> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurar el aprovisionamiento SCIM para Microsoft Entra ID

> Sincroniza automáticamente tus usuarios de Microsoft Entra ID con tu espacio de trabajo empresarial de Base44 usando SCIM.

El aprovisionamiento SCIM mantiene la membresía de tu espacio de trabajo empresarial de Base44 sincronizada con Microsoft Entra ID (anteriormente Azure AD). Creas una aplicación empresarial separada, la conectas a Base44, mapeas roles y activas la sincronización automática para que los miembros se añadan, actualicen y eliminen por ti. Para permitir que tu equipo inicie sesión, configura [SSO para Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO) por separado.

<Warning>
  El aprovisionamiento SCIM solo está disponible en espacios de trabajo empresariales. Si no ves esta opción, contacta con tu equipo de cuenta de Base44.
</Warning>

***

## Antes de empezar

Asegúrate de tener:

* Acceso de propietario o administrador a tu espacio de trabajo empresarial de Base44.
* Acceso de administrador al [Microsoft Entra admin center](https://entra.microsoft.com).
* Tu **SCIM Base URL**, que se encuentra en **Settings** > **Auth and security**.
* Una **Workspace API key**, que se encuentra en **Settings** > **Secrets**.

<Frame caption="La SCIM Base URL vive en Settings > Auth and security">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-entra.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=4a75713038920e61bb9d6f667153ba6a" alt="Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted" width="1264" height="968" data-path="images/SCIM-entra.png" />
</Frame>

***

## Configurar el aprovisionamiento SCIM

Crea una aplicación empresarial de Entra dedicada, conéctala a Base44, mapea tus roles y atributos, luego activa la sincronización automática.

### Paso 1: Crear la app SCIM

Crea una aplicación empresarial separada y no de galería para el aprovisionamiento.

**Para crear la app SCIM:**

1. En el Microsoft Entra admin center, ve a **Identity** > **Applications** > **Enterprise applications**.
2. Haz clic en **New application**, luego **Create your own application**.
3. Introduce un nombre (por ejemplo, `Base44 SCIM Provisioning`) y selecciona **Integrate any other application you don't find in the gallery**.
4. Haz clic en **Create**.

### Paso 2: Conectar a Base44

Apunta Entra a tu espacio de trabajo de Base44 usando tu SCIM Base URL y una Workspace API key. Si aún no tienes una API key, créala primero.

**Para crear una Workspace API key:**

1. En **Settings** de tu espacio de trabajo, haz clic en **Secrets**.
2. Haz clic en **Create API Key**.
3. Introduce un nombre (por ejemplo, `Entra SCIM`), añade una descripción opcional y haz clic en **Create Key**.

<Frame caption="Nombrar la nueva API key en Settings > Secrets">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-API-Key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=a0b4d6721d54fa6162e9edc7575b468c" alt="Base44 Create API Key dialog with a name entered" width="1813" height="948" data-path="images/SCIM-API-Key.png" />
</Frame>

Base44 muestra la clave completa solo una vez. Cópiala antes de cerrar el diálogo y guárdala en un lugar seguro, ya que la usas como el **Secret Token** abajo.

<Frame caption="Copia la clave mientras se muestra. No puedes verla de nuevo después de cerrar el diálogo.">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-new-api-key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=1dbb003d20da92d195b3d9069b1b34b5" alt="Base44 API Key Created dialog showing the generated key" width="1777" height="937" data-path="images/SCIM-new-api-key.png" />
</Frame>

**Para configurar el aprovisionamiento:**

1. Abre la app y ve a **Provisioning**, luego haz clic en **Get started**.
2. Establece **Provisioning Mode** a **Automatic**.
3. En **Admin Credentials**, establece:
   * **Tenant URL:** Tu SCIM Base URL con `?aadOptscim062020` añadido al final. El resultado se ve como `https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020`.
   * **Secret Token:** Tu Workspace API key.
4. Haz clic en **Test Connection** para confirmar una conexión exitosa.
5. Haz clic en **Save**.

<Tip>
  Antes de continuar, ejecuta **Test Connection** y confirma que tiene éxito. Una prueba fallida generalmente significa que la Tenant URL o el Secret Token es incorrecto.
</Tip>

<Frame caption="Establecer la Tenant URL y el Secret Token en la pantalla Entra Provisioning">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-provisioning.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=2bde8648cd62a7f3ddc66ccb62d779d7" alt="Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token" width="1644" height="1059" data-path="images/Entra-provisioning.png" />
</Frame>

<Warning>
  Entra requiere el sufijo `?aadOptscim062020` en la Tenant URL. Sin él, la prueba de conexión o el aprovisionamiento pueden fallar. Este sufijo es específico de Entra, así que no lo añadas para otros proveedores de identidad.
</Warning>

### Paso 3: Mapear externalId

Por defecto, Entra hace coincidir a los usuarios en un valor que puede cambiar. Mapear `externalId` a `objectId`, un identificador único estable, permite a Base44 hacer coincidir de forma fiable a cada usuario para actualizaciones y desactivación.

