Aprovisionamiento de System for Cross-domain Identity Management (SCIM)

Una vez configurado el inicio de sesión único (SSO), podrás configurar Udemy para el aprovisionamiento de System for Cross-domain Identity Management (SCIM 2.0)  en Azure Active Directory (AD) con Udemy Business. Esto te permitirá aprovisionar, desaprovisionar, crear grupos, gestionar la pertenencia a grupos y cambiar los datos de los perfiles de usuario, como el nombre y la dirección de correo electrónico de Azure AD, que se actualizarán automáticamente en Udemy Business. Ya no tendrás que actualizar Azure AD y Udemy Business por separado con estas acciones, puesto que todo se sincronizará desde Azure AD.

Para activar el aprovisionamiento de SCIM para tu cuenta de Udemy Business, en primer lugar ve a tu cuenta de Udemy Business y accede a Gestionar > Configuración > Aprovisionamiento (SCIM).

Haz clic en Comenzar configuración, y sigue las instrucciones para activar SCIM y generar el token secreto (token de portador), que después tendrás que introducir en Azure AD.

Notas:

• El SSO debe estar activado antes de activar el SCIM
• El inicio de sesión único y el aprovisionamiento están disponibles para clientes del plan Enterprise de Udemy Business.
• Los usuarios aprovisionados a través de Azure AD no contarán para una licencia hasta que inicien sesión en la aplicación de Udemy Business por primera vez. 
• Los cambios de aprovisionamiento de SCIM sólo pueden sincronizarse de Azure AD a Udemy Business, no al revés. 
• Los usuarios y grupos gestionados por SCIM en Azure AD no se pueden cambiar dentro de la aplicación de Udemy Business; SCIM es la única fuente de datos de usuarios y grupos.
• Puedes seguir creando grupos de forma manual en Udemy Business si tienes usuarios que no necesitas o quieres eliminar de Azure AD, como por ejemplo contratistas o personal temporal.

Configurar el aprovisionamiento de SCIM con Azure AD

1. Para activar el aprovisionamiento de SCIM para Udemy Business, en primer lugar ve a tu cuenta de Udemy Business y accede a Gestionar > Configuración > Aprovisionamiento (SCIM).
2. Haz clic en Comenzar configuración, selecciona tu proveedor de identidad y sigue las instrucciones para generar el token secreto (token de portador), que después tendrás que introducir en Azure AD.   
3. Después, accede a tu cuenta de Azure AD, ve a la aplicación de SSO de Udemy Business y realiza los siguientes pasos para configurarla. También puedes consultar la guía de configuración de Microsoft para el aprovisionamiento de SCIM con Azure AD si necesitas más ayuda.   

   Dirígete a la pestaña Aprovisionamiento en el portal de Azure. 

   (Nota: udemyazure es un nombre de prueba que hemos usado en las siguientes capturas con el fin de ilustrar cómo configurar SCIM; debes localizar la aplicación que denominara tu equipo al configurarlo en tu propia instancia). 

4. Elige Automático como Modo de aprovisionamiento. 
5. En la sección Credenciales de administrador:   

   La URL de inquilino es: https://tudominio.udemy.com/scim/v2 (tudominio es la URL de tu cuenta de Udemy Business).

   Token secreto: Este es el token de "portador" que puedes generar o ver dentro de tu cuenta de Udemy Business (dirígete a Gestionar > Configuración > Acceso de los usuarios para obtener el token secreto).
6. Haz clic en Probar conexión para comprobar si funciona correctamente.
   Opcional: Puedes introducir una dirección de correo electrónico si deseas recibir alertas de Azure sobre errores. 
   
7. En Asignaciones:
   Comprueba la asignación de atributos:
   
   Comprueba que userName, active, emails[type eq "work"].value y externalId se hayan agregado al atributo customappsso, ya que estos campos son necesarios para que el aprovisionamiento de SCIM funcione en Udemy.
   Comprueba que el correo electrónico del usuario esté asignado a emails[type eq "work"].value
   
   Comprueba que el atributo Switch([IsSoftDeleted], , "False", "True", "True", "False") esté asignado a activo. Esto permitirá aprobar la desactivación de usuarios.
   
   
8. Desplázate hasta la parte inferior de la asignación de atributos de usuario y activa Mostrar opciones avanzadas.
   
   Selecciona Editar lista de atributos para customappsso y activa Caso exacto para id y userName
   
   
9. Vuelve a la pantalla principal de configuración del aprovisionamiento:
   Cambia el botón Estado de aprovisionamiento a Activado. 
   
10. Elige el Ámbito que desees para sincronizar los usuarios y los grupos. 
    Puedes sincronizar sólo los usuarios que estén asignados a la aplicación Udemy Business si necesitas restringir el acceso a ciertos empleados o departamentos.
    También puedes sincronizar todos los usuarios y grupos si todos los empleados van a tener acceso. 
    Para aprovisionar a más usuarios y grupos con el acceso a Udemy Business:
    
11. Haz clic en Usuarios y grupos  
    
    
12. Haz clic en Agregar usuario (que te dará la opción de agregar tanto usuarios como grupos).
    Selecciona todos los usuarios o grupos que quieras añadir a la aplicación y haz clic en Seleccionar.  
    
    

Solución de problemas

Con respecto a las Asignaciones:  

Si te encuentras con este error al aprovisionar:

{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['Este campo es obligatorio.']}"}

Debes cambiar la asignación del usuario.  

emails[type eq "work"].value se tiene que asignar a userPrincipalName, si userPrincipalName es donde está el correo electrónico.

