Esta es una función premium que puede no estar disponible en tu plan actual. Comprueba la disponibilidad en la página de precios de Applivery.
SCIM (System for Cross-domain Identity Management) es un estándar abierto que automatiza el aprovisionamiento de usuarios y grupos en los servicios en la nube. En lugar de gestionar usuarios manualmente en Applivery, el SCIM permite a Microsoft Entra ID enviar información de usuarios y grupos automáticamente — creando, actualizando y desactivando usuarios y manteniendo las membresías de grupos sincronizadas sin ninguna intervención manual.
Cuando se combina con el SSO SAML, el SCIM gestiona el lado del aprovisionamiento de la gestión de identidades. SAML autentica a los usuarios cuando inician sesión, mientras que el SCIM mantiene continuamente el directorio de usuarios y la estructura de grupos en Applivery actualizada. Un aspecto clave: la gestión de grupos mediante SCIM es completamente independiente de SAML — los grupos enviados mediante SCIM existen en Applivery como objetos de primer nivel antes de que ningún usuario inicie sesión, y no requieren ninguna configuración adicional de grupos en el lado de SAML.
El SCIM funciona sobre una integración SSO SAML existente. Si aún no la has configurado, empieza primero con la guía de Single Sign-On con Azure AD.
Qué gestiona el SCIM en Applivery
El SCIM puede gestionar tres tipos de recursos en Applivery, cada uno con un comportamiento de aprovisionamiento diferente según el portal que configures.
Cuando el SCIM está configurado para el Store Enterprise, Applivery puede crear o eliminar cuentas de empleados automáticamente en respuesta a cambios en Entra ID. Cuando se crea un usuario en Entra ID, puedes elegir no hacer nada o crearlo automáticamente como empleado. Cuando se desactiva, puedes elegir no hacer nada o eliminarlo de Applivery.
Cuando el SCIM está configurado para el Dashboard, Applivery gestiona las cuentas de Colaboradores. Cuando se crea un usuario en Entra ID, puedes elegir no hacer nada o crearlo como Colaborador con un rol predeterminado (Admin, Developer/Editor o Viewer). Cuando se desactiva, puedes no hacer nada o eliminarlo como Colaborador.
El rol inicial asignado en la creación puede sobreescribirse mediante el mapeo de roles basado en grupos — consulta Mapeo de roles más abajo.
Cuando el SCIM está configurado para el MDM Portal, Applivery ofrece las opciones de desactivación más granulares. Cuando se crea un usuario en Entra ID, puedes no hacer nada o crearlo como empleado MDM. Cuando se desactiva, tienes cinco opciones: no hacer nada, desasignar al usuario de sus dispositivos, cambiar la política de sus dispositivos asignados, eliminar al usuario, o eliminar al usuario y todos sus dispositivos asociados.
Configuración del SCIM
En el panel de Applivery dirígete a los Ajustes del Workspace desde el menú desplegable superior y abre Proveedores de acceso en el menú de la izquierda. Encuentra la fila SAML y haz clic en Configurar para el portal que quieras proteger — Dashboard, Store Enterprise o MDM Portal. Desplázate hasta el final de la pantalla de configuración SAML y haz clic en Activar SCIM.
Applivery generará una URL base y un token Bearer. Copia ambos — los necesitarás al configurar Entra ID. Las opciones de comportamiento del aprovisionamiento (qué ocurre cuando se crea o desactiva un usuario) también están disponibles aquí, específicas para el portal seleccionado.
En el centro de administración de Microsoft Entra, sigue los pasos descritos aquí para crear tu nueva aplicación.
Dentro de la aplicación recién creada, abre la sección Aprovisionamiento y haz clic en Comenzar. Establece el Modo de aprovisionamiento en Automático y rellena las credenciales de administrador:
| Campo | Valor |
|---|---|
| URL del tenant | La URL base generada por Applivery. |
| Token secreto | El token Bearer generado por Applivery. |
Haz clic en Probar conexión para verificar que las credenciales son correctas y luego en Guardar. Si la prueba falla, comprueba que el endpoint SCIM está activado en Applivery y que el token no se ha regenerado desde que lo copiaste.
