Sincronización de usuarios AD
Otra forma de crear usuarios en MyQ Roger es establecer una sincronización desde servicios externos. Actualmente Microsoft Entra ID (renombrado de MS Azure Active Directory) y se está desarrollando Google Active Directory, que debería estar disponible en un futuro próximo.
Permisos necesarios
Pages.Administration.UserSync
Microsoft Entra ID
Para poder configurar un Microsoft Entra ID en MyQ Roger, deberá disponer ya de un Microsoft Entra ID.
Instalación y configuración
Inicie sesión en Portal de Microsoft Azure y crear un nuevo Registro de aplicaciones en su Microsoft Entra ID Quickstart: Register an app in the Microsoft identity platform - Microsoft identity platform.
Se abrirá la página de resumen de la nueva aplicación. Copie el icono ID de la aplicación (cliente) y el Directorio (inquilino) ID ya que son necesarios para la conexión con MyQ Roger.
Ir a Certificados y secretos y crear un Secreto de nuevo cliente. Establezca la fecha de caducidad y copie el secreto Valor (haga una copia de seguridad del valor, ya que no se volverá a mostrar).
Registro de la aplicación DEBE TENER lo siguiente permisos: Usuario.Leer.Todo, Grupo.Leer.Todo (en caso de que desee utilizar sólo un determinado grupo). Para configurarlos, seleccione Permisos API y, a continuación, haga clic en Añadir un permiso. En la ventana de la derecha, en la pestaña APIs de Microsoft, seleccione Gráfico de Microsoft. En la ventana siguiente, seleccione Permisos de aplicación busque y seleccione la opción Usuario.Leer.todo y Grupo.Leer.todo (en caso de que desee sincronizar un grupo determinado) y haga clic en Añadir permisos.
Ir a MyQ Roger, Editar y rellena los ajustes del conector en MyQ Roger, Administración, Sincronización de usuarios, Microsoft Entra ID:
Identificación de la solicitud*.: Añada el ID de aplicación (cliente) que copió durante la configuración del ID de Microsoft Entra.
Directorio (Inquilino) ID*: Añadir el ID del directorio (inquilino) que copió durante la configuración de Microsoft Entra ID.
Secreto de aplicación: Añada el valor secreto de la aplicación que copió durante la configuración de Microsoft Entra ID.
Fecha de expiración del secreto de solicitud (opcional): Establezca una fecha de caducidad si desea recibir notificaciones sobre la caducidad del secreto. Todos los usuarios con el Pages.Administration.UserSync permisos son notificados.
Establecer Grupos opciones:
Ninguno: Si se selecciona esta opción, se sincronizan todos los usuarios de la organización.
Selección: Rellene el identificador de grupo si desea sincronizar usuarios de un grupo Entra ID específico. Puede añadir varios identificadores de grupo separados por coma (,). El GUID del grupo Entra ID puede localizarse en Microsoft Entra ID > Grupos > Etiquetado como ID de objeto en el grupo que desea sincronizar.
Fije el Usuarios opciones:
Grupos seleccionados: Sincroniza los usuarios de los grupos seleccionados y anidados.
Todos: Sincronizar todos los usuarios.
Campos fuente para alias: Añada el nombre del campo en la API Microsoft Entra ID Graph que se utilizará para crear un alias para el usuario. El campo por defecto es onPremisesSamAccountName. Puede combinar campos específicos en un alias. Rodee cada campo con el signo de porcentaje (%), por ejemplo %givenName%. Puede especificar más combinaciones utilizando el punto y coma (;) como delimitador, p. ej. %nombreotorgado%.%nombresur%;%nombresur%-%nombreotorgado%.
Enviar correos electrónicos con PIN: Marque la casilla si desea que los usuarios recién creados reciban un correo electrónico de bienvenida con PIN.
Gestionar los usuarios existentes: Actualiza y mantiene sincronizados a los usuarios existentes. Los usuarios se emparejan con su dirección de correo electrónico.
Permitir el uso de "Nombre para mostrar: El nombre y los apellidos son campos obligatorios en MyQ Roger. Las cuentas de Microsoft Entra ID pueden tener configurado "Displayname" en lugar de nombre y apellidos.
Crear también alias sin caracteres no válidos: Los caracteres no válidos son: " [ ] : ; | = + * ? < > / , . y espacio. Por ejemplo, el alias de John Doe se creará como JohnDoe.
Gestionar la eliminación de usuarios: Si está activada, MyQ Roger compara los usuarios antes y después de la sincronización. Elimina las cuentas que no pueden recuperarse del sistema remoto. Microsoft Entra ID proporciona información sobre las cuentas que deben eliminarse durante un tiempo limitado. Sólo debe activar esta opción si no ha ejecutado una sincronización durante un largo periodo de tiempo o si ha cambiado la configuración.
Haga clic en Conectar. Se comprueba la conexión y, si todo se ha configurado correctamente, ahora debería ver más opciones (Sincronizar ahora, Eliminar, Editar y Sincronizar automáticamente).
Para realizar la sincronización, pulse el botón Sincronizar ahora o activar la sincronización automática para sincronizar a los usuarios cada 24 horas de la activación.
Reglas de sincronización
Si la dirección de correo electrónico de un usuario AD no existe en el inquilino MyQ Roger, se crea un nuevo usuario con la clave "AD sincronizado" etiqueta.
Si un usuario AD se elimina del AD y se realiza una sincronización, el usuario es también eliminado de MyQ Roger.
Si la dirección de correo electrónico de un usuario AD ya existe en el inquilino MyQ Roger, la creación del usuario es omitido.
Si se borraron antes, el usuario se registra de nuevo.
Si falla la creación de un usuario, la sincronización continúa con otros usuarios. Para más información, consulte el capítulo de notificaciones.
Inicio de sesión - Si un usuario se sincronizó mediante Microsoft Entra ID, se le pedirá que inicie sesión en MyQ Roger mediante el botón 'Iniciar sesión con Microsoft'. MyQ Roger no sincroniza las contraseñas de los usuarios, por lo que si el usuario se sincronizó a través de AD, es necesario utilizar la opción de inicio de sesión del proveedor. (Microsoft/Google) El inicio de sesión en MyQ Roger con nombre de usuario y contraseña sólo puede utilizarse si el usuario se creó directamente desde MyQ Roger.
Notificaciones
Si se activa una sincronización manualmente:
El usuario desencadenante recibe una notificación de la barra de navegación cuando finaliza el trabajo.
En caso de que se produzca algún cambio (algún usuario eliminado, añadido o fallido), todos los usuarios con permisos para gestionar una sincronización reciben una notificación en la barra de navegación con información breve sobre el trabajo.
Si la sincronización se activa automáticamente:
En caso de que se produzca algún cambio (algún usuario eliminado, añadido o fallido), todos los usuarios con permisos para gestionar una sincronización reciben una notificación en la barra de navegación con información breve sobre el trabajo.
Si no hay cambios, no se notifica a los usuarios. En la administración sólo se muestra información breve sobre la última ejecución.
Si el Fecha de expiración del secreto de solicitud y el trabajo se ejecuta 7 días antes de la expiración, se muestra una notificación en la barra de navegación y se envía una notificación por correo electrónico a los usuarios con permisos para gestionar las sincronizaciones.
Todas las sincronizaciones se registran con información breve. También se registran todas las sincronizaciones fallidas de los usuarios.