Si te diriges al perfil del usuario, deberías poder ver qué campo contiene el correo electrónico.

Una vez configurado el inicio de sesión único (SSO), podrás configurar el aprovisionamiento de System for Cross-domain Identity Management (SCIM) en OneLogin con Udemy Business. Esto te permitirá aprovisionar, desaprovisionar, crear grupos, gestionar la pertenencia a grupos y cambiar los datos de los perfiles de usuario, como el nombre y la dirección de correo electrónico de OneLogin, que se actualizarán automáticamente en Udemy Business. Ya no tendrás que actualizar OneLogin y Udemy Business por separado con estas acciones, ya que todo se sincronizará desde OneLogin.

En este artículo se explica cómo configurar el aprovisionamiento de SCIM con OneLogin. 

Cómo activar el aprovisionamiento de SCIM

Para activar el aprovisionamiento de SCIM para tu cuenta de Udemy Business, en primer lugar ve a tu cuenta de Udemy Business y accede a Gestionar > Configuración > Aprovisionamiento (SCIM).

Haz clic en Comenzar configuración, y sigue las instrucciones para activar SCIM y generar el token secreto (token de portador), que después tendrás que guardar en OneLogin.

Después, accede a tu cuenta de OneLogin, ve a la aplicación de SSO de Udemy Business y sigue los siguientes pasos para configurarla. 

También puedes encontrar información adicional sobre cómo aprovisionar usuarios en el centro de asistencia de OneLogin.

1. En el panel de administrador, haz clic en la pestaña de aplicaciones:
   
2. Accede a la pestaña "Configuración". En la pestaña "Configuración", introduce el token de portador de SCIM de tu cuenta de Udemy Business que se generó en los pasos anteriores y establécelo en "Activado".
   
   
3. A continuación, accede a la pestaña "Aprovisionamiento" y marca la casilla "Activar aprovisionamiento":

Crear una regla para sincronizar el grupo de un usuario con Udemy Business

OneLogin utiliza el concepto de "reglas" para sincronizar un usuario con un grupo determinado en tu cuenta de Udemy Business. Existen muchas formas de crear reglas en función de los diferentes requisitos para sincronizar grupos. A continuación te mostramos un ejemplo específico de cómo crear una regla para sincronizar un usuario con un grupo llamado "Ingenieros".

1. Accede a la pestaña "Reglas" y selecciona "Añadir regla":
   
   
2. Requisito previo: Antes de continuar con el siguiente paso, ponte en contacto con nuestro equipo de asistencia para solicitar que habilite la marca de la función que permitirá extraer grupos de SCIM de Udemy Business. Con esta función activada, puedes extraer los grupos existentes de Udemy Business y acceder a ellos en OneLogin.
3. En la pantalla "Editar asignaciones" puedes configurar la lógica de la regla. En este ejemplo, creamos una regla donde la lógica es "Si el grupo del usuario es Grupo de ingeniería, la acción será establecer el grupo del usuario en Udemy Business en Ingenieros":
   Para extraer grupos "De existentes" en Udemy Business, deberás actualizar los derechos.
   
   
4. Accede a la pestaña "Parámetros":
   
   
5. Haz clic en el campo "Grupos":
   
   
6. Marca la casilla "Incluir en aprovisionamiento de usuarios" y guárdalo:
   
   
7. Ahora, después de añadir un usuario a OneLogin y establecer el grupo de ese usuario en "Grupo de ingeniería":
   
   
8. Una vez que el usuario se añada a la aplicación de Udemy Business y se sincronice, en función de esta regla, el usuario se añadirá al grupo "Ingenieros" de tu cuenta de Udemy Business:
   
   

 

Udemy Business admite el acceso de usuarios y grupos y la gestión de identidades de forma automatizada con el estándar System for Cross-domain Identity Management (SCIM). Los servicios de inicio de sesión único (SSO) y los proveedores de identidad utilizan SCIM para gestionar usuarios en toda una variedad de aplicaciones y herramientas, como Udemy Business.

SCIM puede ser la opción ideal para aquellas organizaciones que deseen ampliar el alcance, mejorar la seguridad y reducir la fricción de la gestión de usuarios para Udemy Business.

Posibilidades que ofrece SCIM:

• Aprovisionar de forma automática licencias y acceso a usuarios y grupos del proveedor de identidad (aprovisionamiento).
• Desactivar de forma automática usuarios y grupos del proveedor de identidad (desaprovisionamiento).
• Reactivar usuarios a los que se les retiraron los derechos de acceso anteriormente (siempre y cuando la información de identificación personal del usuario no se haya anonimizado)..
• Actualizar la información del usuario: nombre, dirección de correo electrónico.
• Crear, eliminar o editar grupos
• Gestionar la pertenencia a grupos (cambios de grupos de los usuarios)

Cosas que no puedes hacer con SCIM:

• Eliminar la información de identificación personal (IIP) de usuarios a través de SCIM en proveedores de identidad.
• Sincronización de los datos de Udemy Business en el proveedor de identidad.
• Gestionar funciones (administradores, administradores de grupo, usuarios).
• Asignar licencias de Udemy Business Pro.
• Nota: Al contrario que los usuarios a los que se invita manualmente desde el portal de gestión de usuarios de Udemy Business, los usuarios aprovisionados mediante SCIM no recibirán una invitación por correo electrónico generada automáticamente para reclamar su licencia de Udemy Business.  Se recomienda que tu equipo de aprendizaje envíe una comunicación independiente en la que explique a los usuarios cómo pueden obtener acceso iniciando sesión con su proveedor de SSO.

