Cómo integrar Azure Entra en el aprovisionamiento de usuarios

Prev Next

Si su organización utiliza Azure Entra para gestionar el acceso de los empleados a herramientas y servicios, puede aprovechar la función «Provisioning» de Azure para proporcionar automáticamente a sus usuarios acceso a DocuWare mediante SCIM. Esta guía le acompaña en los pasos para configurar tanto DocuWare como Azure Entra y poner en marcha el provisioning en su organización.

La versión actual de UserSync (v3) admite las siguientes funciones de provisioning:

  • Creación automática de usuarios: los usuarios asignados a la aplicación Enterprise en Azure se crean automáticamente como usuarios en DocuWare.

  • Sincronización de atributos: cualquier modificación de los atributos de un usuario (userName, correo electrónico, estado activo) en Azure se refleja en DocuWare.

  • Desactivación de usuarios: cuando los usuarios se desactivan en Azure, se marcan como «desactivados» en DocuWare y ya no pueden iniciar sesión.

Crear una nueva aplicación en Microsoft Azure Entra

  1. Inicie sesión en el portal de Azure a través del siguiente enlace: Home - Microsoft Azure

  2. Vaya a la página Enterprise Applications.

  3. Haga clic en New Application:

  1. Haga clic en Create your own application:

  1. Elija un Name para su aplicación y seleccione la opción
    Integrate any other application you don't find in the gallery (Non-gallery)

  2. Haga clic en Create.

  3. Una vez creada la aplicación, vaya a Provisioning.

  4. En Provisioning Mode, seleccione Automatic.

  1. Abra la sección Admin Credentials.

  2. No cierre la configuración de Azure y cambie a Configuraciones de DocuWare.

Integrar la nueva aplicación de Azure en DocuWare

  1. En DocuWare, vaya a Configuraciones > General > User Provisioning.

  2. En el complemento User Provisioning, active la opción Enable User Provisioning.  

  3. En el desplegable Identity Provider, seleccione Azure Entra.

  4. En el desplegable Application Registration, seleccione un registro de aplicación creado anteriormente o haga clic en el botón «Create Application Registration».

  5. Escriba el Application Name:

  6. Del registro de aplicación recién creado, copie los valores de:

    1. Application (Client) ID

    2. Client Secret

  7. Haga clic en el botón Done.

  8. Tras guardar, se ofrecen dos métodos de autenticación:
    OAuth2 Client Credentials Grant y Bearer Authentication.

  9. Los pasos siguientes dependen del método de autenticación que elija:

    1. OAuth2 Client Credentials Grant

      • Copie los enlaces Tenant URL y Token Endpoint.

      • Vuelva a Entra > su aplicación > Manage > Provisioning > Admin Credentials.

      • Compruebe que en el desplegable Authentication Method está seleccionado OAuth2 Client Credentials Grant.

      • Pegue todos los datos copiados en el paso 5 en los campos correspondientes.

      • Cuando todos los datos requeridos estén cumplimentados, haga clic en el botón Test Connection.

      • A continuación, haga clic en Save para guardar los cambios.

      • Si tras guardar aparece un mensaje de error en la esquina superior derecha, vuelva a hacer clic en el botón Save.

    2. Bearer Authentication

      • Copie el enlace de la Tenant URL y el Bearer token generado.

      • Vuelva a Entra > su aplicación > Manage > Provisioning > Admin Credentials.

      • Compruebe que en el desplegable Authentication Method está seleccionado Bearer Authentication.

      • Pegue el enlace de la Tenant URL y el Bearer token copiados previamente.

      • Cuando todos los datos requeridos estén cumplimentados, haga clic en el botón Test Connection.

      • A continuación, haga clic en Save para guardar los cambios.

Asignar atributos de usuarios y grupos entre DocuWare y Microsoft Entra ID

La asignación de atributos de usuarios y grupos entre DocuWare y Microsoft Entra ID permite que ambos se correspondan y se sincronicen.

  1. Abra Microsoft Entra ID.

  2. Para asignar los usuarios, seleccione Provisioning > Attribute Mapping > Provision Microsoft Entra ID Users.

  3. Defina las asignaciones de atributos de usuario:

    1. Asignaciones obligatorias:

      • userName: Item(Split([userPrincipalName], "@"), 1)

      • active: Switch([IsSoftDeleted], , "False", "True", "True", "False")

      • emails[type eq "work"].value: Coalesce([mail],[userPrincipalName])

      • externalId: objectId

    2. Asignaciones opcionales:

      • name.givenName: givenName

      • name.familyName: surname

  4. Información adicional

    1. Para asignar el atributo userName, primero debe actualizar su configuración:

      • Abra el atributo userPrincipalName con Edit Attribute.

