Proceso de Alta de Usuarios

1. Objetivo

Definir el proceso de alta de usuarios de punta a punta, integrando InvGate, Logic Apps, Active Directory on-premise, Microsoft Entra ID, Exchange Online y SuccessFactors (SSFF), con auditoría y manejo de errores.

2. Sistemas Involucrados

InvGate Gestión de tickets

Azure Logic Apps Orquestación del proceso

Azure Service Bus Mensajería asíncrona

Active Directory Directorio on-premise

Microsoft Entra ID Directorio en la nube

Exchange Online Correo electrónico

SuccessFactors (SSFF) Gestión de recursos humanos

SharePoint Lista completada con datos de InvGate

Azure Storage Table Auditoría

3. Datos de Entrada

Por cada usuario se requiere la siguiente información:

Nombre
Apellido
CUIL
Dominio (para armar UPN)
Manager (email)
Lista de distribución (email, opcional)
Si es usuario externo o no
Si requiere email

4. Lista de SharePoint completada con datos de InvGate

El archivo XLSX utilizado actualmente por Sacde será convertido a una lista de SharePoint. Esta lista no es el origen de los datos, sino que se completará de forma autónoma con la información que proviene de InvGate.

5. Flujo A – Alta de Usuario

A1. Inicio del Proceso

Se crea un ticket de alta de usuario en InvGate. La relación es 1 ticket = 1 usuario de alta. En el proceso de alta están involucradas muchas personas (diferentes responsables y roles). InvGate dispara una solicitud HTTP indicando una nueva solicitud de alta.

A2. Recepción del Evento

Una Logic App escucha el evento HTTP. Se genera un Correlation ID (Ticket + Usuario). Se registra auditoría inicial.

A3. Validación de CUIL en Entra ID

Al recibir el evento, se valida que el CUIL recibido no exista en Microsoft Entra ID.

Si el CUIL no existe → el proceso continúa como alta (creación) de usuario.
Si el CUIL existe → el proceso sigue como reactivación de usuario.

En reactivación, los pasos posteriores son los mismos que en creación, pero no se crea el usuario sino que se activa (el usuario ya existe en AD / Entra ID).

A4. Normalización de Datos

Se normalizan los datos del usuario:

displayName = Apellido Nombre
Normalización de texto:
- ñ → n
- Quitar tildes
- Espacios → guiones

A5. Construcción de Identidad

Se construyen los siguientes atributos:

sAMAccountName
userPrincipalName (UPN)
mail
proxyAddresses

Regla de email / UPN:

Primera letra del nombre + apellido
Si existe → primera letra del nombre + primera letra del segundo nombre + apellido

Si la segunda regla también existe → error funcional.

Si el usuario es externo, al email / UPN se le debe anteponer el prefijo ext_.

A6. Resolución de Manager

Se busca el manager en Entra ID usando su email. Si no se encuentra, el comportamiento se define según configuración de Sacde (advertencia o error).

A7. Generación de Contraseña

Se genera una contraseña aleatoria bajo estándar de seguridad de Sacde. Se marca must change password at next login. La contraseña se registra de forma temporal en el ticket de InvGate.

A8. Creación o activación en Active Directory

La Logic App envía un mensaje a Azure Service Bus. Un servicio on-premise consume el mensaje y crea el usuario en AD (o lo activa, en caso de reactivación). El usuario se crea o reactiva en una OU definida por Sacde.

A9. Espera de Sincronización

La Logic App consulta Microsoft Graph periódicamente. Se valida la existencia del usuario en Entra ID por UPN. El tiempo de espera y frecuencia de polling son definidos por Sacde.

A10. Post-sincronización

Una vez creado o activado el usuario, se lo agrega a los siguientes grupos de Microsoft Entra ID:

FGT_EMS_SACDE
FGT_MFA_Users
Intune_Condicional
Intune_Corporativo_Android
Intune_Corporativo_IOS
Intune_Personal_Android
Intune_Personal_IOS
Registracion_MFA_SSPR
SSO_SSFF_PRD
SSO_Concur_PRD
SSO_ETM_PRD
SSO_HEXAGON_PRD

Además:

Se asigna licencia Microsoft 365 E3 mediante grupo.
Se agrega el usuario a la lista de distribución (Exchange Online), si corresponde.

A11. Cierre de Tareas

Se actualiza el estado de la tarea del usuario en InvGate. El flujo avanza a la siguiente tarea o responsable dentro del ticket.

6. Flujo B – Validación de Datos SSFF

B1. Disparador

El proceso de validación comienza una vez creado el usuario en Active Directory y Microsoft Entra ID.

B2. Validación

Mediante Logic App se valida que los campos CUIL, email corporativo y legajo estén completos en SSFF.

En caso de que el email corporativo no esté completo, la Logic App se encarga de popular el dato.

B3. Resultado

El ticket queda actualizado según el resultado de la validación: correcto o con indicación de lo que falta.

7. Manejo de Errores

Errores Funcionales

Colisión de email/UPN
Manager inexistente
Datos obligatorios incompletos

Acción: Comentario en InvGate y tarea en estado "Requiere intervención".

Errores Técnicos

Service Bus no disponible
Error en servicio on-prem
Error en Microsoft Graph o Exchange

Acción: Reintentos automáticos, registro de auditoría y notificación según defina Sacde.

8. Auditoría

Se registra auditoría en Azure Storage Table por cada paso:

Ticket
Usuario
Acción
Timestamp
Resultado
Detalle de error (si aplica)

9. Diagrama de Flujo del Proceso

Instrucciones: Haz clic y arrastra para mover el diagrama. Usa la rueda del mouse o los botones para hacer zoom. También puedes usar Ctrl + rueda del mouse para zoom.

Zoom: 100%

10. Pendientes a Definir con Sacde

Estados y transiciones del ticket en InvGate
Endpoints HTTP de InvGate
OU de Active Directory
Tiempo de replicación AD → Entra
Grupo licenciante M365
Mecanismo de notificación ante fallas
Terminar de revisar el script de modificación de grupos que permitirá modificar el grupo Registracion_MFA por MFA_Office365 y SSPR_Office365, seguido de eliminar el dato en el extensionattribute12