Una vez que realices cualquiera de las acciones anteriores admitidas, los datos o el cambio se actualizarán automáticamente en Udemy Business.

Puntos clave acerca de la integración de SCIM para tu cuenta de Udemy Business

• La configuración de la integración de SCIM varía en función del proveedor de identidad que utilices. 
• Udemy Business admite el aprovisionamiento de SCIM para los proveedores de identidad y los servicios de SSO clave que ofrecen gestión de acceso e identidad.
• El aprovisionamiento de SCIM está disponible para clientes del plan Enterprise y que utilicen inicio de sesión único (SSO).
• Los usuarios aprovisionados a través de SCIM en tu servicio de SSO no contarán para una licencia hasta que se unan a Udemy Business al iniciar sesión por primera vez. Si un usuario se ha aprovisionado mediante SCIM, pero aún no ha iniciado sesión por primera vez, se mostrará en la página Todos los usuarios con el estado Sin licencia.
  • En el caso de los clientes que hayan comprado licencias de Udemy Business Pro para todos los usuarios, las licencias Pro se asignarán automáticamente cuando los usuarios acepten las invitaciones o realicen la autenticación mediante SSO/SCIM.

Cómo activar el aprovisionamiento de SCIM

Para activar el aprovisionamiento de SCIM para tu cuenta de Udemy Business, en primer lugar ve a tu cuenta de Udemy Business y accede a Gestionar > Configuración > Aprovisionamiento (SCIM).

Desplázate hasta la sección Integración de SCIM. A continuación, sigue las instrucciones para activar SCIM, selecciona tu proveedor de identidad en la lista desplegable y genera las credenciales (nombre de usuario y contraseña o token secreto/de portador), que necesitarás para introducirlas en tu proveedor de identidad como parte de la configuración.

En función del proveedor de identidad que utilices, sigue las instrucciones de la guía correspondiente que aparece a continuación para completar la configuración de SCIM.

Guía de configuración de Okta 

Guía de configuración de Azure AD

Guía de configuración de OneLogin

Si usas otros proveedores de identidad o tus propias herramientas, consulta la guía de  configuración de API SCIM de Udemy.

Cómo desactivar el aprovisionamiento de SCIM

Para desactivar el aprovisionamiento de SCIM para tu cuenta de Udemy Business (si vas a cambiar de proveedor o ya no necesitas SCIM), accede a Gestionar > Configuración > Aprovisionamiento (SCIM).

Desplázate hasta la sección Integración de SCIM, haz clic en el enlace Desactivar integración y sigue las instrucciones para desactivar SCIM. De esta forma se desactivará la integración en Udemy Business, pero tu equipo de TI también tendrá que desactivar la integración en el proveedor de identidad. 

Puedes seguir usando Udemy Business con normalidad, pero tendrás que actualizar manualmente la información de usuario y grupo en la plataforma a partir de ahora.

Desaprovisionamiento de usuarios con SCIM

Ten en cuenta que, tras su desaprovisionamiento, los usuarios de Udemy Business del proveedor de identidad se desactivarán en Udemy Business.  Se trata de una "eliminación" no definitiva que implementamos para conservar el historial del estudiante, por si en un futuro el usuario se reactiva, y para evitar que los datos del usuario se anonimicen de manera accidental e irreversible.  Se deseas eliminar un usuario y todos sus datos de forma permanente, sigue las siguientes instrucciones:

Cómo eliminar la IIP de estudiantes gestionados por SCIM

Si quieres desconectar a un estudiante para que no sea gestionado por tu proveedor de identidad con SCIM, puedes hacerlo de la siguiente manera: desaprovisiónalo en el Active Directory de tu SSO y, a continuación, elimina su IIP en tu cuenta de Udemy Business. 

• Aprende a anonimizar a un estudiante en Udemy Business.

Si necesitas gestionar a un estudiante directamente desde tu cuenta de Udemy Business en lugar de mediante el proveedor de identidad de SSO y no deseas eliminar su IIP, ponte en contacto con nuestro equipo de asistencia para obtener ayuda adicional.

En esta guía se proporcionan los pasos que deben seguir los clientes actuales de Okta y Udemy Business para configurar el aprovisionamiento automático, el desaprovisionamiento, las actualizaciones de perfiles y la gestión de grupos de Udemy Business utilizando System for Cross-domain Identity Management (SCIM 2.0).

Notas:

• Si ya has habilitado el inicio de sesión único (SSO) en la aplicación de Udemy Business anterior, no tienes que volver a configurar el SSO; simplemente, busca la pestaña Aprovisionamiento en Aplicaciones en Okta para configurar el SCIM. 
• Si tu SSO lo ha configurado manualmente un miembro de nuestro equipo, debes añadir nuestra nueva aplicación de Udemy Business a tu cuenta de Okta. Puedes hacerlo desde Aplicaciones, buscando Udemy Business. Dado que esta es una nueva versión de nuestra aplicación en Okta, es posible que los clientes actuales tengan que volver a configurar el inicio de sesión único (SSO) antes de habilitar el aprovisionamiento de SCIM. (A continuación se detallan paso a paso las instrucciones).
• Los usuarios aprovisionados a través de Okta no contarán para una licencia hasta que inicien sesión en la aplicación de Udemy Business por primera vez. 
• Los cambios de aprovisionamiento en SCIM sólo pueden sincronizarse de Okta a Udemy Business, no al revés. 
• Los usuarios y grupos gestionados por SCIM en Okta no se pueden cambiar dentro de la aplicación de Udemy Business; SCIM es la única fuente de datos de usuarios y grupos.

