Aprovisionamiento de usuarios de Azure Active Directory en CloudLink

CloudLink admite el aprovisionamiento automático de usuarios desde Azure Active Directory (Azure AD) en la base de datos de CloudLink. Para ello, los datos del usuario en este directorio se sincronizan con la base de datos de CloudLink utilizando el Sistema para la gestión de identidades entre dominios (SCIM). Esto permite que un Socio de Mitel o un administrador de cuenta administre los usuarios y los servicios de aplicaciones en Azure AD y los aprovisione en la base de datos de CloudLink, lo que minimiza la entrada de datos y las tareas de administración.

Prerrequisitos

Para configurar el aprovisionamiento de usuarios de Azure AD en CloudLink, debe tener:

Una suscripción a Azure AD
Si no tiene un entorno de Azure AD, puede obtener una cuenta gratuita.
Una cuenta de Mitel CloudLink.

En este documento, se asume:

El entorno de Azure AD y la configuración de cuentas de Azure están disponibles.
El administrador tiene un buen conocimiento de las tecnologías en la nube, especialmente, Microsoft Azure.
La integración de Azure con CloudLink está aprobada por el departamento de TI o equivalente del cliente.
La conectividad entre Azure y las instalaciones del cliente está activa y admite aplicaciones en tiempo real, por ejemplo, la conectividad debe tener baja latencia.
Los protocolos HTTPS y SIP/TLS (muy recomendados) se usan en la configuración de Azure.
Los servidores NTP y DNS están configurados y accesibles desde Azure, por lo que la Consola de CloudLink Accounts puede acceder a estos servidores durante el aprovisionamiento.

Agregar la integración de Azure AD Sync a una cuenta de cliente

El aprovisionamiento de usuarios de Azure AD en una cuenta de cliente en la Consola de CloudLink Accounts requiere que se agregue la integración de Azure AD Sync a esa cuenta de cliente desde la Consola de CloudLink Accounts. Un Socio de Mitel o un administrador de cuentas pueden agregar la integración de Azure AD Sync a una cuenta de cliente mediante el siguiente procedimiento:

Navegue a la página de Información de Cuenta de la cuenta del cliente.
En la sección Integraciones, haga clic en + Agregar nuevo.

Una pantalla emergente muestra el panel Integraciones.

Note: Un Socio Mitel no puede habilitar integraciones en la cuenta de socio porque la integración con otras aplicaciones no es compatible con las cuentas de socio. Para integrar CloudLink con otras aplicaciones, un socio debe crear una cuenta de cliente y habilitar integraciones en esa cuenta. Mitel recomienda que desactive las integraciones existentes en la Cuenta de socio para aprovechar la funcionalidad completa de las funciones de CloudLink. Para obtener más información sobre las Cuentas de Socio, consulte Iniciar sesión como Socio de Mitel.
Haga clic en la pestaña de terceros. Se muestra una lista de aplicaciones de terceros compatibles con CloudLink. Haga clic en el botón Agregar asociado con Azure AD Sync y haga clic en Listo.

La integración de Azure AD Sync se agrega a la cuenta del cliente y se muestra en la sección Integraciones de la página Información de Cuenta.

Aprovisionamiento de usuarios de Azure AD en CloudLink mediante SCIM

El aprovisionamiento de usuarios desde Azure AD a la base de datos de CloudLink mediante SCIM implica las siguientes tareas:

Creación de una aplicación SCIM en Azure AD — crear una aplicación SCIM para habilitar el aprovisionamiento de usuarios.
Agregar usuarios a la aplicación SCIM — agregar usuarios a la aplicación SCIM.
Configurar la aplicación SCIM — configurar los ajustes de SCIM en el lado de la aplicación.
Probando la conexión — verificar que la configuración funcione.
Administrar las asignaciones de atributos — revisar y personalizar las asignaciones de atributos que se sincronizarán con la base de datos de CloudLink durante el aprovisionamiento.
Iniciar aprovisionamiento — comenzar a aprovisionar usuarios a la base de datos de CloudLink.

Creación de una aplicación SCIM en Azure AD

Para crear una aplicación SCIM:

En el portal de Azure, en el panel de navegación izquierdo, haga clic en Azure Active Directory. Se abre el panel de Azure Active Directory.
En el panel de Azure Active Directory, seleccione Aplicaciones empresariales. Se abre la página Todas las aplicaciones, que muestra una lista de aplicaciones en su inquilino de Azure AD.
Haga clic en Nueva aplicación. Se abre la página Agregar una aplicación.
Haga clic en Aplicación sin galería. Se abre la página Agregar su propia aplicación.
Escriba el nombre de su aplicación (por ejemplo, Mitel CloudLink) y haga clic en Agregar.

