Sincronizar Usuarios desde Azure Active Directory

Aplica A: Autenticación Multifactor de AuthPoint, AuthPoint Total Identity Security

Para sincronizar usuarios desde Azure Active Directory (AD), debe agregar una identidad externa de Azure AD y crear una o más sincronizaciones de grupos.

En AuthPoint, la identidad externa de Azure AD representa su base de datos de usuarios externa. Se conecta a Azure Active Directory para obtener información de la cuenta de usuario y validar las contraseñas. Las sincronizaciones de grupos que agrega a una identidad externa especifican qué usuarios sincronizar de Azure AD a AuthPoint.

Cuando configure una sincronización de grupos para sincronizar usuarios desde Azure AD, puede seleccionar la casilla de selección Crear nuevos grupos sincronizados para crear nuevos grupos en AuthPoint en función de los grupos de Azure AD desde los cuales sincroniza usuarios. Los usuarios se sincronizan con los nuevos grupos con base en la pertenencia del grupo en Azure AD, además del grupo AuthPoint seleccionado. Para agregar usuarios de Azure AD sincronizados a varios grupos, le recomendamos que use esta función.

Las identidades externas de Azure AD no requieren la AuthPoint Gateway. Si tiene un servidor Active Directory local con Azure AD Connect, puede configurar una identidad externa de Azure AD para sincronizar y autenticar a los usuarios sin la AuthPoint Gateway.

Debido a una limitación de Microsoft, Microsoft 365 solo admite la MFA de AuthPoint para usuarios de Azure AD si están sincronizados con un servidor AD local (no es compatible con la MFA para usuarios que solo existen en Azure AD). Para más información, consulte este artículo de la Base de Consulta.

Si los usuarios de Azure AD reciben un mensaje de error que dice “MFA did not authorize” (MFA no autorizó) cuando se autentican en recursos protegidos, este mensaje generalmente proviene de Azure Active Directory e indica que AuthPoint no pudo validar las credenciales del usuario. Para más información, consulte este artículo de la Base de Consulta.

Configurar Azure Active Directory

Antes de poder configurar AuthPoint, debe configurar Azure AD.

Para configurar Azure AD:

  1. Inicie sesión en el Portal de Microsoft Azure.
  2. Seleccione el servicio Azure Active Directory.
  3. En el menú de navegación, seleccione Registros de aplicaciones.
  4. Haga clic en Nuevo Registro.
    Aparece la página Registrar una aplicación.
  5. Escriba un nombre para la aplicación.
  6. En Tipos de cuenta admitidos, seleccione los tipos de cuentas de usuario que pueden usar esta aplicación para iniciar sesión. Su selección debe representar a los usuarios que sincroniza con AuthPoint.
  7. Haga clic en Registrar.
    Aparece una página que muestra los detalles de su aplicación.
  8. Copie el valor de ID de la Aplicación (cliente). Necesita este valor para crear la identidad externa de Azure AD en AuthPoint.
  9. En el menú de navegación, seleccione Manifiesto.
  10. Seleccione la pestaña Microsoft Graph App Manifest y, en el editor de manifiestos, configure la propiedad isFallbackPublicClient como true. Esta propiedad se denominaba anteriormente allowPublicClient.
  11. Haga clic en Guardar.
  12. En el menú de navegación, seleccione Permisos API.
  13. Haga clic en Agregar un permiso.
  14. Seleccione Microsoft Graph.
  15. Seleccione Permisos de aplicación.
  16. Seleccione los permisos de aplicación Group.Read.All y User.Read.All.
  17. Seleccione Permisos delegados.
  18. Seleccione el permiso User.Read.
  19. Haga clic en Agregar permisos. Los permisos que agregue requieren la aprobación del Administrador. Si ve el mensaje de estado “No concedido para <name>”, haga clic en Otorgar consentimiento de administrador para <name>.
  20. En el menú de navegación, seleccione Certificados y Secretos.
  21. Haga clic en Nuevo secreto de cliente.
  22. (Opcional) Escriba una descripción del secreto de cliente.
  23. Seleccione la expiración del secreto.
  24. Haga clic en Agregar.
    Aparecen los detalles del nuevo secreto del cliente.
  25. Copie el Valor del secreto de cliente. Necesita este valor para crear la identidad externa de Azure AD en AuthPoint.

    Necesita el Valor del secreto del cliente. Es diferente del ID de secreto del cliente.

Configurar AuthPoint

En la AuthPoint management UI, debe agregar una identidad externa de Azure AD y crear una o más sincronizaciones de grupos.

