Sincronización con Microsoft Entra ID
Este artículo te ayudará a comenzar a usar Directory Connector para la sincronización de usuarios y grupos desde tu Directorio de Microsoft Entra ID a tu organización Bitwarden.
Complete los siguientes procesos desde el Portal de Microsoft Azure antes de configurar el Conector de Directorio. El Conector de Directorio requerirá información obtenida de estos procesos para funcionar correctamente.
Complete los siguientes pasos para crear un registro de aplicación para el Conector de Directorio:
Desde su portal de Microsoft Azure, navegue hasta el directorio Microsoft Entra ID.
Desde la navegación de la izquierda, selecciona Registro de aplicaciones.
Seleccione el botón de Nuevo registro y dé a su registro un nombre específico de Bitwarden (como, por ejemplo,
bitwarden-dc
).Selecciona Registrar.
Complete los siguientes pasos para otorgar al registro de la aplicación creada los permisos requeridos:
En la aplicación Bitwarden creada, seleccione Permisos de API desde la navegación de la mano izquierda.
Seleccione el botón Agregar un permiso.
Cuando se le solicite seleccionar una API, seleccione Microsoft Graph.
Establezca los siguientes Permisos delegados:
Usuario > Usuario.LeerBasico.Todos (Leer todos los perfiles básicos de los usuarios)
Usuario > Usuario.Leer.Todo (Leer todos los perfiles completos de los usuarios)
Grupo > Grupo.Leer.Todos (Leer todos los grupos)
UnidadAdministrativa > UnidadAdministrativa.Leer.Todo (Solo se requiere si vas a realizar la sincronización de Unidades Administrativas)
Establezca los siguientes Permisos de Aplicación:
Usuario > Usuario.Leer.Todo (Leer todos los perfiles completos de los usuarios)
Grupo > Grupo.Leer.Todo (Leer todos los grupos)
UnidadAdministrativa > Unidad.Administrativa.Leer.Todo (Solo requerido si vas a hacer la sincronización de Unidades Administrativas)
De vuelta en la página de permisos de API, selecciona el botón Otorgar consentimiento de administrador para....
Complete los siguientes pasos para crear una clave secreta que será utilizada por el Conector de Directorio:
En la aplicación Bitwarden creada, selecciona Certificados y secretos desde la navegación de la mano izquierda.
Seleccione el botón Nuevo secreto del cliente y agregue una descripción específica de Bitwarden (como,
bitwarden-dc-secret
) y una fecha de vencimiento. Recomendamos seleccionar Nunca.Seleccione Guardar una vez que haya terminado.
Copie el valor del secreto en un lugar seguro para su uso posterior.
Complete los siguientes pasos para obtener el ID de la aplicación que será utilizado por el Conector de Directorio:
En la aplicación Bitwarden creada, selecciona Resumen de la navegación de la mano izquierda.
Copia la ID de la aplicación (cliente) en un lugar seguro para su uso posterior.
Complete los siguientes pasos para obtener el nombre de host del inquilino que será utilizado por el Conector de Directorio:
Desde cualquier lugar en el portal de Azure, selecciona el icono
en la barra de navegación superior derecha.Seleccione el botón de filtro Directorio + suscripción del menú ubicado a la izquierda.
Copia el valor del Directorio actual: a un lugar seguro para su uso posterior.
Complete los siguientes pasos para configurar el Conector de Directorio para usar Microsoft Entra ID. Si aún no lo has hecho, sigue los pasos adecuados para la configuración de Microsoft Entra ID antes de continuar:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
Desde el menú desplegable Tipo, selecciona Azure Active Directory.
Los campos disponibles en esta sección cambiarán de acuerdo con el tipo seleccionado.
Ingrese el inquilino nombre de host recopilado, Id de la aplicación, y clave secreta.