Contenido

• Características
• Requisitos
• Pasos de configuración
• Detección de esquemas
• Consejos para la resolución de problemas

Características

Se admiten las siguientes características de aprovisionamiento:

• SSO (inicio de sesión único) iniciado mediante un proveedor de identidad (IdP)
• Los usuarios podrán comenzar el proceso de inicio de sesión desde su panel de Okta
• SSO iniciado mediante un proveedor de servicios (SP)
• Los usuarios podrán acceder a [tu-subdominio.udemy.com] y comenzar el proceso de inicio de sesión desde su página de inicio de sesión de Udemy Business.
• Aprovisionamiento Just in Time (JIT)
• Los usuarios autenticados a través de SSO se asignarán a Udemy Business en su primer inicio de sesión.
• Todos los atributos de usuario que estén configurados para enviarse se actualizarán siempre que el usuario inicie sesión. Esto no se aplica a los usuarios de SCIM, ya que sólo están gestionados por SCIM.
• Usuarios push con aprovisionamiento Ahead of Time (SCIM)
• Los nuevos usuarios asociados a la aplicación de Udemy Business en Okta se crearán en Udemy Business.
• Actualizaciones de perfiles push (SCIM)
• Las actualizaciones aplicadas al perfil del usuario a través de Okta se enviarán a Udemy Business para los usuarios asociados a la aplicación de Udemy Business en Okta.
• Desactivación de usuarios push (SCIM)
• Desactivar un usuario o deshabilitar su acceso a la aplicación a través de Okta supondrá la desactivación del usuario en Udemy Business y su eliminación de todos los grupos.
• Nota: Para Udemy Business, la desactivación del usuario supone la eliminación de su acceso al inicio de sesión, aunque la información de usuario se mantiene en Udemy Business como usuario desactivado.
• Reactivar usuarios
• Las cuentas de usuarios se pueden reactivar en Udemy Business volviendo a asignar la aplicación a ese usuario a través de Okta.
• Push grupal (SCIM)
• Los grupos y sus miembros se enviarán a Udemy Business. La gestión de grupos se limita a los grupos enviados originalmente desde Okta, ya que no enviamos información de grupos creados en Udemy Business.

Pasos de configuración

Nota: 

• Si ya has habilitado el inicio de sesión único (SSO) en la aplicación de Udemy a través de Okta, no tienes que volver a configurar el SSO. Ve al paso 8. 
• Si nuestro equipo ha configurado tu SSO manualmente, debes volver a configurarlo con la aplicación de Udemy Business en Okta (pasos del 1 al 7).
• Puedes evitar los intervalos de inactividad de SSO ocultando el mosaico de Udemy Business en el panel de Okta hasta completar la nueva configuración de SSO y SCIM. 
• Junto a Visibilidad de aplicación, haz clic en "No mostrar el icono de la aplicación a los usuarios".

1 - Para comenzar, inicia sesión en tu cuenta de Udemy Business y ve a la página Acceso de los usuarios desde Gestionar > Configuración > Inicio de sesión único (SSO).

Haz clic en Comenzar configuración. Elige tu proveedor de identidad y sigue las instrucciones para habilitar SCIM y generar tus credenciales a fin de introducirlas en tu proveedor de identidad como parte del proceso de configuración.

2 - En Okta, accede a la página Aplicaciones desde la barra lateral.

3 - Haz clic en Explorar catálogo de aplicaciones, busca Udemy Business y haz clic en Añadir.

4 - Al añadir la aplicación de Udemy Business, se te redirigirá a la página Configuración general de aplicación - Requisitos tal y como se muestra a continuación.  Selecciona un nombre para la Etiqueta de aplicación y haz clic en Listo.

5 - A continuación, haz clic en la pestaña Inicio de sesión y en Editar.

Desplázate hacia abajo hasta Configuración avanzada de inicio de sesión, añade el valor Audience URI (SP Entity ID) en el campo correspondiente que se muestra a continuación y haz clic en Guardar.

d905a6ca-adf9-45e2-9b9d-0d6485f27206

6 - En la misma página, desplázate hasta SAML Signing Certificates (certificados de inicio de sesión de SAML).  Haz clic en Actions (acciones) y, a continuación, en View IdP metadata (ver metadatos del proveedor de identidad).  Copia la URL de metadatos en el portapapeles. 

(También puedes seleccionar Download certificate para descargar el archivo de metadatos en tu ordenador).

7 - Vuelve a tu cuenta de Udemy Business y accede a la configuración del Inicio de sesión único (SSO). En la página de configuración, elige el método de configuración de metadatos apropiado y sigue las instrucciones para crear una conexión SSO con tu proveedor de identidad y Udemy Business.

8 - Ahora que el SSO está habilitado para Okta, podemos proceder a activar el aprovisionamiento (SCIM).  Primero, haz clic en la pestaña Aprovisionamiento y, a continuación, en Configurar integración de API.

9 - Haz clic en Habilitar integración de API y añade tu subdominio, CLIENT_ID como nombre de usuario y SECRET_ID como contraseña. 

