Transición de Active Directory a Entra ID

Si está trasladando su gestión de usuarios de un Directorio Activo local al Entra ID basado en la nube, hay algunos pasos que debería conocer para que esta transición sea lo más fluida posible. Estas recomendaciones se basan en el hecho de que:

• No todos los atributos de AD tienen representación en Entra ID.

• Las distintas organizaciones pueden tener preferencias diferentes en cuanto a nombres de usuario y credenciales de acceso fáciles de utilizar.

• Los usuarios ya sincronizados en MyQ desde un AD local deben ser actualizado desde Entra IDen lugar de duplicarse. Esto garantiza que mantengan su historial en MyQ, incluidos créditos, cuotas y trabajos pendientes.

En este artículo, repasaremos las opciones que tiene para asegurar que los usuarios en MyQ sean actualizados por la sincronización de Entra ID y no creados como nuevos.

Si está empezando desde cero y no necesita actualizar los usuarios que ya existen en MyQ, puede continuar en la sección guía sobre la nueva sincronización Entra ID.

Problemas de identificación de los usuarios

MyQ sincroniza Entra ID usuarios con userPrincipalName (Nombre de usuario principal (UPN) como su identificador principal, y por esta razón, userPrincipalName se establece automáticamente como su nombre de usuario. Esto no puede ser influenciado de ninguna manera. El nombre de usuario resultante será el siguiente tim.canterbury@acme.com.

La razón es que para una autenticación completamente funcional contra Entra ID, MyQ necesita el UPN completo del usuario. Además, si más inquilinos Entra ID están sincronizados en MyQ, la distinción entre ellos es más fácil cuando userPrincipalName ya que también contiene el dominio, lo que lo hace único.

Sin embargo, MyQ sincroniza a los usuarios de un Directorio Activo con sAMAccountName como sus nombres de usuario. Este atributo tampoco puede modificarse. Lo más probable es que los usuarios sincronizados desde AD tengan nombres de usuario como tim.cantebury, timcanterburyo simplemente canterbury.

Por defecto, al actualizar usuarios, MyQ utiliza nombres de usuario para identificar al usuario que debe actualizarse. Sin embargo, dado que sAMAccountName y userPrincipalName no suelen ser idénticos, sin ciertos pasos previos, la sincronización de dichos usuarios daría lugar a duplicados.

Determine su entorno

En primer lugar, es importante reconocer cómo está diseñado y configurado el entorno con el que se trabaja. Pueden darse las siguientes situaciones:

Cómo actualizar los usuarios existentes

Para evitar la duplicación de usuarios, debe seleccionar uno de los siguientes métodos para hacer coincidir las dos identidades diferentes del mismo usuario:

• Normalizar usuarios con CSV y actualizarlos desde Entra ID.

• Añada dominios a los nombres de usuario y luego actualice los usuarios desde Entra ID.

• Utilice el campo Número personal para cotejar las identidades de los usuarios.

Fuentes de sincronización

Al actualizar usuarios en MyQ, es importante entender las fuentes de sincronización y cómo coexisten. En la configuración de la fuente de sincronización de usuarios, encontrará dos opciones:

Fuente de sincronización: el nombre de la fuente. También actúa como "marcador" para identificar a los usuarios procedentes de esta fuente.

• Si añade dos fuentes, ambas denominadas "CSV", la segunda fuente puede sobrescribir lo que importó la primera.

• También puede combinar diferentes tipos de fuentes, por ejemplo, si sus fuentes AD y CSV utilizan ambas el nombre "SYNC1", el CSV podrá actualizar los usuarios importados desde AD y viceversa (dependiendo del orden de sincronización).

• Si sus fuentes se denominan "CSV1" y "CSV2", la sincronización desde CSV2 ignorará a los usuarios sincronizados desde CSV1, a menos que utilice la opción que se indica a continuación.

Ignorar fuente de sincronización: Cuando está activada, esta fuente de sincronización tendrá en cuenta a todos los usuarios de MyQ y podrá sobrescribirlos/actualizarlos. Cuando está desactivada, la sincronización actualizará sólo los usuarios que importó.

Opción 1: Normalizar usuarios con CSV y actualizarlos desde Entra ID

En este método, debe asegurarse de que los usuarios en MyQ tengan números personales, exportarlos, modificar el archivo CSV exportado para cambiar todos los nombres de usuario a UPN utilizados por Entra ID, y luego volver a importar todo esto emparejando a los usuarios con el número personal. Como resultado, los usuarios de AD ya tendrán el UPN como nombre de usuario en el momento en que los sincronice, y sus identidades estarán correctamente conectadas.

Requisitos previos

• Si sus usuarios no utilizan números personales, sincronizarlos con números personales del AD actual. Necesitaremos este atributo para emparejar usuarios más adelante (ya que no podremos emparejarlos por nombres de usuario).