Agregar una Identidad Externa

Para agregar una identidad externa en la AuthPoint management UI:

  1. En el menú de navegación de AuthPoint, seleccione Identidades Externas.

Screen shot that shows the External Identities page.

  1. Haga clic en Agregar Identidad Externa.

    Se abre la página Agregar Identidad Externa.

Screen shot that shows the Add External Identity page.

  1. En la lista desplegable Tipo, seleccione Azure AD.
    Se muestran campos adicionales.
  1. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la identidad externa.
  2. En el cuadro de texto ID de Aplicación, escriba el valor de ID de Aplicación (cliente) de Azure AD.

Screen shot that shows the Add External Identity page.

  1. En el cuadro de texto Dominio, ingrese el nombre de dominio de su Azure AD. Si no creó nombres de dominio personalizados, el formato predeterminado es ejemplo.onmicrosoft.com.
  2. En el cuadro de texto Secreto del Cliente, escriba el secreto que copió de Azure AD.
  3. En la lista desplegable Intervalo de Sincronización, especifique la frecuencia con la que desea sincronizar usuarios de Azure AD. Si selecciona Cada 24 horas, también debe especificar a qué hora se inicia la sincronización cada día.

    En cuanto a las identidades externas de Azure AD que configura para sincronizar una vez cada 24 horas, la hora del Intervalo de Sincronización está en UTC. Por ejemplo, si alguien en Seattle Washington (PST) configura su identidad externa de Azure AD para que se sincronice cada 24 horas a las 10:00 p. m., la sincronización se producirá a las 2:00 p. m. PST (UTC -8).

Screen shot that shows the Add External Identity page.

  1. Haga clic en Guardar.

Probar la Conexión a la Identidad Externa

Para probar la conexión con su identidad externa:

  1. En el menú de navegación, seleccione Identidades Externas.
  2. Junto a la identidad externa que agregó para su base de datos de Azure AD, haga clic en y seleccione Comprobar Conexión.
    Aparece un mensaje que indica si AuthPoint puede comunicarse con Azure AD.

Screen shot that shows the Check Connection option in the external identity menu.

Sincronizar Sus Usuarios

Después de crear una identidad externa para su Azure AD, debe agregar una sincronización de grupos para especificar:

  • Los grupos de Azure AD desde los que se sincronizarán los usuarios
  • El grupo de AuthPoint al que se agregarán los usuarios
  • Si se crean nuevos grupos en AuthPoint según los grupos de Azure AD desde los que se sincronizan los usuarios.
  • Si desea que AuthPoint cree un token móvil para los usuarios sincronizados y envíe un correo electrónico a los usuarios sincronizados para activar su token móvil.

En la mayoría de los casos, recomendamos que les asigne un token a los usuarios y les envíe el correo electrónico de Activación del Token. Las cuentas de usuarios necesitan un token para autenticarse con AuthPoint. Puede optar por no hacer esto para los usuarios que utilizan tokens de hardware para la autenticación, o para las cuentas de servicio que evitan la MFA con autenticación básica.

Después de agregar una sincronización de grupos, AuthPoint se sincroniza con su base de datos Azure AD en el siguiente intervalo de sincronización y crea una cuenta de usuario de AuthPoint para cada usuario identificado por la sincronización de grupos. Si la sincronización de grupos devuelve más usuarios que las licencias de AuthPoint que usted tiene disponibles, la sincronización solo crea tantos usuarios como su licencia admita.

Recomendamos no agregar el mismo grupo LDAP a múltiples sincronizaciones de grupos ni crear múltiples sincronizaciones de grupos que incluyan el mismo usuario LDAP.

Los usuarios que no tienen un nombre, nombre de usuario y dirección de correo electrónico en Azure AD no se incluyen en la sincronización.

Antes de sincronizar usuarios, asegúrese de que cada cuenta de usuario tenga una dirección de correo electrónico válida. Si la dirección de correo electrónico de una cuenta de usuario no es correcta, el usuario no puede recibir el mensaje de correo electrónico para activar un token. Si un usuario identificado por su consulta tiene la misma dirección de correo electrónico que una cuenta de usuario de AuthPoint existente diferente, AuthPoint no sincroniza el usuario externo.

Para crear una sincronización de grupos para grupos de Azure AD:

  1. Seleccione Identidades Externas.
  2. Junto a su identidad externa, haga clic en y seleccione Sincronización de grupo.

Screenshot that shows the menu for an external identity.

  1. En la página Sincronización de Grupos, haga clic en Agregar Nuevo Grupo Azure a Sincronización.

Screenshot that shows the Azure AD Group Sync page.