      • Cambie el tipo de asignación a Expression.

      • Actualice el campo de expresión a: Item(Split([userPrincipalName], "@"), 1)

      • Haga clic en OK para guardar.

    2. Para asignar el atributo de correo electrónico, primero debe actualizar su configuración:

      • Abra el atributo emails[type eq "work"].value con Edit Attribute.

      • Cambie el tipo de asignación a Expression.

      • Actualice el campo de expresión a: Coalesce([mail],[userPrincipalName])

      • Haga clic en OK para guardar.

    3. Para asignar correctamente el atributo externalId, también debe actualizar antes su configuración:

      • Abra para edición el atributo: externalId: mailNickname

      • Cambie el Source attribute a: objectId

      • Haga clic en OK para guardar.

  5. Elimine todas las asignaciones sobrantes y haga clic en Save. Si no las elimina, el provisioning de los usuarios actualizados puede generar errores.

  6. Para asignar los grupos, seleccione Provisioning > Attribute Mapping > Provision Microsoft Entra ID Groups.

  1. Defina las asignaciones de grupos:

    1. Elimine la asignación redundante externalId → objectId.

    2. Desactive la opción «Delete» dentro de Target Object Actions.

    3. Guarde los cambios.

Provisioning de usuarios y grupos

En su aplicación de Entra, vaya a la página Overview y haga clic en el botón Start Provisioning:

Provisioning de usuarios

  1. Haga clic en Manage > Users and Groups > Add user/group > seleccione los usuarios que desea aprovisionar > Assign.

  2. Una vez añadidos los usuarios deseados para el provisioning, se aprovisionarán automáticamente al cabo de un tiempo o puede optar por aprovisionarlos a petición.

  1. Vaya a Configuraciones de DocuWare > General > Administración de usuarios.

  2. Compruebe que los usuarios previstos se han aprovisionado correctamente.

Provisioning de grupos:

  1. Haga clic en Manage > Users and Groups > Add user/group > seleccione un grupo para el provisioning > Assign.
    Nota: si desea asignar a petición los miembros del grupo, también debe añadirlos a la lista.

  2. Una vez añadidos los grupos y usuarios deseados para el provisioning, se aprovisionarán automáticamente al cabo de un tiempo o puede optar por aprovisionarlos a petición.

  1. Vaya a Configuraciones de DocuWare > General > Administración de usuarios.

  2. Compruebe que los grupos y usuarios previstos se han aprovisionado correctamente.

Información adicional sobre el proceso de provisioning de grupos

  1. Búsqueda de grupos: el sistema busca primero un grupo existente mediante el displayName indicado. Si en DocuWare ya existe un grupo con ese displayName, se actualiza; de lo contrario, se crea uno nuevo.

  2. Gestión de la creación y la actualización de grupos:
    a) Creación de grupos nuevos: cuando ningún grupo de DocuWare coincide con el displayName, el servicio crea un grupo nuevo con los miembros indicados.
    b) Actualización de grupos existentes: si se encuentra un grupo coincidente, el servicio actualiza sus datos y le añade los nuevos miembros. Los miembros existentes no se reemplazan, sino que se mantienen junto con los nuevos.

    Una vez asignados los grupos tras su primera sincronización, las asignaciones posteriores se realizan mediante el atributo ID. Por ejemplo, si decide cambiar el nombre de un grupo en Entra ID y luego aprovisionar el grupo actualizado, este se identificará por su ID. El servicio actualizará entonces el nombre del grupo en DocuWare sin eliminar a sus miembros.

  3. Gestión de miembros:
    a) Adición de miembros: al actualizar los grupos, se añaden los nuevos miembros y se mantienen los actuales.
    b) Prevención de duplicados: el sistema está diseñado para evitar añadir miembros duplicados a los grupos, garantizando que cada miembro sea único dentro del grupo.

  4. Sistema principal: Microsoft Entra ID es el sistema principal para todos los usuarios y grupos aprovisionados. Realice todos los cambios, como agregar o eliminar usuarios de grupos, en Entra ID. Evite realizar cambios manuales directamente en DocuWare. Estos cambios no se sincronizan con Entra ID y pueden causar inconsistencias. Por ejemplo, si elimina manualmente un usuario de un grupo sincronizado en DocuWare, el servicio de aprovisionamiento no puede reasignar ese usuario al grupo. Para restaurar la pertenencia correcta al grupo, realice el cambio en Entra ID.

Versiones compatibles: DocuWare Cloud