[Puedes generar o ver estas credenciales en tu cuenta de Udemy Business accediendo a la página Aprovisionamiento (SCIM) en Gestionar -> Configuración].

10 - Haz clic en Probar credenciales API y deberías ver un mensaje que indique que has finalizado la integración SSO correctamente. De lo contrario, envía un mensaje al equipo de asistencia de Udemy Business con el mensaje de error que aparece.

11 - Haz clic en Guardar y se te redirigirá a la página de configuración Aprovisionamiento de la aplicación.

12 - En el enlace A la aplicación, haz clic en Editar para habilitar características una por una. Para utilizar todas las funciones, recomendamos habilitar Crear usuarios, Actualizar atributos de usuarios y Desactivar usuarios en esta página.

13 - Haz clic en Guardar

14 - Haz clic en la pestaña Tareas para asignar Udemy Business a usuarios específicos o grupos enteros. Los usuarios asignados se aprovisionarán automáticamente tras ser añadidos, se modificarán de forma automática cuando se realicen cambios en sus perfiles y se desactivarán cuando se eliminen de las asignaciones.

15 - Haz clic en la pestaña Grupos push para enviar grupos y su información de pertenencia a Udemy Business.

16- Haz clic en + Grupos push y selecciona los grupos que deseas enviar a Udemy Business.

Podrás seleccionar cada grupo o crear una regla automática.

17 - Selecciona los criterios de búsqueda de grupo y rellena la información solicitada para los grupos que quieres que envíen información a Udemy Business.

18 - Tras seleccionar el grupo, marca Enviar miembros de grupo inmediatamente para enviar el grupo, además de sus miembros, tan pronto como lo selecciones, y haz clic en Guardar.

19 - Sigue los pasos previos para seleccionar todos los grupos que deseas enviar a Udemy Business.

Nota: Tras el envío de información de usuarios o grupos por parte de Okta a Udemy Business, consideraremos Okta la fuente de datos y no se permitirán cambios en los perfiles de usuario ni en los grupos en Udemy Business.

Descripción general

System for Cross-domain Identity Management (SCIM) es una API para la automatización del aprovisionamiento y desaprovisionamiento de usuarios y grupos, así como para la actualización de datos de usuarios y grupos del proveedor de identidad (IdP) del cliente en la cuenta de Udemy Business.  SCIM es compatible con diferentes proveedores de identidad, como Okta, Azure AD y OneLogin.  Además, también puedes utilizar la API SCIM de Udemy Business en caso de que uses otros proveedores de identidad o tus propias herramientas.

Si tu organización utiliza uno de los siguientes proveedores de identidad, consulta las siguientes guías para configurar el aprovisionamiento de SCIM:

• Configurar el aprovisionamiento de SCIM con Okta
• Configurar el aprovisionamiento de SCIM con Azure Active Directory (AD)
• Configurar el aprovisionamiento de SCIM con OneLogin

SCIM utiliza una API REST estandarizada con datos en formato JSON. Udemy Business es compatible con la versión 2.0 del estándar SCIM. La API está disponible para todos los clientes del Plan de empresa.

La API SCIM de Udemy Business es compatible con las siguientes funciones: 

• Aprovisionamiento de usuarios
• Desaprovisionamiento de usuarios (desactivación)
• Cambio de direcciones de correo electrónico
• Cambio de los detalles del usuario
• Aprovisionamiento de grupos
• Adición/eliminación de usuarios en grupos

Descripción del protocolo SCIM

El protocolo SCIM es un protocolo REST de nivel de aplicación para aprovisionar y gestionar los datos de identidad en el sitio web. El protocolo es un servidor cliente en el que el cliente es el proveedor de identidad (IdP) y el servidor es Udemy Business.

El flujo básico es:

• Cuando el cliente concede acceso a Udemy Business al usuario en el IdP, el IdP nos envía una solicitud para comprobar si el usuario específico existe en nuestra base de datos. Nos envía una solicitud de búsqueda de usuario mediante un atributo como userName o email.
• Si el usuario no existe, el IdP envía una solicitud para crear un usuario.
• Si el usuario existe, el IdP envía una solicitud de actualización para el usuario.
• Cuando se revoca el acceso a Udemy Business, el IdP nos envía una solicitud para desactivar al usuario de nuestra base de datos.
• El IdP también puede enviar solicitudes para cambiar los detalles del usuario.

¿Cómo se accede a la API?

Para obtener las credenciales de autorización que permiten conectarse a la API SCIM, deberás configurar la integración de SCIM mediante la página Gestionar -> Configuración -> Aprovisionamiento (SCIM) en tu cuenta de Udemy Business. Ten en cuenta que sólo los administradores tienen acceso a esta página. 

Haz clic en Comenzar configuración.

Ahora, selecciona Elegir proveedor y, a continuación, Personalizado.

  Haz clic en Generar token.

En esta pantalla, haz clic en Copiar para copiar el token de portador en el portapapeles.

Deberás incluir el encabezado HTTP Autorización con el token de portador en tus solicitudes, por ejemplo:

GET /scim/v2/Users HTTP/1.1

 Host: myorganization.udemy.com

 Aceptar: application/scim+json

 Autorización: Portador <introduce tu token de portador aquí>

 Content-Type: application/scim+json

La API SCIM de Udemy Business utiliza el protocolo HTTP y sólo está disponible mediante una conexión HTTPS segura.

La URL base para la API es https://<organization>.udemy.com/scim/v2/. 