**Para actualizar el mapeo:**

1. En **Mappings**, haz clic en **Provision Microsoft Entra ID Users**.
2. En la tabla de mapeo, encuentra la fila donde el **Target attribute** es exactamente `externalId`.
3. Haz clic en esa fila y cambia el **Source attribute** a `objectId`.
4. Haz clic en **Ok**, luego **Save**.

<Frame caption="Seleccionar objectId como atributo fuente para externalId">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-edit-attribute.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=c8406da7373aef1680268d0d5227703c" alt="Entra Edit Attribute panel with the source attribute set to objectId" width="1306" height="1073" data-path="images/Entra-edit-attribute.png" />
</Frame>

Después de guardar, el mapeo actualizado aparece en la tabla de atributos, con `externalId` mapeado a `objectId`.

<Frame caption="externalId mapeado a objectId en la pantalla Provision Microsoft Entra ID Users">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Configuring-the-SCIM-Connection.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=62cf0e7255b82d516c93cb0ae6506b2c" alt="Entra attribute mappings table with externalId mapped to objectId" width="1623" height="824" data-path="images/Configuring-the-SCIM-Connection.png" />
</Frame>

### Paso 4: Añadir atributos personalizados

Los campos de rol y límite de créditos de Base44 no están en la lista de destinos predeterminada de Entra, así que añádelos antes de poder mapearlos.

**Para añadir los atributos:**

1. En la pantalla de mapeo **Provision Microsoft Entra ID Users**, desplázate al final y marca **Show advanced options**.
2. Haz clic en **Edit attribute list for** tu app.
3. En la parte inferior de la lista, añade:
   * **Role:** `urn:base44:params:scim:schemas:extension:user:2.0:role`, con **Type** establecido a `String`.
   * **Credit limit (opcional):** `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`, con **Type** establecido a `Integer`.
4. Haz clic en **Save** y confirma el cambio.

<Frame caption="Añadir el atributo de rol de Base44 en Edit attribute list">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-edit-list.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=0f39296fe43cb64489a0163d2408dc03" alt="Entra Edit attribute list with the Base44 role URN added as a String" width="1639" height="957" data-path="images/SCIM-edit-list.png" />
</Frame>

### Paso 5: Crear roles de app

Creas roles en **App registrations**, no en **Enterprise applications**. Enterprise applications es solo donde los asignas.

**Para crear roles de app:**

1. En el Microsoft Entra admin center, ve a **App registrations** y abre la pestaña **All applications**.
2. Selecciona tu app SCIM.
3. Haz clic en **App roles**, luego **Create app role**.
4. Crea un rol separado para cada nivel de permiso de Base44: `admin`, `editor` y `viewer`.
5. En el campo **Value**, escribe la cadena exacta en minúsculas que Base44 espera (`admin`, `editor` o `viewer`).
6. Haz clic en **Apply**.

<Frame caption="Crear un rol de app para un nivel de permiso de Base44">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/create-app-role.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=de9d39f98226c84df4992bdc72fa5d16" alt="Entra Create app role panel" width="574" height="621" data-path="images/create-app-role.png" />
</Frame>

Crea un rol para cada nivel de permiso. Una vez creados, los 3 aparecen en la lista **App roles** de la app.

<Frame caption="Los roles de app admin, editor y viewer en Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-app-roles.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=e7c00dfa3ed50db30d624028876fbf66" alt="Entra App roles list showing the admin, editor, and viewer roles" width="1291" height="706" data-path="images/SCIM-app-roles.png" />
</Frame>

### Paso 6: Mapear rol y límite de créditos

Entra almacena los roles como un array, pero Base44 espera un único valor de texto, por lo que el rol debe mapearse con una expresión en lugar de un mapeo directo.

**Para mapear el rol:**

1. Ve a **Enterprise applications** > tu app SCIM > **Provisioning** > **Edit attribute mapping** > **Provision Microsoft Entra ID Users**.
2. Haz clic en **Add New Mapping**, o edita la fila de rol existente.
3. Establece **Mapping type** a **Expression**.
4. En el campo **Expression**, introduce: `SingleAppRoleAssignment([appRoleAssignments])`
5. Establece **Target attribute** a `urn:base44:params:scim:schemas:extension:user:2.0:role`.
6. Establece **Match objects using this attribute** a **No**, y **Apply this mapping** a **Always**.
7. Haz clic en **Ok**.

<Frame caption="Mapear el rol con la expresión SingleAppRoleAssignment">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-mapping-role-field.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=bea562304a4babea4a11992f1bf1cb85" alt="Entra expression mapping for the role field using SingleAppRoleAssignment" width="792" height="741" data-path="images/SCIM-mapping-role-field.png" />
</Frame>

Establecer un límite de créditos es opcional. Sin uno, el miembro extrae del grupo de créditos compartido del espacio de trabajo sin tope individual. Añade un límite de créditos solo si quieres limitar cuántos créditos puede usar un miembro específico al mes.

