Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general
En el diagrama siguiente se muestra información general de cómo funciona el aprovisionamiento de aplicaciones locales.
Existen tres componentes principales para el aprovisionamiento de usuarios en una aplicación local:
- El agente de aprovisionamiento proporciona conectividad entre Microsoft Entra ID y el entorno local.
- El host del conector extensible connectivity(ECMA) convierte las solicitudes de aprovisionamiento de Microsoft Entra ID en las solicitudes realizadas a la aplicación de destino. Actúa como puerta de enlace entre Microsoft Entra ID y la aplicación. Se puede usar para importar los conectores ECMA2 existentes que se utilizan con Microsoft Identity Manager. El host ECMA no es necesario si ha creado una aplicación SCIM o una puerta de enlace SCIM.
- El servicio de aprovisionamiento de Microsoft Entra actúa como motor de sincronización.
Nota:
La sincronización de Microsoft Identity Manager no es necesaria. Pero puedes usarla para crear y probar el conector ECMA2 antes de importarlo en el host ECMA. El conector ECMA2 es específico de MIM, donde el host ECMA es específico para su uso con el agente de aprovisionamiento.
Requisitos de firewall
No es necesario abrir conexiones de entrada a la red corporativa. Los agentes de aprovisionamiento solo usan conexiones salientes al servicio de aprovisionamiento, lo que significa que no es necesario abrir los puertos de firewall para las conexiones entrantes. Tampoco necesitas una red perimetral (DMZ), porque todas las conexiones son salientes y se realizan por medio de un canal seguro.
Aquí se detallan los puntos de conexión de salida necesarios para los agentes de aprovisionamiento.
Arquitectura del host del conector de ECMA
El host del conector de ECMA tiene varias áreas que usa para el aprovisionamiento local. El siguiente diagrama es un dibujo conceptual que presenta estas áreas individuales. En la tabla siguiente se describen con más detalle.
| Área | Descripción |
|---|---|
| Puntos de conexión | Responsable de la comunicación y la transferencia de datos con el servicio de aprovisionamiento de Microsoft Entra |
| Caché en memoria | Se usa para almacenar los datos importados desde el origen de datos local. |
| Sincronización automática | Proporciona sincronización asincrónica de datos entre el host del conector de ECMA y el origen de datos local. |
| Lógica de negocios | Se usa para coordinar todas las actividades del host del conector de ECMA. La hora de la sincronización automática se puede configurar en el host de ECMA. Está en la página de propiedades. |
Acerca de los atributos de ancla y los nombres distintivos
La siguiente información se proporciona para explicar mejor los atributos de delimitador y los nombres distintivos utilizados por el conector genericSQL.
El atributo delimitador es un atributo único de un tipo de objeto que no cambia y representa ese objeto en la memoria caché en memoria del host del conector de ECMA.
El nombre distintivo (DN) es un nombre que identifica de forma única un objeto indicando su ubicación actual en la jerarquía del directorio. O con SQL, en la partición. Para formar el nombre se concatena el atributo delimitador en la raíz de la partición de directorio.
Cuando pensamos en DNs tradicionales en un formato tradicional, como Active Directory o LDAP, pensamos en algo similar a:
CN=Lola Jacobson,CN=Users,DC=contoso,DC=com
Sin embargo, para un origen de datos como SQL, que es plano y no jerárquico, el nombre distintivo debe estar ya presente en una de las tablas, o bien crearse a partir de la información que proporcionamos al host del conector de ECMA.
Esto se puede lograr activando Autogenerado en la casilla al configurar el conector genericSQL. Cuando se elige que el DN sea generado automáticamente, el host ECMA generará un DN en formato LDAP: CN=<anchorvalue>,OBJECT=<type>. También se presupondrá que la opción DN es delimitador se dejó sin activar en la página Conectividad.
El conector de genericSQL espera que el nombre distintivo se rellene en formato LDAP. El conector de genericSQL usa el estilo de LDAP con el nombre de componente "OBJECT=". Esto le permite usar particiones (cada tipo de objeto es una partición).
Como el host del conector de ECMA actualmente solo admite el tipo de objeto USER, OBJECT=<type> será OBJECT=USER. Por lo tanto, el nombre distintivo de un usuario con un valor delimitador ljacobson sería:
CN=ljacobson,OBJETO=USUARIO
Flujo de trabajo de creación de usuarios
El servicio de aprovisionamiento de Microsoft Entra consulta el host del conector de ECMA para ver si el usuario existe. Usa el atributo coincidente como filtro. Este atributo se define en el Centro de administración de Microsoft Entra bajo Aplicaciones empresariales -> aprovisionamiento local -> aprovisionamiento -> coincidencia de atributos. Se indica en 1 para la precedencia coincidente. Puede definir uno o varios atributos coincidentes y priorizarlos en función de la prioridad. Si desea cambiar el atributo coincidente, también puede hacerlo.
