, que se han sincronizado y luego se han deshabilitado o siempre han estado deshabilitados.

Configurando la Aplicación SCIM de Cato

Configura los ajustes para la aplicación SCIM de Cato desde la galería de Azure y luego establece la aplicación para sincronizar automáticamente usuarios a Cato.

En la Aplicación de Gestión de Cato, habilita el Provisionamiento SCIM y copia la URL y el token a la sección de Credenciales de Administrador en la aplicación SCIM de Cato.

Para agregar nuevos atributos a tu aplicación existente, actualiza la aplicación SCIM.

Para conectar Aplicación de Gestión de Cato a la aplicación SCIM:

  1. Desde el portal de Azure, vaya a Aplicaciones Empresariales.
  2. Vaya a Nueva aplicación, busque la aplicación de aprovisionamiento de redes Cato, y haga clic en Crear.

  3. En la Aplicación de Gestión de Cato, desde el menú de navegación selecciona Acceso > Servicios de Directorio y haz clic en la pestaña SCIM.

    SCIM.png
  4. Seleccione Habilitar Aprovisionamiento SCIM para configurar su cuenta para conectarse con la aplicación SCIM.
  5. Haz clic en Guardar.
  6. Copie y pegue la URL SCIM y el token en un archivo de texto en blanco.
    1. En URL base, haga clic en el icono de copiar copy.png para copiar la URL SCIM al portapapeles y luego pegarla en el archivo de texto.
    2. En Token de Portador, haga clic en el icono de copiar copy.png para copiar el token único de cuenta al portapapeles y luego pegarlo en el archivo de texto.
  7. En Azure, vaya a la sección de Aprovisionamiento para la aplicación SCIM, y pegue la URL SCIM y el token.
    1. Pegue la URL en URL del Arrendatario.
    2. Pegue el token en Token Secreto.
    3. Haz clic en Guardar.
  8. En Azure, haga clic en Probar Conexión para asegurarse de que Azure AD pueda conectarse a la aplicación SCIM de Cato.
  9. Habilite el aprovisionamiento automático en la aplicación.
    1. Desde el menú de navegación, seleccione Aprovisionamiento.
    2. En la pantalla de Aprovisionamiento, haga clic en Comenzar.
    3. Desde el menú desplegable de Modo de Aprovisionamiento, seleccione Automático.
    4. Haz clic en Guardar.
  10. Asignar grupos y usuarios a la aplicación.

Aprovisionamiento de Usuarios a Tu Cuenta de Cato

Después de que la aplicación SCIM de Cato pueda conectarse a tu cuenta, habilita el aprovisionamiento automático y selecciona los usuarios y grupos que se sincronizan.

Para aprovisionar usuarios a tu cuenta de Cato:

  1. En la aplicación SCIM de Cato, vaya a la sección de Aprovisionamiento.

  2. En Estado de Provisionando, haz clic en Comenzar aprovisionamiento.

    Azure_StartProvisioning.png

    La sincronización inicial entre tu Azure AD y la cuenta de Cato comienza.

Actualizando una Aplicación SCIM Existente

Usa los siguientes pasos para actualizar la lista de atributos y los mapeos de atributos para una aplicación SCIM existente de Microsoft Entra ID para que se aprovisionen atributos de usuario adicionales a Cato. Esto es necesario para obtener acceso a los últimos atributos utilizados por Cato, por ejemplo, Título del Trabajo y Departamento.

Nota

Nota: Si la aplicación SCIM fue creada antes de noviembre de 2025, debes crear una nueva aplicación SCIM y configurar los atributos como se describe a continuación.

Actualizar una aplicación SCIM existente:

  1. Desde el portal de Azure, vaya a Aplicaciones Empresariales > Todas las aplicaciones y seleccione su aplicación SCIM de Cato.
  2. Haga clic en Aprovisionamiento y luego Mapeo de atributos.
  3. En la página de Mapeo de Atributos, seleccione la casilla de Mostrar opciones avanzadas y haga clic en Editar lista de atributos para <appName>.