  1. En la ventana Agregar Sincronización de Grupos de Azure AD, en la lista desplegable Seleccionar Grupos de Azure AD, seleccione los grupos de Azure desde los que desea sincronizar usuarios. Puede seleccionar múltiples grupos.

Screen shot that shows the Add Azure AD Group Sync window.

  1. Para crear grupos nuevos en AuthPoint basados en los grupos de Azure Active Directory desde los que sincroniza usuarios, habilite el interruptor de la opción Crear nuevos grupos sincronizados. Si habilita esta opción, los usuarios se sincronizan con los nuevos grupos basándose en la pertenencia a Azure Active Directory, además del grupo de AuthPoint seleccionado.

    La opción para crear nuevos grupos sincronizados en AuthPoint no incluye grupos de Azure AD que no estén especificados en la sincronización de grupos. Si un usuario sincronizado es miembro de un grupo de Azure AD que no está especificado en la sincronización de grupos, ese grupo Azure AD no se creará en AuthPoint.

    Para agregar usuarios de Azure a varios grupos en AuthPoint, habilite el interruptor Crear nuevos grupos sincronizados en su sincronización de grupos y utilice la estructura de su grupo de Azure Active Directory para administrar sus usuarios.

Screen shot that shows the Add Azure AD Group Sync window.

  1. En la lista desplegable Seleccionar el Grupo de AuthPoint, seleccione el grupo AuthPoint al que agregará los usuarios.

    Para cada sincronización de grupos, todos los usuarios se agregan al mismo grupo AuthPoint. Para agregar usuarios de Azure AD a varios grupos, le recomendamos que habilite el interruptor Crear nuevos grupos sincronizados y utilice la estructura de su grupo de Active Directory para administrar sus usuarios.

Screen shot that shows the Add Azure AD Group Sync window.

  1. Si no desea que AuthPoint cree tokens móviles para estas cuentas de usuario o envíe un correo electrónico a los usuarios para activar sus tokens móviles, desmarque las casillas de selección Asignar automáticamente un token móvil a los usuarios sincronizados y Enviar automáticamente el correo electrónico de activación para los usuarios sincronizados.

    No puede cambiar estos ajustes después de sincronizar las cuentas de usuario. Para asignar un token a un usuario que no tiene estas opciones seleccionadas, debe reenviar el correo electrónico de activación del token. Para más información, vaya a Reenviar el Correo Electrónico de Activación.

  2. Haga clic en Guardar.
    Se cierra la ventana Agregar Sincronización de Grupos.

AuthPoint se sincroniza con su base de datos Azure AD en el siguiente intervalo de sincronización y crea una cuenta de usuario de AuthPoint para cada usuario identificado por la sincronización de grupos.

Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a la identidad externa, haga clic en y seleccione Iniciar Sincronización.

Las cuentas de usuario de AuthPoint recién creadas aparecen en la página Usuarios con un ícono de estado Activado verde al lado del nombre de usuario. El icono de estado Activado indica que el usuario se creó y está actualmente activo (no bloqueado). Puede identificar a los usuarios sincronizados desde una identidad externa mediante la etiqueta Azure AD en la columna Tipo de la lista de usuarios.

Screenshot that shows Azure AD users on the Users page.

Cada usuario recibe un correo electrónico que utiliza para activar su token en la aplicación móvil AuthPoint. Cuando un usuario activa su token, usted puede ver su token se muestra en la columna Token con un icono de estado Activado verde al lado del token.

Si un usuario recibe el correo electrónico de activación del token, puede enviarle un nuevo correo electrónico de activación para que pueda activar su token. Si elige no asignar automáticamente un token móvil a un usuario, puede usar esta opción para crear un token para ellos y enviarles el correo electrónico de activación del token. A fin de ver los pasos detallados para reenviar el correo electrónico de activación, consulte Reenviar el Correo Electrónico de Activación.

Si habilitó el interruptor Crear nuevos grupos sincronizados, los grupos sincronizados se crean en AuthPoint. Los grupos recién creados aparecen en la página Grupos. Puede identificar los grupos sincronizados en la lista Grupos al lado de la etiqueta de Azure AD en la columna Tipo.

Si cambia el nombre de un grupo sincronizado en Azure Active Directory, el grupo sincronizado en AuthPoint se actualizará automáticamente al mismo nombre. No puede editar los grupos sincronizados en AuthPoint.

Si elimina un grupo en Azure Active Directory, o si elimina la sincronización de grupos, el grupo sincronizado no se elimina en AuthPoint. Debe eliminar manualmente el grupo sincronizado en AuthPoint.

Temas Relacionados

Probar la Conexión a una Identidad Externa

Sincronizar Usuarios desde Active Directory o LDAP

Agregar Grupos de AuthPoint