El host del conector de ECMA recibe la solicitud GET y consulta su caché interna para ver si el usuario existe y se ha importado. Esto se hace con los atributos coincidentes anteriores. Si defines varios atributos coincidentes, el servicio de aprovisionamiento de Microsoft Entra enviará una solicitud GET para cada atributo y el host ECMA comprobará si hay una coincidencia en la memoria caché hasta que se encuentre una.
Si el usuario no existe, Microsoft Entra ID realizará una solicitud POST para crear el usuario. El host del conector de ECMA responderá a Microsoft Entra ID con HTTP 201 y proporcionará un identificador para el usuario. Este identificador se deriva del valor delimitador definido en la página de tipos de objeto. Este ancla lo usará Microsoft Entra ID para consultar el host del conector de ECMA en solicitudes futuras y subsiguientes.
Si se produce un cambio en el usuario de Microsoft Entra ID, Microsoft Entra ID realizará una solicitud GET para recuperar el usuario mediante el delimitador del paso anterior, en lugar del atributo coincidente del paso 1. Esto permite, por ejemplo, que el UPN cambie sin romper el vínculo entre el usuario en Microsoft Entra ID y en la aplicación.
Procedimientos recomendados del agente
-
- Evita todo tipo de inspección en línea de las comunicaciones salientes de TLS entre los agentes y Azure. Este tipo de inspección insertada provoca la degradación en el flujo de la comunicación.
- El agente tiene que comunicarse con Azure y la aplicación; por eso la ubicación del agente afecta a la latencia de esas dos conexiones. Puedes probar a minimizar la latencia del tráfico de extremo a extremo optimizando cada conexión de red. Entre las formas en que puede optimizar cada conexión se incluyen:
- Reducir la distancia entre los dos extremos del salto.
- Elegir la red adecuada por la que pasar. Por ejemplo, puede ser más rápido pasar por una red privada que por la red pública de Internet debido a los vínculos dedicados.
- El agente usa certificados para la comunicación segura. Para obtener más información sobre los dos certificados que usa el sistema, incluido el comportamiento de expiración y las recomendaciones para el uso de producción, consulte Administración de certificados.
Administración de certificados
El aprovisionamiento de aplicaciones locales se basa en dos certificados distintos. Comprender ambos certificados le ayuda a planear implementaciones de producción, supervisar el estado del agente y evitar interrupciones del servicio.
Certificado de host del conector ECMA
El host del conector ECMA de Microsoft Entra expone un punto de conexión HTTPS en el puerto 8585 (https://localhost:8585/ecma2host_<connectorName>/scim) al que llama el agente de aprovisionamiento. El certificado TLS que usa el host del conector ECMA protege ese punto de conexión. Cuando ejecute por primera vez el Asistente para configuración Microsoft ECMA2Host, le pedirá que cree un certificado seleccionando Generar certificado. El certificado generado automáticamente está autofirmado y el nombre alternativo del firmante (SAN) del certificado coincide con el nombre de host.
Hechos clave sobre el certificado del host del conector ECMA:
- El certificado autofirmado solo es para pruebas. Expira en dos años de forma predeterminada y no se puede revocar. Microsoft recomienda usar un certificado emitido por una entidad de certificación (CA) de confianza para su uso en producción.
- El sujeto del certificado debe coincidir con el nombre de host del servidor de Windows donde se ha instalado el Conector Host ECMA. Para obtener más información, consulte Certificados SSL.
- Reemplace los certificados expirados manualmente. Vaya a la pestaña Configuración del host ECMA para ver la fecha de expiración del certificado. Si el certificado ha expirado, seleccione Generar certificado para crear uno nuevo. Para obtener instrucciones paso a paso, consulte Solución de problemas de conexión de prueba.
Certificado de registro del agente de aprovisionamiento
El agente de aprovisionamiento usa un certificado independiente para registrarse con el servicio de identidad híbrida (HIS) Microsoft durante la instalación. El agente crea este certificado durante la instalación y usa el token de Microsoft Entra para registrar tanto el agente como el certificado con el servicio de registro his. Para obtener más información sobre cómo el agente se registra con HIS, consulte Instalación del agente.