  4. Agrega el atributo y desde el menú desplegable de Tipo selecciona el valor relevante.

    Repite este proceso para cada atributo que deseas agregar.

  5. Haz clic en Guardar.
  6. En la página de Mapeo de Atributos, haga clic en Editar atributo.

  7. En la página Editar Atributo, selecciona el Atributo de fuente y mapéalo al Atributo objetivo.

    Por ejemplo, selecciona jobTitle como la fuente, y mapéalo a title en el objetivo.

    Repite este proceso para cada atributo que estás agregando.

  8. Haz clic en Guardar.
  9. Aprovisione usuarios y grupos a la cuenta.

Revisando los Atributos de Aprovisionamiento SCIM

Después de configurar la aplicación SCIM de Cato, puedes revisar la asignación de atributos de aprovisionamiento SCIM entre Entra ID y la Aplicación de Gestión de Cato.

 

Atributo de Azure AD

Atributo de Usuario de Cato

Notas sobre Usuario

userPrincipalName

userName

Nombre de Usuario

Coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

Dirección de correo electrónico

givenName

name.givenName

Nombre

surname

name.familyName

Apellido

telephoneNumber

phoneNumbers[type eq "work"].value

Número de teléfono (incluyendo prefijo)

objectId

externalId

ID para usuario (utilizado en eventos)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

activo

Cuando un usuario es desasignado de la aplicación SCIM, el usuario es eliminado suavemente con los parámetros: "False", "True", "True", "False"

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

title

department

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

Asignación de Licencias SDP

En el IdP, define los grupos y usuarios que se sincronizan con tu cuenta de Cato. Después de completar la sincronización inicial, todos los usuarios se crean en la Aplicación de Gestión de Cato y son visibles en la página Directorio de Usuarios.

Luego puedes asignar licencias SDP a los usuarios, para más información, consulta Asignación de Licencias ZTNA a Usuarios.

Eliminar usuarios o grupos de usuarios de la aplicación SCIM

Nota

Importante: Aunque los usuarios pueden ser eliminados dentro de la CMA, recomendamos eliminar usuarios o grupos de usuarios que sean aprovisionados con la aplicación SCIM directamente desde el portal de Azure.

Cuando desee retirar usuarios o grupos de usuarios que estén aprovisionados en su cuenta de Cato con la aplicación SCIM, desasígnelos en la aplicación. Los usuarios y grupos de usuarios se deshabilitan automáticamente la próxima vez que la aplicación SCIM sincronice con su cuenta.

Para retirar usuarios o grupos de usuarios que estén sincronizados con su cuenta de Cato:

  1. En la aplicación SCIM de Cato, desasigne a los usuarios o grupos de usuarios.

    Durante la próxima sincronización, la aplicación SCIM deshabilita a los usuarios o grupos de usuarios en su cuenta de Cato.

  2. (Opcional) Después de que los usuarios o grupos estén deshabilitados, puedes eliminarlos de la Aplicación de Gestión de Cato.

    Puede tomar hasta 15 minutos antes de que puedas eliminar manualmente usuarios o grupos de usuarios.

Entendiendo Eventos para Aprovisionamiento SCIM

La Cato Management Application genera eventos cada vez que los usuarios y grupos están bloqueados porque no cumplen con los requisitos de la Política de Conectividad del Cliente.

Cada hora, la Cato Management Application envía alertas por correo electrónico que resumen las acciones de aprovisionamiento SCIM (éxito o fallo).

La siguiente tabla explica los diferentes eventos.

 

Tipo de Evento

Acción

Descripción

Aprovisionamiento SCIM

Éxito

La acción de sincronizar usuarios o grupos con su cuenta mediante la aplicación SCIM fue exitosa.

Aprovisionamiento SCIM

Fallo

La aplicación SCIM no logró sincronizar el IdP con su cuenta. El mensaje del evento explica la razón del fallo de sincronización.

Aprovisionamiento SCIM

Desactivado

Un usuario desactivado en el IdP fue sincronizado exitosamente y desactivado en su cuenta de Cato.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 5

0 comentarios