Automatizaciones
Sincronización de usuarios
Provisioning automático, deprovisioning y actualización de roles desde tu proveedor de identidad — Entra ID, Google Workspace u Okta. Joiner-mover-leaver sin tickets manuales de IT.
Actualizado el 18 may 2026
Configuración · Automatización · 9.3
La sincronización de usuarios mantiene automáticamente alineada la base de usuarios de Gfacility con tu proveedor de identidad — normalmente Entra ID, a veces Google Workspace u Okta. Los nuevos empleados reciben el rol correcto al instante; las bajas quedan bloqueadas de inmediato; los cambios de rol siguen a las mutaciones de RR.HH. sin que IT tenga que intervenir.
Por qué importa al negocio
«Nuevo empleado, día uno, sin acceso»
Provisioning SCIM al crearlo en Entra → cuenta lista para iniciar sesión.
«Excompañero sigue activo un mes después»
Deprovisioning en menos de 5 min tras la desactivación en el IdP — sin ventana de leaver.
«Ascenso sin actualizar el rol»
Mapeo grupo-rol → grupo IdP «FM-managers» = rol Gfacility «Coordinador FM».
«Permisos que se filtran»
La sincronización sobrescribe ajustes manuales → única fuente de verdad, sin excepciones invisibles.
Modos de provisioning
SCIM (push)
El IdP envía los cambios directamente a Gfacility. Tiempo real, la opción más limpia para Entra y Okta.
Just-in-time
Cuenta creada en el primer login. Sin pre-provisioning; rol derivado de claims SAML/OIDC.
Sincronización programada
Gfacility lee el IdP cada X minutos/horas. Funciona sin soporte SCIM; algo de retraso.
Qué configuras
| Campo | Qué impulsa |
|---|---|
| Sistema de origen | Entra · Google Workspace · Okta · AFAS · Workday. Uno principal, opcionalmente un segundo para campos concretos. |
| Ámbito | Qué OUs, qué grupos de seguridad, qué licencias. Limita a quien realmente necesita Gfacility. |
| Mapeo de campos | UPN → email, displayName → nombre, department → departamento. Uno-a-uno o por transformación. |
| Mapeo grupo-a-rol | Qué grupo del IdP se convierte en qué rol de Gfacility. Uno-a-uno o varios grupos → un rol. |
| Comportamiento al darse de baja | Desactivar · anonimizar · grisado durante 30 días · borrar tras X días. |
| Política de conflicto | Qué hacer ante un cambio manual en Gfacility que la sincronización sobrescribiría. Casi siempre «gana el IdP». |
| Frecuencia | Tiempo real (SCIM) o programada (15min / 1h / día). Rápido = poco retraso, exige más cuota. |
| Monitorización | Dashboard de estado, log de errores, alerta tras > X registros fallidos. |
¿Qué decisiones tomarás?
¿Qué IdP manda?
Entra es lo estándar. AFAS puede ser mejor fuente de departamento y centro de coste, con Entra para auth.
Usuarios externos
¿Colaboradores vía cuentas de invitado o tenant aparte? Just-in-time en primer login suele ser práctico.
Estrategia de bajas
Desactivar al momento (seguridad) vs grisar 30 días (continuidad del reporting). Alineado con el DPO.
Revisión periódica
Trimestral: ¿coinciden los usuarios activos de Gfacility con los activos de RR.HH.? Discrepancia = problema de sincronización.