Si estás desarrollando una aplicación para interactuar con la API SCIM de Udemy Business, se recomienda consultar los RFC SCIM incluidos al final de este documento. La implementación de la API SCIM de Udemy Business cumple con el estándar.

Endpoints de la API SCIM

Endpoints informativos

Estos endpoints son información y sirven para configurar los clientes. No requieren autenticación, por lo que no necesitas incluir encabezado de autorización al acceder a estos endpoints.

GET /ServiceProviderConfig

Proporciona detalles sobre la implementación de SCIM de Udemy Business, incluidos los métodos compatibles.

GET /Schemas

Proporciona información sobre los esquemas compatibles con nuestra implementación de SCIM. Los esquemas compatibles son Usuarios y Grupos.

GET /Schemas/Users

Proporciona todos los atributos compatibles con los recursos de usuario. 

GET /Schemas/Groups

Proporciona todos los atributos compatibles con los recursos de grupo.

Endpoints de usuario

Usar estos endpoints te permite crear listas de usuarios, filtrar por atributos, agregar nuevos usuarios, actualizar la información del usuario o desactivar/anonimizar usuarios. Ten en cuenta que solo podrás acceder a usuarios que se crearon con la API SCIM, los usuarios creados por Udemy Business no estarán disponibles a menos que los reconcilies mediante SCIM. A continuación se ofrecen más detalles sobre la reconciliación.

Atributos compatibles

Atributo de SCIM	¿Necesario?	Descripción
userName	Sí	El nombre de usuario del IdP. Debe ser único.
nombre, { givenName, familyName }	No	El nombre y el apellido del usuario. Aunque no se requieren, recomendamos especificar siempre estos atributos, ya que resultará más sencillo identificar a los usuarios.
emails[type=”work”]]['value’]	Sí	Dirección de correo electrónico del usuario, que debe ser única
active	Sí	Marcar para desactivar/reactivar usuarios
title	No	Función o título del usuario, p. ej., “Ingeniero sénior”
externalId	Sí	El ID externo del usuario en IdP. Debe ser único.

Nota: si especificas otro atributo que no esté en la lista, se ignorará.

GET /Users

Proporciona una lista de usuarios paginada, con 12 usuarios por página de forma predeterminada. Puedes utilizar los parámetros count y startIndex para paginar el conjunto de resultados. Por ejemplo:

GET /scim/v2/Users?startIndex=1&count=100 HTTP/1.1

 Host: myorganization.udemy.com

 Aceptar: application/scim+json

 Autorización: portador <introduce tu token de portador aquí>

• startIndex es el índice basado en 1 del primer resultado en el conjunto actual de los resultados de la lista (compensación)
• count es el número de recursos encontrados en una página de respuesta de la lista (límite). No puedes recuperar más de 1000 usuarios en una única solicitud. Si este elemento se omite, el límite cambiará a 12 de forma predeterminada.

GET /Users?filter=

Este endpoint se utiliza para filtrar usuarios por atributos específicos. Por ejemplo, es posible buscar por el atributo userName:

GET /Users?filter=userName eq "gloria.graynor”

Nota: En el ejemplo anterior, deberás codificar con URL los parámetros de URL de modo que la URL sea:
GET /Users?filter=userName%20eq%20%22gloria.graynor%22

Proporcionará una lista de recursos de usuarios. Si no hay resultados, se mostrará una lista vacía.

Los filtros compatibles son:

• userName
• externalId
• emails[type=”work”]]['value’]

Los operadores compatibles son:

• y
• eq

Respuesta:

• Código de estado de HTTP 200 con la lista de entidades correcta
• Código de estado de HTTP 501 si se proporciona un filtro no compatible

POST /Users

Este endpoint se utiliza para crear (aprovisionar) nuevos usuarios en Udemy Business. 

La respuesta contendrá un atributo id que deberá utilizarse al referirse a este usuario en todas las solicitudes posteriores.

Ten en cuenta que:

• Los nuevos usuarios creados de este modo no consumirán una licencia hasta que ese usuario inicie sesión por primera vez.
• En este momento, si existía una invitación pendiente para este usuario, se utilizará.
  Se añadirá al usuario a grupos, se le asignarán tareas de función/curso adecuadas en función de lo especificado en la invitación.
• Un intento de crear un usuario que ya existe en Udemy Business provocará que SCIM pase a gestionar dicho usuario (se mostrará con un pequeño icono de enlace en las páginas de gestión de usuarios). Ten en cuenta que el estado del usuario y el uso de la licencia no se modificará. Si el usuario estaba activo, seguirá activo y si el usuario estaba desactivado, permanecerá desactivado.

Respuesta:

• Código de estado de HTTP 201 y el recurso del usuario correcto
• Código de estado de HTTP 409 si el miembro con el mismo userName ya existe en la organización
• Código de estado de HTTP 400 con los detalles del error en el cuerpo de la respuesta si la solicitud no ha pasado la validación

GET /Users/<id>

Este endpoint se utiliza a fin de recuperar los detalles de un usuario específico. El parámetro id en la anterior solicitud es un identificador único que se proporcionó cuando el usuario se creó con SCIM o al elaborar la lista de todos los usuarios existentes.

Respuesta:

• Código de estado de HTTP 200 con el recurso del usuario correcto
• Código de estado de HTTP 404 si no se ha encontrado el usuario

PUT /Users/<id>

El endpoint se utiliza para sustituir (sobrescribir) los detalles del usuario en Udemy Business. Si se especifica, el atributo active puede utilizarse para desactivar o reactivar el usuario.