consejo
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Complete los siguientes pasos para configurar los ajustes utilizados al sincronizar usando el Conector de Directorio:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
En la sección de Sincronización, configure las siguientes opciones según lo desee:
Opción | Descripción |
---|---|
Intervalo | Tiempo entre verificaciones automáticas de sincronización (en minutos). |
Eliminar usuarios discapacitados durante la sincronización | Marca esta casilla para eliminar a los usuarios de la organización Bitwarden que han sido desactivados en tu directorio. |
Sobrescribir los usuarios existentes de la organización basándose en los ajustes actuales de sincronización | Marca esta casilla para siempre realizar una sincronización completa y eliminar cualquier usuario de la organización Bitwarden si no están en el conjunto de usuarios sincronizados. |
Se espera que más de 2000 usuarios o grupos realicen la sincronización. | Marque esta casilla si espera realizar la sincronización de 2000+ usuarios o grupos. Si no marca esta casilla, Directory Connector limitará una sincronización a 2000 usuarios o grupos. |
Sincronización de usuarios | Marca esta casilla para la sincronización de usuarios a tu organización. |
Filtro de usuario | |
Grupos de sincronización | Marca esta casilla para sincronizar grupos a tu organización. Al marcar esta casilla, podrás especificar Filtros de Grupo. |
Filtro de grupo |
Utilice listas separadas por comas para incluir o excluir de una sincronización basada en el correo electrónico del usuario, el nombre del grupo o la membresía del grupo.
Filtros de usuario
Las siguientes sintaxis de filtrado deben usarse en el campo Filtro de Usuario:
Incluir/Excluir usuarios por correo electrónico
Para incluir o excluir usuarios específicos de una sincronización basada en la dirección de correo electrónico:
Bashinclude:joe@example.com,bill@example.com,tom@example.com
Bashexclude:jow@example.com,bill@example.com,tom@example.com
Usuario por membresía de grupo
Puede incluir o excluir usuarios de una sincronización basada en su membresía de grupo de Microsoft Entra ID utilizando las palabras clave includeGroup
y excludeGroup
. includeGroup
y excludeGroup
utilizan el ID de objeto de grupo, disponible en la página de Resumen del grupo en el Portal de Azure o a través del Powershell de Azure AD:
BashincludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
BashexcludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
Filtros de grupo
nota
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating an administrative unit with all of your groups listed.
Las siguientes sintaxis de filtrado deben usarse en el campo Filtro de Grupo:
Incluir/Excluir grupos
Para incluir o excluir grupos de una sincronización basado en el nombre del grupo:
Bashinclude:Group A,Group B
Bashexclude:Group A,Group B
Agrupar por unidad administrativa (AU)
Puede incluir o excluir grupos de una sincronización basándose en sus etiquetados Unidades Administrativas de ID de Microsoft Entra utilizando las palabras clave includeadministrativeunit
y excludeadministrativeunit
. includeadministrativeunit
y excludeadministrativeunit
utilizan el ID de Objeto de la Unidad Administrativa:
Bashincludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
Bashexcludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
consejo
Antes de probar o ejecutar una sincronización, compruebe que Directory Connector esté conectado al servidor en la nube correcta (por ejemplo, EE. UU. o UE) o al servidor autoalojado. Aprenda a hacerlo con la aplicación de escritorio o CLI.
Para probar si el Conector de Directorio se conectará con éxito a su directorio y devolverá los usuarios y grupos deseados, navegue hasta la pestaña Dashboard y seleccione el botón Test Now. Si tiene éxito, los usuarios y grupos se imprimirán en la ventana del Conector de Directorio de acuerdo con las opciones de sincronización y los filtros especificados.
Puede tardar hasta 15 minutos para que los permisos de su aplicación se propaguen correctamente. Mientras tanto, puede recibir errores de Privilegios insuficientes para completar la operación
.
nota
If you get the error message Resource <user id> does not exist or one of its queried reference-property objects are not present
, you'll need to permanently delete or restore the user(s) with <user id>
. Please note, this was fixed in a recent version of Directory Connector. Update your application if you're still experiencing this error.
Una vez que las opciones de sincronización y los filtros están configurados y probados, puedes comenzar la sincronización. Complete los siguientes pasos para iniciar la sincronización automática con Directory Connector:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña Dashboard.
En la sección de Sincronización, selecciona el botón de Iniciar Sincronización.
Alternativamente, puede seleccionar el botón Sincronización Ahora para ejecutar una sincronización manual única.
El Conector de Directorio comenzará a sondear su directorio basado en las opciones de sincronización y los filtros configurados.
Si sales o cierras la aplicación, la sincronización automática se detendrá. Para mantener el Conector de Directorio funcionando en segundo plano, minimice la aplicación o escóndala en la bandeja del sistema.
nota
Si estás en el plan Equipos Starter, estás limitado a 10 miembros. El Conector de Directorio mostrará un error y detendrá la sincronización si intentas sincronizar más de 10 miembros.
Sugerir cambios en esta página
¿Cómo podemos mejorar esta página para usted?
Si tiene preguntas técnicas, sobre facturación o sobre el producto, póngase en contacto con el servicio de asistencia.