Esta es una función premium que puede no estar disponible en tu plan actual. Comprueba la disponibilidad en la página de precios de Applivery.
SCIM (System for Cross-domain Identity Management) es un estándar abierto que automatiza el aprovisionamiento de usuarios y grupos en los servicios en la nube. En lugar de gestionar usuarios manualmente en Applivery, el SCIM permite a tu proveedor de identidad enviar información de usuarios y grupos automáticamente — creando, actualizando y desactivando usuarios y manteniendo las membresías de grupos sincronizadas sin ninguna intervención manual.
Cuando se combina con el SSO SAML, el SCIM gestiona el lado del aprovisionamiento de la gestión de identidades. SAML autentica a los usuarios cuando inician sesión, mientras que el SCIM mantiene continuamente el directorio de usuarios y la estructura de grupos en Applivery actualizada. Un aspecto clave: la gestión de grupos mediante SCIM es completamente independiente de SAML — los grupos enviados mediante SCIM existen en Applivery como objetos de primer nivel antes de que ningún usuario inicie sesión, y no requieren ninguna configuración adicional de grupos en el lado de SAML.
El SCIM funciona sobre una integración SSO SAML existente. Si aún no la has configurado, empieza primero con la guía de Single Sign-On con Okta.
Qué gestiona el SCIM en Applivery
El SCIM puede gestionar tres tipos de recursos en Applivery, cada uno con un comportamiento de aprovisionamiento diferente según el portal que configures.
Cuando el SCIM está configurado para el Store Enterprise, Applivery puede crear o eliminar cuentas de empleados automáticamente en respuesta a cambios en Okta. Cuando se crea un usuario en Okta, puedes elegir no hacer nada o crearlo automáticamente como empleado. Cuando se desactiva, puedes elegir no hacer nada o eliminarlo de Applivery.
Cuando el SCIM está configurado para el Dashboard, Applivery gestiona las cuentas de Colaboradores. Cuando se crea un usuario en Okta, puedes elegir no hacer nada o crearlo como Colaborador con un rol predeterminado (Admin, Developer/Editor o Viewer). Cuando se desactiva, puedes no hacer nada o eliminarlo como Colaborador.
El rol inicial asignado en la creación puede sobreescribirse mediante el mapeo de roles basado en grupos — consulta Mapeo de roles más abajo.
Cuando el SCIM está configurado para el MDM Portal, Applivery ofrece las opciones de desactivación más granulares. Cuando se crea un usuario en Okta puedes no hacer nada o crearlo como empleado MDM. Cuando se desactiva, tienes cinco opciones: no hacer nada, desasignar al usuario de sus dispositivos, cambiar la política de sus dispositivos asignados, eliminar al usuario, o eliminar al usuario y todos sus dispositivos asociados.
Configuración del SCIM
Hay dos formas de configurar el SCIM con Okta. El enfoque nativo — recomendado — añade el SCIM directamente a tu aplicación SAML de Applivery existente en Okta, manteniendo el SSO y el aprovisionamiento juntos en una sola aplicación. También está disponible un enfoque con aplicación separada usando una aplicación SCIM independiente del catálogo de Okta como opción alternativa.
En el panel de Applivery, dirígete a la Ajustes del Workspace desde el menú desplegable superior y abre ** Proveedores de acceso** en el menú de la izquierda. Encuentra la fila SAML y haz clic en Configurar para el portal que quieras proteger — Dashboard, Store Enterprise o MDM Portal. Desplázate hasta el final de la pantalla de configuración SAML y haz clic en Activar SCIM.
Applivery generará una URL base y un token Bearer. Copia ambos — los necesitarás en Okta. Las opciones de comportamiento del aprovisionamiento (qué ocurre cuando se crea o desactiva un usuario) también están disponibles aquí, específicas para el portal seleccionado.
En el Portal de Administración de Okta, abre la aplicación SAML de Applivery que ya tienes configurada. Ve a la pestaña General, encuentra la sección App Settings y haz clic en Edit. En Provisioning, selecciona SCIM y haz clic en Save. Aparecerá una nueva pestaña Provisioning en la aplicación.
La opción SCIM en App Settings puede no estar disponible en todos los planes de Okta. Si no aparece, contacta con el soporte de Okta para que la activen en tu organización, o usa el enfoque con aplicación separada descrito al final de esta guía.