Respuesta:

• Código de estado de HTTP 200 y el recurso de usuario actualizado
• Código de estado de HTTP 404 si el usuario no existe. 
• Código de estado de HTTP 400 en caso de intento de desactivar a un propietario de organización.

PATCH /Users/<id>

Este endpoint se utiliza para realizar actualizaciones parciales en los detalles del usuario en nuestro sistema, lo que significa que puedes utilizarlo para cambiar solamente algunos atributos del usuario. A diferencia de PUT, que sustituye al usuario en su totalidad. 

Puede contener el atributo active, que provocará que se desactive o reactive al usuario.

• El cuerpo de cada solicitud DEBE contener el atributo "schemas" con el valor URI de "urn:ietf:params:scim:api:messages:2.0:PatchOp".
• El cuerpo de una solicitud de HTTP PATCH DEBE contener el atributo "Operations", cuyo valor es un conjunto de una o más operaciones PATCH.  Cada objeto de operación PATCH DEBE tener exactamente un miembro "op", cuyo valor indica la operación que se va a realizar y que SERÁ la de "añadir", "eliminar" o "sustituir".
• El atributo “path” puede estar vacío, en este caso, “value” debería ser un diccionario con el formato {“path”: “value”}.

Respuesta:

• Código de estado de HTTP 200 con el recurso del usuario actualizado correcto
• Código de estado de HTTP 404 si no se ha encontrado el usuario
• Código de estado de HTTP 400 en caso de intento de desactivar a un propietario de organización o de una operación inválida.

Endpoints de grupo

Atributos compatibles

Atributo de SCIM	¿Necesario?	Descripción
displayName	Sí	Título del grupo. Debe ser único entre todos los grupos de Udemy Business.
externalId	No	El ID externo del grupo del proveedor de identidad

Nota: si especificas otro atributo que no esté en la lista, se ignorará.

GET /Groups

Este endpoint se utiliza para obtener una lista de paginación de todos los grupos aprovisionados. Incluye los parámetros de cadena de consulta de startIndex e count para paginar los resultados. 

Ten en cuenta que sólo se proporcionarán los grupos creados utilizando SCIM. No se mostrarán los grupos creados para Udemy Business.

GET /Groups?filter=

Este endpoint se utiliza para filtrar grupos por atributos específicos. Por ejemplo, es posible buscar por el atributo displayName:

GET /Groups?filter=displayName eq "Marketing”

Proporcionará una lista de recursos de grupo. Si no hay resultados, se mostrará una lista vacía.

Ten en cuenta que deberás codificar con url los parámetros, de modo que la solicitud sea:
GET /Groups?filter=displayName%20eq%20%22Marketing%22

Los filtros compatibles son:

• displayName
• externalId
• Id
• member.value

Los operadores compatibles son:

• y
• eq

Respuesta:

• Código de estado de HTTP 200 con la lista de entidades correcta
• Código de estado de HTTP 501 si se utiliza el filtro no compatible

POST /Groups

Este endpoint se utiliza para crear (aprovisionar) nuevos grupos en Udemy Business. 

Respuesta:

• Código de estado de HTTP 409 Si el grupo aprovisonado con el mismo nombre ya existe en la organización, mostraremos 409 (conflicto) con un código de error scimType de exclusividad.
• Cuando el grupo se haya creado correctamente, mostraremos la representación completa del grupo con el código de estado HTTP 201 (creado) junto con el encabezado de ubicación que contiene la URL del recurso de grupo creado.

GET /Groups/<id>

Este endpoint se utiliza para adquirir los detalles de grupo de Udemy Business. 

Respuesta:

• Código de estado de HTTP 200 y el recurso de grupo
• Código de estado de HTTP 404 si no se ha encontrado el grupo

PUT /Groups/<id>

Este endpoint se utiliza para sustituir los detalles de grupo en Udemy Business.

Respuesta:

• Código de estado de HTTP 200 y el recurso de grupo actualizado 
• Código de estado de HTTP 404 si el grupo no existe. 

PATCH /Groups/<id>

Este endpoint se utiliza para realizar actualizaciones parciales a los detalles de grupo en Udemy Business. 

El endpoint PATCH es más complejo que los demás, ya que admite diferentes tipos de operaciones (que se pueden combinar):

• La operación de sustitución cambia el valor especificado. En nuestro caso puede ser nombre del grupo o miembros.
• La operación de eliminación elimina un miembro del grupo.
• La operación de adición añade miembros al grupo.

Las reglas son las siguientes:

• Nunca eliminamos a miembros sin aprovisionamiento del grupo (en el caso de la operación para sustituir miembros, por ejemplo).
• La solicitud de PATCH, independientemente del número de operaciones, DEBE tratarse como atómica.

Las validaciones de entrada son las siguientes:

• El cuerpo de cada solicitud DEBE contener el atributo "schemas" con el valor URI de "urn:ietf:params:scim:api:messages:2.0:PatchOp".
• El cuerpo de una solicitud de HTTP PATCH DEBE contener el atributo "Operations", cuyo valor es un conjunto de una o más operaciones PATCH.  Cada objeto de operación PATCH DEBE tener exactamente un miembro "op", cuyo valor indica la operación que se va a realizar y que SERÁ la de "añadir", "eliminar" o "sustituir".
• El atributo “path” puede estar vacío, en este caso, “value” debería ser un diccionario con el formato {“path”: “value”}.
• Para la operación "Eliminar” se requiere la ruta “members”.
• Para la operación “Añadir” deben estar presentes las rutas “members” o “externalId”.
• Para la operación “Sustituir” debe estar presente la ruta “members”. Si no está presente, significa que estamos sustituyendo los detalles del grupo, como el nombre del grupo, pero no los miembros.