La aplicación se agregará a Azure AD y se mostrará en la página Todas las aplicaciones.

Agregar usuarios a la aplicación SCIM

En esta sección, se describe cómo agregar usuarios en Azure Active Directory a la aplicación SCIM para aprovisionarlos en CloudLink.

Acceda a la página Usuarios y grupos en Azure Portal, haciendo lo siguiente:
1. Navegue a Azure Active Directory > Aplicaciones empresariales y seleccione su aplicación de la lista. Se abre la página Descripción general de la aplicación.
2. En la sección Administrar, seleccione Usuarios y grupos.
En la página Usuarios y grupos que se abre, haga clic en + Agregar usuario. Se abre la página Agregar asignación.
Haga clic en la opción Usuarios y grupos. Se abre el panel Usuarios y grupos. En la lista del panel Usuarios y grupos, haga clic en los usuarios que desea agregar a la aplicación SCIM y haga clic en Seleccionar para seleccionar estos usuarios. Los usuarios seleccionados se enumeran en Elementos seleccionados.
Haga clic en Asignar para agregar estos usuarios a la aplicación SCIM.

Estos usuarios se mostrarán en la página Usuarios y grupos.

Configurar la aplicación SCIM

En esta sección se describe cómo configurar la aplicación SCIM en Azure AD con los parámetros proporcionados por la Consola de CloudLink Accounts para establecer la conexión entre la aplicación de SCIM y la Consola de CloudLink Accounts.

Para configurar la aplicación SCIM, se recomienda que abra el portal de Azure y la Consola de CloudLink Accounts en paralelo, ya que deberá copiar algunos valores de la Consola de CloudLink Accounts al portal de Azure.

Para acceder a la página de aprovisionamiento en Azure Portal, haga lo siguiente:
1. Navegue a Azure Active Directory > Aplicaciones empresariales y seleccione su aplicación de la lista. Se abre la página Descripción general de la aplicación.
2. En la sección Administrar, seleccione Usuarios y grupos.
En la página de Aprovisionamiento que se abre, seleccione Modo de aprovisionamiento como Automático en el menú desplegable.

Se muestra la sección Credenciales de administrador.
Proporcione la URL del inquilino y el token secreto. Puede generar la URL y el token desde la Consola de CloudLink Accounts siguiendo estos pasos:
1. En la sección Integraciones, haga clic en el botón Configuración completa asociado con Azure AD Sync. Se abre el cuadro de diálogo de configuración de Azure AD Sync.
2. Haga clic en Generar claves. Se generan la URL del inquilino y el token secreto. Haga clic en Copiar y pegar estos valores en los campos respectivos en el portal de Azure AD.
  
  Note: Cada vez que se hace clic en Generar claves, cualquier URL y token de una sincronización anterior dejan de ser válidos y la aplicación SCIM debe configurarse con otras nuevas.

Probando la conexión

Esta sección describe cómo verificar si la configuración funciona y cómo verificar si la conexión entre la aplicación SCIM y CloudLink es exitosa.

En la página Aprovisionamiento, dentro de la sección Credenciales de administrador, haga clic en Probar conexión. La aplicación SCIM intenta conectarse a CloudLink.
Si la conexión es exitosa, se muestra el siguiente mensaje.

Si la conexión falla, se muestra el siguiente mensaje de error. Rectifique el error y vuelva a probar la conexión.
Si la conexión es exitosa, haga clic en Guardar para guardar las credenciales de administrador para el aprovisionamiento de usuarios. Hacer clic en Descartar cancelará los cambios.

Administrar las asignaciones de atributos

En esta sección se describe cómo personalizar las asignaciones de atributos predeterminadas en la aplicación SCIM que definen qué propiedades de usuario se aprovisionan desde Azure AD a la base de datos de CloudLink. Puede cambiar o eliminar las asignaciones de atributos actuales o crear nuevas asignaciones de atributos. Para hacer esto:

En la página Aprovisionamiento, haga clic en Editar asignaciones de atributos en la sección Administrar aprovisionamiento.
En la página que se abre, expanda la pestaña Asignaciones y haga lo siguiente:
- Deshabilitar la asignación de grupos: Debe deshabilitar el aprovisionamiento de objetos de grupo entre Azure AD y la base de datos de CloudLink. Esto es necesario porque la base de datos de CloudLink no admite el aprovisionamiento de objetos de grupo. Para hacer esto:
  1. Haga clic en Aprovisionar grupos de Azure Active Directory.
  2. En la página Asignación de atributos que se abre, desactive la opción Activado haciendo clic en No. Haga clic en Guardar para guardar los cambios.
    Note: De forma predeterminada, la opción Activado se establecerá en Sí.
- Personalizar atributos: Debe personalizar los atributos que se aprovisionarán entre Azure AD y la base de datos de CloudLink. Para hacer esto:
  1. Haga clic en Aprovisionar usuarios de Azure Active Directory.
    
