Una característica de AzureAD (EntraID) es la capacidad de crear atributos personalizados que nos permiten adaptar el directorio a necesidades específicas. En este artículo, explicaremos paso a paso cómo crear un atributo personalizado en AzureAD (EntraID) mediante PowerShell.
Nota: Por el momento no hay una forma recomendada de hacerlo mediante GUI.
Para este ejemplo vamos a crear un atributo llamado ‘SyncAV’.
Este atributo, una vez establecido, se empleará, por ejemplo, en una plataforma de antispam en la nube vinculada a nuestro Tenant.
De esta forma, se podrá asignar una configuración específica de antispam a aquellos usuarios que posean asignado el valor ‘1’ en dicho atributo.
EntraID: Creación de un atributo personalizado mediante PowerShell
Definiciones previas:
#Nombre del tenant
$TenantDomain = 'https://dominio.onmicrosoft.com'
#Nombre de la aplicación
$AppName = 'SyncAV'
#Establecer la sessión con AzureAD, debes conectar como administrador global.
Connect-AzureAD
Creación de una Aplicación en EntraID: Si aún no tienes una aplicación a la cual añadir el atributo personalizado, puedes crear una utilizando el cmd-let: New-AzureADApplication.
# Crear una nueva aplicación en Azure AD con un nombre y URI de identificador específicos
$MyApp = (New-AzureADApplication -DisplayName $AppName -IdentifierUris "$TenantDomain/$AppName").ObjectId
Creación del Principal de Servicio: Para activar la aplicación en EntraID, crea un principal de servicio asociado a ella con New-AzureADServicePrincipal.
# Crear un nuevo "principal de servicio" para la aplicación creada anteriormente
New-AzureADServicePrincipal -AppId (Get-AzureADApplication -SearchString $AppName).AppId
Crear un Atributo Personalizado: Utiliza New-AzureADApplicationExtensionProperty para crear un nuevo atributo personalizado, especificando el objeto de aplicación, el nombre del atributo, el tipo de dato y los objetos a los que aplica.
# Crear un atributo de extensión personalizado para la aplicación con el nombre 'SyncAV', de tipo 'String', aplicable a objetos 'User'
New-AzureADApplicationExtensionProperty -ObjectId $MyApp -Name $AppName -DataType 'String' -TargetObjects 'User'
Verificación:
Lista todas las propiedades extendidas de todas las aplicaciones en EntraID con Get-AzureADApplication | Get-AzureADApplicationExtensionProperty para verificar la creación de tu atributo.
# Listar todas las propiedades extendidas de todas las aplicaciones en Azure AD
Get-AzureADApplication | Get-AzureADApplicationExtensionProperty
EntraID: Modificar el valor de la propiedad extendida:
Vamos a modificar el usuario ‘u1’ para establecer el valor a ‘1’ sobre el atributo: extension_e621c35101de43039307c29471c18358_SyncAV
# Obtener un usuario específico de Azure AD mediante una búsqueda por string (en este caso, 'u1')
$User = Get-AzureADUser -SearchString u1
$ExtensionName = Get-AzureADApplication | Get-AzureADApplicationExtensionProperty | Where-Object { $_.Name -like "*$AppName*" }
Write-Host "El nombre del atributo de extensión personalizado es: `'$ExtensionName`'"
# Establecer el valor del atributo de extensión personalizado para el usuario específico a '1'
Set-AzureADUserExtension -ObjectId $User.ObjectId -ExtensionName $ExtensionName -ExtensionValue '1'
# Obtener y mostrar las propiedades de extensión del usuario específico
Get-AzureADUser -ObjectId $User.ObjectId | Select-Object -ExpandProperty ExtensionProperty
Verificación:
$User = Get-AzureADUser -SearchString u1
Get-AzureADUser -ObjectId $User.ObjectId | Select-Object -ExpandProperty ExtensionProperty
Información Extendida:
¿Por qué es necesario crear una aplicación en EntraID para obtener un atributo personalizado?
Debemos imaginar EntraID (Azure AD) como un enorme edificio de oficinas donde cada empresa (aplicación) tiene su propio espacio.
Para personalizar tu espacio, necesitas crear una oficina (registrar una aplicación) dentro de este edificio.
Esta oficina te da un lugar propio donde puedes decorar y añadir muebles (atributos personalizados) según tus necesidades específicas.
Creación de la Oficina (Aplicación): Necesitas tu propio espacio para operar y personalizar; es tu base de operaciones dentro del edificio.
Seguridad y Llaves (Aislamiento y Seguridad): Solo tú y quienes tú elijas tienen llaves para entrar a tu oficina. De esta forma tus cosas (datos) están seguras y solo accesibles para personas autorizadas.
Decoración y Muebles (Integración y Extensibilidad): Puedes decorar tu oficina con muebles (usar atributos personalizados) que hagan tu espacio personalizado o más funcional para tus necesidades de trabajo.
Mudanzas y Renovaciones (Gestión de Ciclo de Vida): Si decides mudarte a una nueva oficina o cerrar la actual puedes llevar o dejar tus muebles como mejor te parezca.
Herramientas de Oficina y Tecnología (Automatización y API): Tienes herramientas y tecnología para cambiar la configuración de tu espacio automáticamente sin la necesidad de hacerlo todo manualmente.
En pocas palabras, registrar una aplicación en EntraID es como abrir tu propia oficina en un edificio corporativo grande donde puedes personalizar tu espacio de trabajo con herramientas y muebles específicos (atributos personalizados) para hacer tu día a día más eficiente y seguro.
¿Por qué es necesario crear un Principal de Servicio?
Siguiendo con la metáfora del edificio de oficinas si la Creación de la Oficina (Aplicación) te da un espacio en el edificio la Creación del Principal de Servicio es como asignar un gerente de oficina a tu espacio.
Este gerente tiene la autoridad para actuar en nombre de tu empresa interactuando con otros inquilinos y servicios del edificio según las reglas que establezcas.
Asignación del Gerente de Oficina (Principal de Servicio):
Necesitas alguien que maneje las operaciones diarias, alguien que tenga las llaves y sepa cómo interactuar con el edificio en tu nombre.
Autoridad y Delegación (Autenticación y Autorización): Este gerente tiene la autoridad específica para realizar ciertas tareas, como abrir puertas (acceder a servicios) o firmar acuerdos (interactuar con APIs), basado en los límites que defines.
Interacción con el Edificio (Gestión de Identidades): El gerente sabe cómo hablar con el edificio (EntraID) para obtener lo que necesita ya sean servicios o información manteniendo tu oficina en funcionamiento.
Automatización de Tareas (Automatización y Escalabilidad): Puede manejar tareas automáticamente, como ajustar la calefacción o pedir suministros gracias a su capacidad para interactuar con los sistemas del edificio de forma programada.
El autor de este post es: Pol Padrisa.
No hay comentarios:
Publicar un comentario