Sincronizar Usuarios desde Azure Active Directory

Para sincronizar usuarios desde Azure Active Directory (AD), debes añadir una identidad externa de Azure AD y crear una o más sincronizaciones de grupo.

En AuthPoint, la identidad externa de Azure AD representa tu base de datos de usuarios externa. Se conecta a Azure Active Directory para obtener información de la cuenta de usuarios y validar las contraseñas. Las sincronizaciones de grupo que añades a una identidad externa especifican qué usuarios se deben sincronizar desde Azure AD con AuthPoint.

Cuando configuras una sincronización de grupo para sincronizar usuarios desde Active Directory, puedes habilitar el botón de alternancia Crear nuevos grupos sincronizados a fin de crear nuevos grupos en AuthPoint basados en los grupos de Azure Active Directory desde los que sincronizas los usuarios.

Las identidades externas de Azure AD no necesitan la AuthPoint Gateway. Si tienes un servidor de Active Directory local con Azure AD Connect, puedes configurar una identidad externa de Azure AD para sincronizar y autenticar a los usuarios sin la AuthPoint Gateway.

Debido a una limitación de Microsoft, Office 365 solo admite la MFA AuthPoint para usuarios de Azure AD si están sincronizados con un servidor de AD local (no admite MFA para usuarios que solo existen en Azure AD). Para obtener más información, consulta este artículo de la Base de Conocimientos.

Configurar Azure Active Directory

Antes de poder configurar AuthPoint, debes configurar Azure AD.

Para configurar Azure AD:

1. Inicia sesión en el Portal de Microsoft Azure.
2. Selecciona el servicio Azure Active Directory.
3. En el menú de navegación, selecciona Registros de aplicaciones.
4. Haz clic en Nuevo Registro.
   Aparece la página Registrar una aplicación.
5. Escribe un nombre para la aplicación.
6. En Tipos de cuenta admitidos, selecciona los tipos de cuentas de usuarios que pueden usar esta aplicación para iniciar sesión. Tu selección debe representar los usuarios que sincronizas con AuthPoint.
7. Haz clic en Registrar.
   Aparece una página que muestra los detalles de tu aplicación.
8. Copia el valor de ID de la Aplicación (cliente). Necesitas este valor para crear la identidad externa de Azure AD en AuthPoint.
9. En el menú de navegación, selecciona Manifiesto.
10. En el editor de manifiesto, establece la propiedad allowPublicClient en true.
11. Haz clic en Guardar.
12. En el menú de navegación, selecciona Permisos de API.
13. Haz clic en Añadir un permiso.
14. Selecciona Microsoft Graph.
15. Selecciona Permisos de aplicación.
16. Selecciona los permisos de aplicación Group.Read.All y User.Read.All.
17. Selecciona Permisos delegados.
18. Selecciona el permiso User.Read.
19. Haz clic en Añadir permisos. Los permisos que añadas requieren la aprobación del Administrator. Si ves el mensaje de estado "No concedido para <name>", haz clic en Conceder consentimiento de administrador para <name>.
20. En el menú de navegación, selecciona Certificados y Secretos.
21. Haz clic en Nuevo secreto de cliente.
22. (Opcional) Escribe una descripción del secreto de cliente.
23. Selecciona cuándo caduca el secreto.
24. Haz clic en Añadir.
    Detalles del nuevo secreto de cliente. aparece
25. Copia el Valor del secreto de cliente. Necesitas este valor para crear la identidad externa de Azure AD en AuthPoint.

Configurar AuthPoint

En la AuthPoint management UI, debes añadir una identidad externa de Azure AD y crear una o más sincronizaciones de grupo.

Añadir una Identidad Externa

Para añadir una identidad externa en la AuthPoint management UI:

1. En el menú de AuthPoint, selecciona Identidades Externas.
2. En la lista desplegable Elegir un Tipo de Identidad Externa, selecciona Azure AD. Haz clic en Añadir.

3. En el cuadro de texto Nombre, escribe un nombre descriptivo para la identidad externa.
4. En el cuadro de texto ID de Aplicación, escribe el valor de ID de la Aplicación (cliente) de Azure AD.

5. En el cuadro de texto Dominio, escribe el nombre de dominio de tu Azure AD. Si no has creado nombres de dominio personalizados, el formato predeterminado es ejemplo.onmicrosoft.com.
6. En el cuadro de texto Secreto de Cliente, escribe el secreto de cliente que has copiado de Azure AD.
7. En la lista desplegable Intervalo de Sincronización, especifica la frecuencia con la que deseas sincronizar usuarios desde Azure AD. Si seleccionas Cada 24 horas, también debes especificar a qué hora se inicia la sincronización cada día.

8. Haz clic en Guardar.

Probar la Conexión a la Identidad Externa

Para probar la conexión con tu identidad externa:

1. En el menú de navegación, selecciona Identidades Externas.
2. Junto a la identidad externa que has añadido para tu base de datos de Azure AD, haz clic en y selecciona Comprobar Conexión.
   Aparece un mensaje que indica si AuthPoint puede comunicarse con Azure AD.