    Se abre la página Asignación de atributos, que muestra la lista de atributos predeterminados en Azure AD.
  2. Puede optar por conservar las asignaciones de atributos predeterminadas que se aprovisionarán en la base de datos de CloudLink. También puede agregar nuevas asignaciones de atributos haciendo clic en Agregar nueva asignación. Para eliminar una asignación de atributo predeterminada, haga clic en la opción Eliminar asociada con el atributo.
    Debe asegurarse de que se cumplan las siguientes condiciones cuando revise los atributos que se aprovisionarán entre Azure AD y la base de datos de CloudLink.
    - Los siguientes atributos enumerados en el atributo customappsso son obligatorios y no se deben eliminar.
      - userName
      - uno entre displayName, name.givenName o name.familyName
      - emails[type eq "work"].value
    - CloudLink requiere que los usuarios válidos tengan una dirección de correo electrónico. Para facilitar este requisito durante el aprovisionamiento, debe asegurarse de que el valor del tipo de atributo emails[type eq "work"].value en customappsso Attribute esté asignado al tipo de atributo en Azure Active Directory Attribute que contiene la dirección de correo electrónico del usuario en el directorio de Azure.
    - Además de los atributos obligatorios mencionados anteriormente, CloudLink admite los siguientes atributos enumerados en Atributo customappsso. Debe seleccionar solo los siguientes atributos.
      - activo
      - externalId
      - emails[type eq "other"].value
      - phoneNumbers[type eq "mobile"].value
      - phoneNumbers[type eq "work"].value
      - phoneNumbers[type eq "other"].value
      - roles[primary eq "True"].type
      - todos los atributos relacionados con las direcciones
      Note: En Azure AD, si borra o deja en blanco cualquiera de los campos de detalles de usuario asignados a un atributo, el campo no se aprovisionará porque el servicio de aprovisionamiento de Azure AD no admite el aprovisionamiento de valores nulos. Para obtener más información sobre las propiedades de asignación de atributos, consulte la documentación de Azure.
  3. Después de personalizar las asignaciones de atributos necesarias, haga clic en Guardar para guardar los cambios. Hacer clic en Descartar cancelará los cambios.

Iniciar aprovisionamiento

Después de definir los atributos, debe iniciar el aprovisionamiento. Para hacer esto:

Acceda a la página de aprovisionamiento en el portal de Azure, haciendo lo siguiente:
1. Navegue a Azure Active Directory > Aplicaciones empresariales y seleccione su aplicación de la lista. Se abre la página Descripción general de la aplicación.
2. En la sección Administrar, seleccione Aprovisionamiento.
En la página de aprovisionamiento que se abre, haga clic en Iniciar aprovisionamiento.

El servicio de aprovisionamiento de Azure AD ejecuta un ciclo de aprovisionamiento inicial. Una vez que se completa el ciclo, el estado del ciclo se mostrará en la página de Aprovisionamiento como se muestra en la siguiente captura de pantalla.

El estado del ciclo actual muestra el estado de finalización. Esta sección también muestra la cantidad de usuarios aprovisionados.

El ciclo de aprovisionamiento inicial va seguido de ciclos incrementales periódicos. Los ciclos incrementales ocurren cada 40 minutos. Para obtener más información sobre los ciclos de aprovisionamiento, consulte la documentación de Azure.

Note: Si se producen errores durante un ciclo de aprovisionamiento, la sincronización se reintenta en el siguiente ciclo. Si los errores continúan ocurriendo, los reintentos ocurrirán con una frecuencia reducida, es decir, la frecuencia del aprovisionamiento programado disminuirá. Para obtener más información, consulte la documentación de Azure.

Una vez que se completa el ciclo inicial, tiene las siguientes opciones para administrar el aprovisionamiento:

Detener el aprovisionamiento: Haga clic en esta opción para detener el proceso de aprovisionamiento.
Reiniciar el aprovisionamiento: Haga clic en esta opción para activar la ejecución de aprovisionamiento manualmente sin esperar la siguiente ejecución programada.
Editar aprovisionamiento: Haga clic en esta opción para editar la configuración actual o personalizar las asignaciones de atributos.
Disposición bajo demanda: Haga clic en esta opción para proporcionar los cambios a un solo usuario. Esto se hace manualmente. También puede utilizar esta opción para validar y verificar que los cambios realizados en la configuración se hayan aplicado correctamente y se estén sincronizando correctamente con la base de datos de CloudLink.

↑