Importante
La sincronización en la nube documenta un escenario de limpieza relacionado: cuando se ha desinstalado o detenido un agente de sincronización en la nube y su certificado expira, el agente se quita permanentemente y ya no puede interactuar con servicios Microsoft. Para obtener más información, consulte Eliminación del agente desde el portal después de la desinstalación. Para el aprovisionamiento de aplicaciones locales, póngase en contacto con Microsoft soporte técnico si necesita instrucciones sobre la duración del certificado de registro o los procedimientos de recuperación.
Para minimizar el riesgo de interrupción del servicio:
- Supervise el estado del agente periódicamente a través de la Centro de administración Microsoft Entra.
- Planee la sustitución del certificado de host del conector ECMA antes de la expiración de dos años del certificado autofirmado.
- En el caso de las implementaciones de producción, reemplace el certificado de host del conector ECMA autofirmado por uno emitido por una entidad de certificación de confianza.
Alta disponibilidad
La siguiente información se proporciona para escenarios de alta disponibilidad o conmutación por error.
Para las aplicaciones locales que usan el conector ECMA: la recomendación es tener un agente activo y un agente pasivo (configurado, pero detenido, no asignado a la aplicación empresarial en Microsoft Entra) por centro de datos.
Al realizar una conmutación por error, se recomienda hacer lo siguiente:
- Detener el agente activo (A).
- Quitar la asignación del agente A de la aplicación empresarial.
- Reiniciar el agente pasivo (B).
- Asignar el agente B a la aplicación empresarial.
Para las aplicaciones locales que usan el conector SCIM: la recomendación es tener dos agentes activos por aplicación.
Preguntas sobre el agente de aprovisionamiento
Aquí se responden algunas preguntas comunes.
¿Cómo puedo saber la versión del agente de aprovisionamiento?
- Inicia sesión en el servidor de Windows en el que está instalado el agente de aprovisionamiento.
- Vaya a Panel> de controlDesinstalar o cambiar un programa.
- Busque la versión correspondiente a la entrada del Agente de aprovisionamiento de Microsoft Entra Connect.
¿Puedo instalar el agente de aprovisionamiento en el mismo servidor que ejecuta Microsoft Entra Connect o Microsoft Identity Manager?
Sí. Puedes instalar el agente de aprovisionamiento en el mismo servidor que ejecuta Microsoft Entra Connect o Microsoft Identity Manager, pero no son necesarios.
¿Cómo se puede configurar el agente de aprovisionamiento para usar un servidor proxy para la comunicación HTTP saliente?
El agente de aprovisionamiento admite el uso de un proxy saliente. Puede configurarlo editando el archivo de configuración del agente C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Agregue las líneas siguientes al final del archivo justo antes de la etiqueta de cierre </configuration> . Reemplaza las variables [proxy-server] y [proxy-port] con los valores del puerto y el nombre del servidor proxy.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
¿Cómo se garantiza que el agente de aprovisionamiento se pueda comunicar con el inquilino de Microsoft Entra y que ningún firewall bloquee los puertos que necesita el agente?
También puedes comprobar si todos los puertos necesarios están abiertos.
¿Cómo puedo desinstalar el agente de aprovisionamiento?
- Inicia sesión en el servidor de Windows en el que está instalado el agente de aprovisionamiento.
- Vaya a Panel> de controlDesinstalar o cambiar un programa.
- Desinstala los programas siguientes:
- Agente de aprovisionamiento de Microsoft Entra Connect
- Actualizador del agente de Microsoft Entra Connect
- Paquete del agente de aprovisionamiento de Microsoft Entra Connect
Actualizaciones del agente
Microsoft publica periódicamente nuevas versiones del agente de aprovisionamiento con características, correcciones y actualizaciones. Para ver el historial de versiones actual y las notas de la versión, consulte Microsoft Entra Connect Provisioning Agent: Historial de versiones.
Importante
El agente de aprovisionamiento no admite actualmente actualizaciones automáticas para el escenario de aprovisionamiento de aplicaciones locales. Debe actualizar el agente manualmente cuando se publique una nueva versión. Para obtener más información, consulte Provisioning Agent en el artículo de problemas conocidos.
Para mantener tu agente actualizado:
- Compruebe las nuevas versiones periódicamente a través del centro de administración de Microsoft Entra o del historial de versiones del agente de aprovisionamiento de .
- Planee las actualizaciones del agente durante las ventanas de mantenimiento programadas para minimizar el impacto en el aprovisionamiento.
- Microsoft proporciona soporte técnico directo para la versión más reciente del agente y una versión anterior. Permanezca dentro de estas versiones compatibles para que pueda obtener ayuda cuando lo necesite.