Sincronizar Tus Usuarios

Después de crear una identidad externa para tu Azure AD, debes añadir una sincronización de grupo para especificar:

• Los grupos de Azure AD desde los que se sincronizarán los usuarios
• El grupo de AuthPoint al que se añadirán los usuarios

Después de añadir una sincronización de grupo, AuthPoint se sincroniza con tu base de datos de Azure AD en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página de configuración para tu identidad externa. y crea una cuenta de usuarios de AuthPoint para cada usuario identificado por la sincronización de grupo. Si la sincronización de grupo devuelve más usuarios que licencias de AuthPoint disponibles tienes tú, la sincronización solo crea los usuarios que admite tu licencia.

Los usuarios que no tienen un nombre, un nombre de usuario y una dirección de correo electrónico en Azure AD no se incluyen en la sincronización.

Antes de sincronizar usuarios, asegúrate de que cada cuenta de usuarios tenga una dirección de correo electrónico válida. Si la dirección de correo electrónico de una cuenta de usuarios no es correcta, el usuario no puede recibir el mensaje de correo electrónico para activar un token.

Para crear una sincronización de grupo para grupos de Azure AD:

1. Selecciona Identidades Externas.
2. Junto a tu identidad externa, haz clic en y selecciona Sincronización de Grupo.

3. En la página Sincronización de Grupo, haz clic en Añadir Nuevo Grupo de Azure para Sincronizar.

4. En la ventana Añadir Sincronización de Grupo de Azure AD, en la lista desplegable Seleccionar Grupos de Azure AD, selecciona los grupos de Azure desde los que deseas sincronizar usuarios. Puedes seleccionar varios grupos.

5. En la lista desplegable Seleccionar el Grupo de AuthPoint, selecciona el grupo de AuthPoint al que añadirás los usuarios.

   Para cada sincronización de grupo, todos los usuarios se añaden al mismo grupo de AuthPoint. Para añadir usuarios a grupos de AuthPoint independientes, debes crear una sincronización de grupo independiente para cada grupo de Azure AD que tenga los usuarios que deseas añadir a un grupo de AuthPoint diferente. Los usuarios sincronizados deben añadirse a un grupo de AuthPoint.

6. Para crear nuevos grupos en AuthPoint basados en los grupos de Azure Active Directory desde los que sincronizas usuarios, habilita el botón de alternancia de la opción Crear nuevos grupos sincronizados. Si habilitas esta opción, los usuarios se sincronizan con los nuevos grupos en función de la pertenencia a grupo en Azure Active Directory y, además, del grupo de AuthPoint seleccionado.

7. Haz clic en Guardar.
   Se cierra la ventana Añadir Sincronización de Grupo.

AuthPoint se sincroniza con tu base de datos de Azure AD en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página Configuración LDAP para tu identidad externa. y crea una cuenta de usuarios de AuthPoint para cada usuario identificado por la sincronización de grupo.

Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a la identidad externa, haz clic en y selecciona Iniciar Sincronización.

Las cuentas de usuarios de AuthPoint recién creadas aparecen en la página Usuarios con un icono verde de estado Activado junto al nombre de usuario. El icono de estado Activado indica que el usuario se ha creado y está actualmente activo (no bloqueado). Puedes identificar a los usuarios sincronizados desde una identidad externa mediante la etiqueta Azure AD en la columna Tipo de la lista de usuarios.

Cada usuario recibe un correo electrónico que usa para activar su token en la aplicación móvil AuthPoint. Cuando un usuario activa su token, puedes ver su token se muestra en la columna Token con un icono verde de estado Activado junto al token.

Si un usuario recibe el correo electrónico de activación del token, puedes enviar al usuario un nuevo correo electrónico de activación para que pueda activar su token. A fin de ver los pasos detallados para reenviar el correo electrónico de activación, consulta Reenviar el Correo Electrónico de Activación.

Si has habilitado el botón de alternancia Crear nuevos grupos sincronizados, los grupos sincronizados se crean en AuthPoint. Los grupos recién creados aparecen en la página Grupos. Puedes identificar los grupos sincronizados en la lista Grupos mediante la etiqueta Azure AD en la columna Tipo.

Si cambias el nombre de un grupo sincronizado en Azure Active Directory, el grupo sincronizado en AuthPoint se actualizará automáticamente para coincidir. No puedes editar los grupos sincronizados en AuthPoint.

Si borras un grupo en Azure Active Directory, o si borras la sincronización de grupo, el grupo sincronizado no se borra en AuthPoint. Debes borrar manualmente el grupo sincronizado en AuthPoint.

Ver También

Probar la Conexión a una Identidad Externa

Sincronizar Usuarios desde Active Directory o LDAP

Añadir un Grupo