Antes de empezar
Asegúrate de tener:- Acceso de propietario o administrador a tu espacio de trabajo empresarial de Base44.
- Acceso de administrador al Microsoft Entra admin center.
- Tu SCIM Base URL, que se encuentra en Settings > Auth and security.
- Una Workspace API key, que se encuentra en Settings > Secrets.

Configurar el aprovisionamiento SCIM
Crea una aplicación empresarial de Entra dedicada, conéctala a Base44, mapea tus roles y atributos, luego activa la sincronización automática.Paso 1: Crear la app SCIM
Crea una aplicación empresarial separada y no de galería para el aprovisionamiento. Para crear la app SCIM:- En el Microsoft Entra admin center, ve a Identity > Applications > Enterprise applications.
- Haz clic en New application, luego Create your own application.
- Introduce un nombre (por ejemplo,
Base44 SCIM Provisioning) y selecciona Integrate any other application you don’t find in the gallery. - Haz clic en Create.
Paso 2: Conectar a Base44
Apunta Entra a tu espacio de trabajo de Base44 usando tu SCIM Base URL y una Workspace API key. Si aún no tienes una API key, créala primero. Para crear una Workspace API key:- En Settings de tu espacio de trabajo, haz clic en Secrets.
- Haz clic en Create API Key.
- Introduce un nombre (por ejemplo,
Entra SCIM), añade una descripción opcional y haz clic en Create Key.


- Abre la app y ve a Provisioning, luego haz clic en Get started.
- Establece Provisioning Mode a Automatic.
- En Admin Credentials, establece:
- Tenant URL: Tu SCIM Base URL con
?aadOptscim062020añadido al final. El resultado se ve comohttps://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020. - Secret Token: Tu Workspace API key.
- Tenant URL: Tu SCIM Base URL con
- Haz clic en Test Connection para confirmar una conexión exitosa.
- Haz clic en Save.

Paso 3: Mapear externalId
Por defecto, Entra hace coincidir a los usuarios en un valor que puede cambiar. MapearexternalId a objectId, un identificador único estable, permite a Base44 hacer coincidir de forma fiable a cada usuario para actualizaciones y desactivación.
Para actualizar el mapeo:
- En Mappings, haz clic en Provision Microsoft Entra ID Users.
- En la tabla de mapeo, encuentra la fila donde el Target attribute es exactamente
externalId. - Haz clic en esa fila y cambia el Source attribute a
objectId. - Haz clic en Ok, luego Save.

externalId mapeado a objectId.

Paso 4: Añadir atributos personalizados
Los campos de rol y límite de créditos de Base44 no están en la lista de destinos predeterminada de Entra, así que añádelos antes de poder mapearlos. Para añadir los atributos:- En la pantalla de mapeo Provision Microsoft Entra ID Users, desplázate al final y marca Show advanced options.
- Haz clic en Edit attribute list for tu app.
- En la parte inferior de la lista, añade:
- Role:
urn:base44:params:scim:schemas:extension:user:2.0:role, con Type establecido aString. - Credit limit (opcional):
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, con Type establecido aInteger.
- Role:
- Haz clic en Save y confirma el cambio.

Paso 5: Crear roles de app
Creas roles en App registrations, no en Enterprise applications. Enterprise applications es solo donde los asignas. Para crear roles de app:- En el Microsoft Entra admin center, ve a App registrations y abre la pestaña All applications.
- Selecciona tu app SCIM.
- Haz clic en App roles, luego Create app role.
- Crea un rol separado para cada nivel de permiso de Base44:
admin,editoryviewer. - En el campo Value, escribe la cadena exacta en minúsculas que Base44 espera (
admin,editoroviewer). - Haz clic en Apply.


Paso 6: Mapear rol y límite de créditos
Entra almacena los roles como un array, pero Base44 espera un único valor de texto, por lo que el rol debe mapearse con una expresión en lugar de un mapeo directo. Para mapear el rol:- Ve a Enterprise applications > tu app SCIM > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
- Haz clic en Add New Mapping, o edita la fila de rol existente.
- Establece Mapping type a Expression.
- En el campo Expression, introduce:
SingleAppRoleAssignment([appRoleAssignments]) - Establece Target attribute a
urn:base44:params:scim:schemas:extension:user:2.0:role. - Establece Match objects using this attribute a No, y Apply this mapping a Always.
- Haz clic en Ok.

