PowerDMARC ahora admite la asignación de grupos de dominios a través de SCIM, lo que te permite controlar a qué grupos de dominios pertenece un usuario directamente desde tu proveedor de identidad. Esta guía te explica cómo configurar la asignación de grupos de dominios en Azure Entra ID para que las asignaciones de grupos se sincronicen automáticamente con PowerDMARC durante el aprovisionamiento y las actualizaciones de los usuarios.
Paso 1: Añadir el atributo «Grupos de dominios personalizados»
- En el portal de Azure, ve a Inicio > Aplicaciones empresariales y abre tu aplicación PowerDMARC.
- Haga clic en «Provisioning » en el panel izquierdo y, a continuación, haga clic en «Asignación de atributos».
- Haz clic en el enlace «Crear usuarios de Microsoft Entra ID ».
- En la parte inferior de la página, marca la casilla «Mostrar opciones avanzadas » y, a continuación, haz clic en el enlace «Editar la lista de atributos de customappsso ».
- Desplázate hasta el final de la lista de atributos, introduce el siguiente valor en la primera columna vacía y haz clic en «Guardar»:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups
Paso 2: Asignar el atributo a un campo de origen
- Una vez guardado, volverá a la página «Asignación de atributos». Haga clic en el enlace «Añadir nueva asignación ».
- En el Editar atributo En el formulario, configura la asignación de la siguiente manera:
- Atributo de destino:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups - Atributo de origen: Seleccione cualquier campo de tipo cadena en el que tenga previsto introducir valores de grupo de dominio; por ejemplo, «departamento».
- Atributo de destino:
Asignación de grupos de dominio a un usuario
Dependiendo del atributo de origen que hayas elegido, hay dos formas de asignar grupos de dominios:
A través de un atributo de usuario estándar (por ejemplo, departamento)
- En el portal de Azure, ve a Inicio > Usuarios y haz clic en el usuario que quieras actualizar.
- Haz clic en el botón «Editar propiedades ».
- Busca el campo que has seleccionado como «Atributo de origen» e introduce los grupos de dominios separados por comas; por ejemplo:
Grupo 1, Grupo 2.
Grupo 1, Grupo 2 no Grupo 1, Grupo 2.A través de un atributo de extensión (extensionAttribute1–15)
Si has seleccionado una de las atributo de extensión 1–15 campos como atributo de origen, actualícelo mediante la API de Azure Graph. El permiso necesario es Usuario.LecturaEscritura.Todo.
En este ejemplo, se utiliza extensionAttribute1 como atributo de origen:
PATCH https://graph.microsoft.com/v1.0/users/{user-id}
{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Group1,Group2" } }
Eliminar todos los grupos de dominio de un usuario
PowerDMARC no realizará ninguna acción si el valor de los grupos de dominios está vacío. Si deseas eliminar todos los grupos de dominios asignados a un usuario, establece el valor en -1 en lugar de dejarlo en blanco. Esto se aplica tanto al campo de atributos de usuario estándar como al cuerpo de la solicitud de la API de Azure Graph.
-1 Es la forma correcta de desasignar por completo todos los grupos de dominio de un usuario. PowerDMARC ignorará los campos vacíos.