**Para mapear un límite de créditos (opcional):**

1. Introduce el valor del límite de créditos en el perfil de Entra del usuario bajo un campo de extensión integrado, por ejemplo `extensionAttribute1`.
2. Haz clic en **Add New Mapping** y establece **Mapping type** a **Direct**.
3. Establece **Source attribute** a `extensionAttribute1`.
4. Establece **Target attribute** a `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`.
5. Haz clic en **Ok**, luego **Save**.

### Paso 7: Asignar y aprovisionar

Elige a quién aprovisionar, dales un rol e inicia la sincronización.

**Para asignar usuarios:**

1. Ve a **Enterprise applications** > tu app SCIM > **Users and groups**.
2. Haz clic en **Add user/group** y selecciona los usuarios o grupos a aprovisionar.
3. En **Select a role**, elige el rol que creaste (`admin`, `editor` o `viewer`), luego haz clic en **Assign**.

**Para activar el aprovisionamiento:**

1. Ve a **Provisioning**.
2. Establece **Provisioning Status** a **On**.

Entra comienza a sincronizar los usuarios asignados con tu espacio de trabajo de Base44.

<Note>
  Si el botón **Edit** para un usuario está en gris, marca la casilla junto al usuario, haz clic en **Remove**, luego añádelo de nuevo con el rol correcto.
</Note>

### Paso 8: Actualizar usuarios existentes

Si cambiaste el mapeo de `externalId` después de que algunos usuarios ya estuvieran aprovisionados, actualiza sus registros para que recojan el `objectId` correcto.

**Para actualizar usuarios existentes:**

1. Ve a **Provisioning** > **Provision on demand**.
2. Busca al usuario y ejecuta el aprovisionamiento para corregir su registro.
3. Para aplicar esto a todos, vuelve a la página principal **Provisioning** y haz clic en **Restart provisioning**.

***

## Roles y límites de créditos

Base44 acepta solo los siguientes roles a través de SCIM. Mapea tus roles de app de Entra a estos valores exactos.

| Rol      | Lo que pueden hacer                                                              |
| -------- | -------------------------------------------------------------------------------- |
| `admin`  | Gestionar miembros, facturación y configuración del espacio de trabajo           |
| `editor` | Construir, editar y ejecutar apps; usa créditos del grupo del espacio de trabajo |
| `viewer` | Acceso de solo lectura a apps; no consume créditos                               |

Los límites de créditos se aplican solo a los roles `admin` y `editor`, ya que los viewers no consumen créditos. Establecer un límite de créditos de `0` se trata como sin tope. También puedes establecer límites de créditos directamente en tu espacio de trabajo, sin SCIM. Consulta [Gestionar miembros de espacios de trabajo empresariales](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Los propietarios del espacio de trabajo no pueden actualizarse ni desactivarse a través de SCIM. Promueve o degrada a los propietarios desde la configuración de tu espacio de trabajo.
</Note>

***

## Preguntas frecuentes

Selecciona una pregunta abajo para saber más sobre el aprovisionamiento SCIM de Entra.

<AccordionGroup>
  <Accordion title="¿Necesito apps de Entra separadas para SSO y SCIM?">
    Sí. El aprovisionamiento SCIM usa una **Enterprise application** dedicada, mientras que el inicio de sesión usa una **App registration** separada. Configura el aprovisionamiento en la Enterprise application y configura el inicio de sesión por separado. Consulta [SSO para Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).
  </Accordion>

  <Accordion title="¿Por qué falla la prueba de conexión SCIM?">
    Confirma que tu Tenant URL termina con `?aadOptscim062020` y que el Secret Token es tu Workspace API key de **Settings** > **Secrets**. Verifica que la SCIM Base URL se copió de **Settings** > **Auth and security** y no se ha cambiado.
  </Accordion>

  <Accordion title="¿Por qué no se sincroniza el rol, o por qué falla el aprovisionamiento en el campo de rol?">
    Entra almacena los roles como un array, por lo que un mapeo **Direct** falla. Establece el tipo de mapeo de rol a **Expression** y usa `SingleAppRoleAssignment([appRoleAssignments])`. Asegúrate de que el **Value** de cada rol de app sea exactamente `admin`, `editor` o `viewer` en minúsculas.
  </Accordion>

  <Accordion title="¿Por qué mi atributo personalizado de Base44 no está en el menú desplegable Target attribute?">
    Añádelo primero. En la pantalla de mapeo, marca **Show advanced options**, haz clic en **Edit attribute list**, añade la URN completa (por ejemplo, `urn:base44:params:scim:schemas:extension:user:2.0:role`), luego guarda. El campo estará disponible en el menú desplegable después.
  </Accordion>

  <Accordion title="¿Por qué los usuarios se actualizan al registro incorrecto después de reaprovisionar?">
    Asegúrate de que `externalId` está mapeado a `objectId`. Si los usuarios se aprovisionaron antes de cambiar este mapeo, usa **Provision on demand** para actualizar cada usuario, o **Restart provisioning** para actualizar a todos.
  </Accordion>
</AccordionGroup>

<Note>Esta página fue traducida usando IA. Para obtener la información más precisa y actualizada, consulta la [versión en inglés](/).</Note>