- Introduce el valor del límite de créditos en el perfil de Entra del usuario bajo un campo de extensión integrado, por ejemplo
extensionAttribute1. - Haz clic en Add New Mapping y establece Mapping type a Direct.
- Establece Source attribute a
extensionAttribute1. - Establece Target attribute a
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit. - Haz clic en Ok, luego Save.
Paso 7: Asignar y aprovisionar
Elige a quién aprovisionar, dales un rol e inicia la sincronización. Para asignar usuarios:- Ve a Enterprise applications > tu app SCIM > Users and groups.
- Haz clic en Add user/group y selecciona los usuarios o grupos a aprovisionar.
- En Select a role, elige el rol que creaste (
admin,editoroviewer), luego haz clic en Assign.
- Ve a Provisioning.
- Establece Provisioning Status a On.
Si el botón Edit para un usuario está en gris, marca la casilla junto al usuario, haz clic en Remove, luego añádelo de nuevo con el rol correcto.
Paso 8: Actualizar usuarios existentes
Si cambiaste el mapeo deexternalId después de que algunos usuarios ya estuvieran aprovisionados, actualiza sus registros para que recojan el objectId correcto.
Para actualizar usuarios existentes:
- Ve a Provisioning > Provision on demand.
- Busca al usuario y ejecuta el aprovisionamiento para corregir su registro.
- Para aplicar esto a todos, vuelve a la página principal Provisioning y haz clic en Restart provisioning.
Roles y límites de créditos
Base44 acepta solo los siguientes roles a través de SCIM. Mapea tus roles de app de Entra a estos valores exactos.| Rol | Lo que pueden hacer |
|---|---|
admin | Gestionar miembros, facturación y configuración del espacio de trabajo |
editor | Construir, editar y ejecutar apps; usa créditos del grupo del espacio de trabajo |
viewer | Acceso de solo lectura a apps; no consume créditos |
admin y editor, ya que los viewers no consumen créditos. Establecer un límite de créditos de 0 se trata como sin tope. También puedes establecer límites de créditos directamente en tu espacio de trabajo, sin SCIM. Consulta Gestionar miembros de espacios de trabajo empresariales.
Los propietarios del espacio de trabajo no pueden actualizarse ni desactivarse a través de SCIM. Promueve o degrada a los propietarios desde la configuración de tu espacio de trabajo.
Preguntas frecuentes
Selecciona una pregunta abajo para saber más sobre el aprovisionamiento SCIM de Entra.¿Necesito apps de Entra separadas para SSO y SCIM?
¿Necesito apps de Entra separadas para SSO y SCIM?
Sí. El aprovisionamiento SCIM usa una Enterprise application dedicada, mientras que el inicio de sesión usa una App registration separada. Configura el aprovisionamiento en la Enterprise application y configura el inicio de sesión por separado. Consulta SSO para Microsoft Entra ID.
¿Por qué falla la prueba de conexión SCIM?
¿Por qué falla la prueba de conexión SCIM?
Confirma que tu Tenant URL termina con
?aadOptscim062020 y que el Secret Token es tu Workspace API key de Settings > Secrets. Verifica que la SCIM Base URL se copió de Settings > Auth and security y no se ha cambiado.¿Por qué no se sincroniza el rol, o por qué falla el aprovisionamiento en el campo de rol?
¿Por qué no se sincroniza el rol, o por qué falla el aprovisionamiento en el campo de rol?
Entra almacena los roles como un array, por lo que un mapeo Direct falla. Establece el tipo de mapeo de rol a Expression y usa
SingleAppRoleAssignment([appRoleAssignments]). Asegúrate de que el Value de cada rol de app sea exactamente admin, editor o viewer en minúsculas.¿Por qué mi atributo personalizado de Base44 no está en el menú desplegable Target attribute?
¿Por qué mi atributo personalizado de Base44 no está en el menú desplegable Target attribute?
¿Por qué los usuarios se actualizan al registro incorrecto después de reaprovisionar?
¿Por qué los usuarios se actualizan al registro incorrecto después de reaprovisionar?
Asegúrate de que
externalId está mapeado a objectId. Si los usuarios se aprovisionaron antes de cambiar este mapeo, usa Provision on demand para actualizar cada usuario, o Restart provisioning para actualizar a todos.Esta página fue traducida usando IA. Para obtener la información más precisa y actualizada, consulta la versión en inglés.