Después de guardar las credenciales, vuelve a los ajustes de aprovisionamiento y establece el Ámbito en Sincronizar solo usuarios y grupos asignados — esto garantiza que Entra ID solo envíe los usuarios y grupos que están explícitamente asignados a esta aplicación, en lugar de todo tu directorio. Luego activa el Estado del aprovisionamiento en Activado.
Si los usuarios y grupos que quieres aprovisionar aún no existen en Entra ID, créalos ahora.
Para crear un usuario, dirígete a Usuarios → Nuevo usuario → Crear nuevo usuario, completa los campos requeridos y haz clic en Revisar + crear. Para crear un grupo dirígete a Grupos → Nuevo grupo, dale un nombre y descripción y haz clic en Crear. Una vez creado el grupo, ábrelo, dirígete a Miembros → Agregar miembros, busca los usuarios que quieres incluir y confirma.
Si tus usuarios y grupos ya existen en Entra ID, puedes omitir este paso.
Entra ID solo aprovisiona los usuarios y grupos que están asignados explícitamente a la aplicación. Ve a Aplicaciones empresariales → tu aplicación SCIM → Usuarios y grupos y haz clic en Agregar usuario/grupo. Busca y selecciona los grupos (o usuarios individuales) que quieres aprovisionar en Applivery y haz clic en Asignar.
Una vez asignados, el siguiente ciclo de aprovisionamiento automático — que normalmente se ejecuta cada 40 minutos — sincronizará los usuarios y grupos seleccionados con Applivery.
En general, es preferible asignar grupos en lugar de usuarios individuales. Cuando se asigna un grupo, todos sus miembros se aprovisionan automáticamente, y cualquier cambio futuro en las membresías de Entra ID se reflejará en Applivery en el siguiente ciclo de sincronización.
Aprovisionamiento a petición
En lugar de esperar al ciclo de sincronización programado, puedes enviar cambios a Applivery inmediatamente usando el Aprovisionamiento a petición. Esto es especialmente útil al incorporar nuevos usuarios o probar tu configuración de aprovisionamiento sin esperar hasta 40 minutos para la siguiente ventana automática.
Ve a Aplicaciones empresariales → tu aplicación SCIM → Aprovisionamiento → Aprovisionamiento a petición. Busca el usuario o grupo que quieres sincronizar inmediatamente y selecciónalo, luego haz clic en Aprovisionar.
Al aprovisionar un grupo a petición, Entra ID requiere que también selecciones explícitamente los miembros individuales del grupo — aparecen listados bajo Ver solo miembros en la interfaz de selección. Seleccionar solo el grupo no es suficiente para el flujo a petición; el ciclo de aprovisionamiento programado sí lo gestiona automáticamente.
Mapeo de roles
Cuando el SCIM está configurado para el Dashboard, puedes mapear grupos de Entra ID a roles de Colaborador de Applivery. Si se está aprovisionando un usuario por primera vez — es decir, aún no existe en Applivery — su rol se determina por los grupos a los que pertenece en Entra ID:
| Nombre del grupo en Entra ID | Rol en Applivery |
|---|---|
applivery-admin |
Admin |
applivery-editor |
Developer / Editor |
applivery-viewer |
Viewer |
applivery-unassigned |
Sin asignar |
Si un usuario pertenece a más de uno de estos grupos, el rol de mayor privilegio tiene prioridad. Si el usuario no pertenece a ninguno de estos grupos, se crea sin rol y un administrador tendrá que asignárselo manualmente.
El mapeo de roles mediante SAML y SCIM solo aplica a App Distribution. Los permisos de Device Management se rigen exclusivamente por los permisos de segmentos.