Integraciones
Integraciones
Breadcrumbs

Azure Entra ID

Introducción

Este plugin se usa en coordinación con los plugins de tecnologías de almacenamiento conectadas a Entra ID para provisionar los grupos que representan a los DSA y adicionalmente gestiona las membresías que representan la aceptación de los DSA por parte de los usuarios.

Modelo de integración

Gobierno activo de permisos de acceso

De forma general, los DSA (Data Sharing Agreements) gestionados en Anjana Data Platform se representan en Entra ID como grupos. Los usuarios firmantes de cada DSA se gestionan como miembros del grupo correspondiente, de manera que la pertenencia al grupo refleja el acceso efectivo a los datos gobernados por el acuerdo.

Los grupos creados por Anjana Data Platform siguen la siguiente nomenclatura:

<prefijo configurable>_<nombre lógico del DSA>_v<nº de versión del DSA>

Donde:

  • <prefijo configurable>: prefijo definido por la organización para identificar los grupos gestionados por Anjana Data. Se configura en el YAML del plugin.

  • <nombre lógico del DSA>: nombre funcional del acuerdo tal y como figura en el Portal de Anjana Data Platform.

  • v<nº de versión del DSA>: número de versión del DSA, que permite distinguir versiones activas e históricas.

Esta convención garantiza trazabilidad, claridad operativa y coexistencia controlada de distintas versiones de un mismo acuerdo dentro de Entra ID.

Edición de objetos

Los plugins conectados a Entra ID permiten gestionar la activación o desactivación de entidades no nativas, para ello necesita que este plugin recupere la información de los grupos necesarios.

Credenciales requeridas

Es necesario registrar una aplicación en Entra ID y generar el necesario client ID y secret para que el plugin pueda autenticar y adquirir los permisos necesarios para cada funcionalidad.

Gobierno activo

La acciones realizadas por este plugin son las siguientes:

  • Crear grupos: Se crearán grupos que representen a DSAs que pasen a estado aprobado. Para ello es necesario que la aplicación registrada tenga el permiso de “Group.Create” para poder crear los grupos.

  • Lectura usuarios: Se requiere la lectura de los campos para realizar la membresía. Para ello la aplicación requiere el permiso “User.Read”.

  • Añadir/Eliminar usuarios en grupos: En los grupos creados por el plugin se van a añadir y eliminar usuarios (el plugin no crea ni borra usuarios del Active Directory) en base a las adherencias y desadherencias sobre el DSA. Para ello la aplicación requiere los permisos “User.Read” para poder localizar los usuarios y “GroupMember.ReadWrite.All” para poder modificar los miembros del grupo con los usuarios localizados.

  • Eliminar grupos: El plugin eliminará aquellos grupos que representen a DSA que pasen a estados expirados de forma automática en Anjana. Para ello la aplicación requiere el permiso “Group.ReadWrite.All” para poder borrar grupos.

att_1_for_171999508.png
att_3_for_171999508.png

Edición de objetos

La acciones realizadas por este plugin son las siguientes:

Leer grupos: Se hará una petición para leer los datos de los grupos que representen a DSAs. Para ello es necesario que la aplicación registrada tenga el permiso de “Group.Read.All” para poder leer los grupos.

⚠️ Limitaciones Azure

El número máximo de usuarios en un grupo es de 100. Lo que significa que en un DSA que gobierne objetos en Azure no puede tener más de 100 personas adheridas (incluyendo owners), a partir de la 100 no se podrá aplicar gobierno activo.

El nombre del DSA (incluyendo el prefijo configurable) no debe contener los siguientes caracteres '@’, ‘(’, ‘)’, ‘\’, ‘[’, ‘]’, ‘;’, ‘:’, ‘<’, ‘>’ ni espacios en blanco ni superar los 64 caracteres (incluyendo el sufijo con la versión del dsa que incluye el plugin). Esta limitación sólo aplica si el DSA no tiene rellenado el campo del nombre físico y se espera que cree el grupo automáticamente.