Nota:

• La asignación y cancelación de la asignación de usuarios a un grupo se produce de forma asincrónica, de modo que los cambios no se reflejarán inmediatamente en Udemy Business.
• No admitimos grupos anidados, por lo que se ignorarán durante esta solicitud.

Respuesta:

• Código de estado de HTTP 204 si la operación se ha realizado correctamente.
• Código de estado de HTTP 404 si el grupo no existe.
• Código de estado de HTTP 404 con los detalles del error si se produce un intento de asignar un grupo a un usuario que no es miembro de la organización.
• Código de estado de HTTP 400 con los detalles del error en el cuerpo de la respuesta si la solicitud no ha pasado la validación

DELETE /Groups/<id>

Este endpoint se utiliza para eliminar o desaprovisionar un grupo en Udemy Business. Al eliminar un grupo, no se eliminarán los usuarios de ese grupo. Los usuarios sólo se quitarán del grupo eliminado.

Las reglas son las siguientes:

• Si el grupo contiene miembros no aprovisionados, elimine los usuarios no aprovisionados del grupo y elimine el registro "OrganizationSCIMGroup".

Respuesta:

• Código de estado de HTTP 204 si la operación se ha realizado correctamente.
• Código de estado de HTTP 404 si el grupo no existe.

Leer más

• Descripción general de SCIM: http://www.simplecloud.info
• RFC 7642, SCIM - Definiciones, descripción general, conceptos y requisitos: https://tools.ietf.org/pdf/rfc7642.pdf
• RFC 7643, SCIM - Esquema principal: https://tools.ietf.org/pdf/rfc7643.pdf
• RFC 7644, SCIM - Protocolo: https://tools.ietf.org/pdf/rfc7644.pdf

 

Tus usuarios tienen dos formas de acceder a tu cuenta de Udemy Business: mediante el inicio de sesión único y a través de una invitación enviada por los administradores/administradores de grupo.

Esta función es una opción adicional si utilizas el proceso de invitación, ya que permite a tus usuarios enviarse ellos mismos el correo electrónico de invitación desde la página de inicio de tu cuenta (p. ej., company.udemy.com), siempre que usen un dominio de correo electrónico aprobado/verificado que tú mismo o el administrador hayáis definido previamente.

Cómo aprobar un dominio de dirección de correo electrónico

Los administradores pueden especificar un dominio de correo electrónico aprobado (o varios) para unirse a tu cuenta de Udemy Business en la página Acceso de dominio de correo electrónico de la sección Configuración.

Esta función está disponible en los planes Team y Enterprise, aunque sólo los propietarios y los administradores (no los administradores de grupo) podrán configurar el dominio de correo electrónico aprobado en la página Acceso de dominio de corrreo electrónico.

Compartir la URL de la página de inicio de tu cuenta para que los usuarios se registren

Puedes compartir la URL de la página de inicio de tu cuenta de Udemy Business con los usuarios y los grupos de la empresa que deban tener acceso. La URL se puede compartir por Slack, correo electrónico, wiki, intranet o simplemente añadiendo el enlace del sistema de gestión de aprendizaje (LMS).

El usuario puede acceder a la URL de la página de inicio de tu cuenta y usar su dirección de correo electrónico para registrarse, siempre y cuando esta dirección coincida con un dominio de correo electrónico aprobado y definido previamente por el administrador.

Cuando el usuario introduzca una dirección de correo electrónico aprobada, aparecerán instrucciones en la pantalla que le pedirán que compruebe su correo electrónico para verificar su cuenta.

Uso de licencias y verificación

Los usuarios deben completar el registro de su cuenta para poder solicitar su licencia. 

Si no hay licencias disponibles, el usuario verá el siguiente mensaje que le indicará que debe ponerse en contacto con su administrador o con el departamento de TI.

A continuación, el usuario tendrá que verificar la información de su cuenta a través del correo electrónico de verificación que ha recibido y que contiene un enlace. El enlace de verificación caducará en una hora*. Una vez que haya verificado su cuenta, el usuario podrá iniciar sesión, añadiendo su nombre, correo electrónico y contraseña.

*Ten en cuenta que los usuarios que utilizan el inicio de sesión único (SSO) o System for Cross-Domain Management (SCIM) quedan exentos de realizar este proceso de verificación. 

Si la dirección de correo electrónico que el usuario introduzca no coincide con el dominio de correo electrónico aprobado, aparecerá el siguiente mensaje y el usuario no podrá registrarse.

Si no hay licencias disponibles, el usuario verá el siguiente mensaje que le indicará que debe ponerse en contacto con su administrador o con el departamento de TI.

Los usuarios que se registren mediante el proceso de dominio de correo electrónico aprobado aparecerán en la pantalla Invitaciones pendientes de la sección Gestionar usuarios, pero tendrán el distintivo "Invitado mediante un correo electrónico aprobado".

Esta función está disponible en los planes para equipos y para empresas, aunque sólo los propietarios y los administradores (no los administradores de grupo) podrán configurar el dominio de correo electrónico aprobado en la página Acceso de los usuarios.