Configuración de SCIM con Azure AD — Guía de aprovisionamiento SCIM en Azure
Configure el aprovisionamiento automático de usuarios desde Microsoft Entra ID (Azure AD) a SecureCodingHub utilizando SCIM 2.0. Este recorrido de SCIM en Azure cubre la generación del token, la aplicación de aprovisionamiento, el mapeo de atributos y el flujo SCIM en Azure de extremo a extremo que necesita antes de pasar a producción.
Requisitos previos
- Tenant de Azure AD con acceso de administrador
- Cuenta de administrador de organización en SecureCodingHub
- SSO configurado (recomendado pero no obligatorio)
Paso 1 — Genere un token SCIM
Inicie sesión en SecureCodingHub como administrador de organización
Vaya a Configuración → SCIM
Haga clic en Generar token
Copie el token — solo se muestra una vez
Paso 2 — Configure el aprovisionamiento en Azure AD
Vaya a Azure Portal → Microsoft Entra ID → Enterprise Applications
Seleccione su aplicación de SecureCodingHub (o cree una)
Vaya a Provisioning → Get started
Provisioning Mode: Automatic
Tenant URL: https://api.limeplate.com/api/sch/scim/v2
Secret Token: pegue su token SCIM
Haga clic en Test Connection — debería tener éxito
Guardar
Paso 3 — Configure el mapeo de atributos
Asegúrese de que los siguientes atributos están mapeados correctamente en la configuración de aprovisionamiento de Azure AD. Tenga en cuenta que SecureCodingHub almacena un único campo Email por usuario — tanto el mapeo userPrincipalName → userName como el mapeo mail → emails[work].value acaban resolviéndose contra ese mismo campo. Si userPrincipalName y mail difieren en su tenant, configure ambos para que apunten al valor con el que el usuario inicie sesión.
| Atributo de Azure AD | Atributo SCIM de SecureCodingHub |
|---|---|
userPrincipalName | userName |
mail | emails[type eq "work"].value |
givenName | name.givenName |
surname | name.familyName |
Switch([IsSoftDeleted]...) | active |
Paso 4 — Inicie el aprovisionamiento
Establezca el estado de aprovisionamiento en On
Guardar
Azure AD ejecuta el ciclo inicial (puede tardar 20–40 minutos)
Los ciclos siguientes se ejecutan cada ~40 minutos
Paso 5 — Verifique
Compruebe la página Usuarios de SecureCodingHub
Revise los registros de aprovisionamiento en el Azure Portal
Lista de verificación previa al despliegue de SCIM con Azure AD
Dos decisiones tempranas determinan el resto de su despliegue SCIM con Azure AD. La primera es si utilizar una aplicación de galería o una aplicación empresarial fuera de galería. SecureCodingHub no figura actualmente en la galería de aplicaciones de Microsoft Entra, por lo que creará una aplicación empresarial fuera de galería desde la pantalla New application. Es un camino normal y soportado. Las aplicaciones de galería son convenientes cuando existen, pero no son necesarias para que el aprovisionamiento SCIM funcione, y la configuración manual le da control sobre los nombres de claim y el alcance de asignación.
La segunda decisión es la relación entre aprovisionamiento y asignación. El aprovisionamiento en Entra ID no equivale automáticamente al acceso. Configura el aprovisionamiento en la hoja Provisioning, pero los usuarios solo se sincronizan cuando se asignan a la aplicación en Users and groups. Si omite el paso de asignación, el ciclo de aprovisionamiento se ejecuta y reporta cero cambios, lo que suele desembocar en una hora desperdiciada de investigación. Confirme que el ajuste Scope en la hoja Provisioning concuerda con su estrategia de asignación: Sync only assigned users and groups es el valor por defecto más seguro a menos que realmente quiera que todos los usuarios licenciados del tenant aterricen en SecureCodingHub.
Cuando la sincronización se detiene
Azure AD pondrá en cuarentena un trabajo de aprovisionamiento si detecta errores repetidos desde el endpoint SCIM. El cartel de cuarentena aparece en la parte superior de la hoja Provisioning y es la causa más común de una sincronización detenida. Las causas se agrupan en algunas categorías. El fallo de autenticación es la primera cuarentena típica: un token SCIM regenerado o revocado en SecureCodingHub que sigue pegado en Azure AD. Genere un token nuevo en SecureCodingHub, péguelo en el campo Secret Token, haga clic en Test Connection hasta que tenga éxito y, después, haga clic en Restart provisioning para limpiar la cuarentena.
Las discrepancias de esquema son la segunda categoría. Si personaliza la tabla de mapeo de atributos y referencia un atributo SCIM que el endpoint no expone, Azure AD registra un error de esquema y deja de procesar. Vuelva al mapeo por defecto confirmado en la página de Descripción general de SCIM y añada mapeos personalizados solo después de que la línea base funcione. La tercera categoría es la limitación de tasa: los tenants muy grandes pueden alcanzar límites por minuto durante el ciclo inicial, lo que Azure AD interpreta como errores de servicio. Si sospecha esto, limite el alcance de la sincronización inicial a un grupo asignado más pequeño, deje que se complete y, después, amplíe la asignación.