• Si no puede sincronizar los números personales desde AD, asígnelos en MyQ directamente. Exportar usuarios a CSV (en el Usuarios seleccione Herramientas - Exportar), modifique el archivo CSV como prefiera y asigne a cada usuario un número personal único (CÓDIGO columna). Importe de nuevo el CSV para que se actualicen los usuarios en MyQ y se añadan sus números personales.

Cambiar nombres de usuario a UPN

1. Ir a la Usuarios seleccione Herramientas - Exportary espere a que se descargue el archivo CSV con los usuarios exportados.

2. Modifique el CSV de la forma que prefiera, cambie todos los nombres de usuario para que adopten la forma de UPN en Entra ID, por ejemplo, timcanterbury → tim.canterbury@acme.comy guarde el archivo CSV. Dejar intactos los números personales.

3. De vuelta en MyQ, en Ajustes - Sincronización de usuariosañada el archivo CSV final como fuente de sincronización.

   1. Cambie el nombre de la fuente de sincronización de "CSV" al nombre de su fuente de sincronización de AD (sólo para usuarios de AD) o marque la opción "Ignorar fuente de sincronización" (véase más arriba).

   2. Activar Emparejar por el número personal.

4. Ejecute esta sincronización de usuarios, ya sea desde el Sincronización de usuarios página o Programador de tareas (recomendado).

Una vez completado esto, los nombres de usuario en MyQ deberían coincidir userPrincipalName en Entra ID.

Puede proceder con la sincronización de usuarios desde Entra ID utilizando el método habitual. Al crear la nueva sincronización de Entra ID, recuerde ajustar también el nombre de la fuente de sincronización o activar "Ignorar fuente de sincronización" para garantizar que la fuente de Entra ID pueda actualizar los usuarios sincronizados desde AD (véase más arriba).

Los usuarios que coincidan a través de nombres de usuario deben reflejarse con precisión en los registros (mostrados como Partido mediante LOGIN).

Opción 2: Añada el dominio a los nombres de usuario y, a continuación, actualice los usuarios desde Entra ID.

Si su dominio AD es el mismo que el dominio de su Entra ID, puede hacer lo siguiente:

1. En su fuente de sincronización de AD, active la opción Añadir dominio al nombre de usuarioy sincronizar los usuarios. Esto resultará en un cambio de nombre de usuario como tim.canterbury → tim.canterbury@acme.com.

2. Ejecute la sincronización desde AD, ya sea desde el Sincronización de usuarios página o Programador de tareas (recomendado).

3. Cree una nueva sincronización Entra ID, modifique el nombre de la fuente de sincronización (véase más arriba), o activar Ignorar fuente de sincronización para poder actualizar los usuarios sincronizados desde otras fuentes.

4. Ejecute la sincronización desde Entra ID, ya sea desde el Sincronización de usuarios página o Programador de tareas (recomendado).

Si los nombres de usuario, después de añadir el dominio, coinciden con el dominio userPrincipalName de estos usuarios, se actualizarán desde la nueva fuente. A partir de ahora, puede seguir sincronizando usuarios desde Entra ID y eliminar la antigua fuente de sincronización.

Opción 3: Utilizar el campo de número personal para cotejar las identidades de los usuarios

Puede conectar las dos identidades del usuario emparejándolas a través de la función Campo del número personal. Hay dos escenarios comunes:

• Los usuarios en AD ya tienen números personales que también se pueden sincronizar desde Entra ID (por ejemplo, employeeId ).

• Los usuarios no tienen números personales, pero se puede sincronizar otra información con este campo, como una dirección de correo electrónico.

En caso de que decida emparejar usuarios existentes mediante este método, haga lo siguiente:

1. En Configuración - Sincronización de usuarios, ajuste la fuente de sincronización de AD y, en la ficha Usuarios, especifique el atributo que desea utilizar para el Número personalpor ejemplo, correo. Si utiliza userPrincipalNamepuede sincronizar el UPN del usuario desde el AD local y usarlo para comparar su identidad con Entra ID.

2. En la nueva fuente de sincronización Entra ID, active la opción Emparejar por el número personal y rellenar el mismo atributo en la opción Número personal campo (correo o userPrincipalName en este ejemplo). Además, no olvide modificar el nombre de la fuente de sincronización o activar la opción Ignorar fuente de sincronización (véase más arriba).

No es necesario que el atributo esté entre los listados en el desplegable, puede escribir y crear manualmente un nuevo atributo, y así sincronizar prácticamente cualquier atributo del tipo de recurso de usuario en Entra ID.

3. Ejecute la sincronización, ya sea desde el Página de sincronización de usuarios o Programador de tareas (recomendado).

Se recomienda comprobar los usuarios después de ejecutar la sincronización con AD y asegurarse de que el Número personal contiene la información deseada. Si es así, puede pasar a la segunda sincronización desde Entra ID.