Ve a la pestaña Provisioning y selecciona Integration en la barra lateral izquierda. Haz clic en Edit y completa los datos de conexión:
| Campo | Valor |
|---|---|
| SCIM connector base URL | La URL base generada por Applivery en el Paso 1 |
| Unique identifier field for users | email |
| Supported provisioning actions | Push New Users, Push Profile Updates, Push Groups |
| Authentication Mode | HTTP Header |
| Authorization (token Bearer) | El token Bearer generado por Applivery en el Paso 1 |
Haz clic en Test Connector Configuration para verificar. Si la prueba es correcta, haz clic en Save.
Aún en la pestaña Provisioning, selecciona To App en la barra lateral izquierda y haz clic en Edit. Activa Create Users, Update User Attributes y Deactivate Users, luego guarda.
Ve a la pestaña Push Groups en la parte superior de la sección Provisioning. Haz clic en Push Groups → Find groups by name, busca los grupos de Okta que quieres sincronizar con Applivery, selecciona cada uno y haz clic en Save. Añade más grupos haciendo clic en Save & Add Another.
Cuando se envía un grupo, Okta manda tanto el objeto del grupo como sus miembros a Applivery. Estos grupos están disponibles de inmediato en Applivery para filtros de Publicaciones, mapeo de roles y control de acceso — sin necesidad de configuración SAML adicional.
Okta no admite usar el mismo grupo tanto para Assignments como para Push Groups. Si tienes problemas de sincronización, usa grupos separados para asignar usuarios a la app y para enviar grupos a Applivery.
Mapeo de roles
Cuando el SCIM está configurado para el Dashboard, puedes mapear grupos de Okta a roles de Colaborador de Applivery. Si se está aprovisionando un usuario por primera vez — es decir, aún no existe en Applivery — su rol se determina por los grupos a los que pertenece en Okta:
| Grupo de Okta | Rol en Applivery |
|---|---|
applivery-admin |
Admin |
applivery-editor |
Developer / Editor |
applivery-viewer |
Viewer |
applivery-unassigned |
Sin asignar |
Si un usuario pertenece a más de uno de estos grupos, el rol de mayor privilegio tiene prioridad.
El mapeo de roles solo aplica a App Distribution. Los permisos de Device Management se rigen exclusivamente por los permisos de segmentos.
Mapeo de atributos
Además de la creación de usuarios y la sincronización de grupos, el SCIM también puede enviar atributos de usuario personalizados desde Okta al campo metadata del objeto de usuario correspondiente en Applivery. Esto es útil para almacenar el departamento, centro de coste, ID de empleado u cualquier otro campo personalizado de tu directorio. Consulta la guía completa en Mapeo de atributos SCIM.
Alternativa: aplicación SCIM separada en Okta
Si activar el SCIM directamente en tu aplicación SAML no está disponible en tu plan de Okta, puedes configurar el aprovisionamiento usando una aplicación SCIM independiente del catálogo de Okta. Este enfoque usa dos aplicaciones de Okta separadas — una para el SSO SAML y otra para el aprovisionamiento SCIM.
Configurar el aprovisionamiento con una aplicación SCIM separada
En el Portal de Administración de Okta, dirígete a Applications (dentro de Applications) y haz clic en Browse App Catalog.
Busca SCIM 2.0 Test App (OAuth Bearer Token), selecciona el primer resultado y haz clic en + Add integration. Dale una etiqueta (p. ej., Applivery SCIM) y completa los ajustes generales, luego haz clic en Done.
Dentro de la nueva app, dirígete a la pestaña Provisioning y haz clic en Configure API Integration. Introduce la URL base y el token Bearer de Applivery (Paso 1 de la guía principal). Haz clic en Test API Credentials — Okta enviará una solicitud GET a Applivery para verificar la conexión. Si pasa, haz clic en Save.
Aún en Provisioning, haz clic en Edit en Provisioning to App y activa Create Users, Update User Attributes y Deactivate Users.
Para sincronizar grupos, dirígete a la pestaña Assignments, selecciona Groups en la barra lateral, haz clic en Assign → Assign to Groups y selecciona los grupos de Okta que quieres aprovisionar en Applivery.