# Migrar JIT a SCIM


Si ya tienes usuarios aprovisionados a través de Just-in-Time (JIT) y deseas habilitar la gestión completa del ciclo de vida con SCIM, es necesario migrarlos. Los usuarios creados originalmente mediante JIT no se pueden desaprovisionar automáticamente a través de SCIM, incluso después de habilitar SCIM.

## Por qué migrar

Las organizaciones que utilizan el aprovisionamiento JIT pueden encontrar limitaciones con la gestión del ciclo de vida de los usuarios, particularmente en relación con el desaprovisionamiento. Migrar a SCIM proporciona:

- Desaprovisionamiento automático de usuarios cuando dejan tu organización. Este es el beneficio principal para las organizaciones grandes que necesitan automatización completa.
- Sincronización continua de los atributos de usuario
- Gestión de usuarios centralizada a través de tu proveedor de identidad
- Seguridad mejorada mediante el control de acceso automatizado

> [!IMPORTANT]
>
> Los usuarios creados originalmente mediante el aprovisionamiento JIT no se pueden desaprovisionar automáticamente por SCIM, incluso después de habilitar SCIM. Para permitir la gestión completa del ciclo de vida, incluyendo el desaprovisionamiento automático a través de tu proveedor de identidad, debes eliminar manualmente a estos usuarios para que SCIM pueda volver a crearlos con las capacidades de gestión del ciclo de vida adecuadas.

Esta migración es muy importante para organizaciones más grandes que requieren un desaprovisionamiento de usuarios completamente automatizado cuando los empleados dejan la empresa.

## Requisitos previos

Antes de migrar, asegúrate de tener:

- SCIM configurado y probado en tu organización
- Una ventana de mantenimiento para la migración

> [!WARNING]
>
> Esta migración interrumpe temporalmente el acceso de los usuarios. Planifica realizar esta migración durante una ventana de bajo uso y comunica el cronograma a los usuarios afectados.

## Prepararse para la migración

### Transferir la propiedad de recursos

Antes de eliminar usuarios, asegúrate de que todos los repositorios, equipos o recursos de la organización que posean se transfieran a otro administrador o cuenta de servicio. Cuando se elimina a un usuario de la organización, los recursos que posea pueden volverse inaccesibles.

1. Revisa los repositorios, los recursos de la organización y la propiedad de los equipos de los usuarios afectados.
2. Transfiere la propiedad a otro administrador.

> [!WARNING]
>
> Si no se transfiere la propiedad, los repositorios que pertenezcan a los usuarios eliminados pueden volverse inaccesibles al eliminar al usuario. Asegúrate de transferir todos los recursos críticos antes de proceder.

### Verificar la configuración del proveedor de identidad

1. Confirma que todos los usuarios aprovisionados mediante JIT estén asignados a la aplicación Docker en tu proveedor de identidad.
2. Verifica que los mapeos de grupos del proveedor de identidad a los equipos de Docker estén configurados y probados.

Los usuarios que no estén asignados a la aplicación Docker en tu proveedor de identidad no serán recreados por SCIM después de su eliminación.

### Exportar registros de usuarios

Exporta una lista de usuarios aprovisionados por JIT desde la Admin Console de Docker:

1. Inicia sesión en [Docker Home](https://app.docker.com) y selecciona tu organización.
2. Selecciona **Admin Console** (Consola de administración), luego **Members** (Miembros).
3. Selecciona **Export members** (Exportar miembros) para descargar la lista de miembros como un archivo CSV para respaldo y referencia.

Conserva esta lista en CSV de los usuarios aprovisionados por JIT como referencia de rollback si es necesario.

## Completar la migración

### Deshabilitar el aprovisionamiento JIT

> [!IMPORTANT]
>
> Antes de deshabilitar JIT, asegúrate de que SCIM esté completamente configurado y probado en tu organización. No deshabilites JIT hasta que hayas verificado que SCIM funciona correctamente.

1. Inicia sesión en [Docker Home](https://app.docker.com) y selecciona tu organización.
2. Selecciona **Admin Console** (Consola de administración), luego **SSO and SCIM**.
3. En la tabla de conexiones SSO, selecciona el menú de acciones de tu conexión.
4. Selecciona **Disable JIT provisioning** (Deshabilitar aprovisionamiento JIT).
5. Selecciona **Disable** (Deshabilitar) para confirmar.

Deshabilitar JIT evita que se añadan nuevos usuarios automáticamente a través de SSO durante la migración.

### Eliminar usuarios de origen JIT

> [!IMPORTANT]
>
> Los usuarios creados originalmente mediante el aprovisionamiento JIT no se pueden desaprovisionar automáticamente por SCIM, incluso después de habilitar SCIM. Para permitir la gestión completa del ciclo de vida, incluyendo el desaprovisionamiento automático a través de tu proveedor de identidad, debes eliminar manualmente a estos usuarios para que SCIM pueda volver a crearlos con las capacidades de gestión del ciclo de vida adecuadas.

Este paso es muy importante para las organizaciones grandes que requieren un desaprovisionamiento de usuarios completamente automatizado cuando los empleados dejan la empresa.

1. Inicia sesión en [Docker Home](https://app.docker.com) y selecciona tu organización.
2. Selecciona **Admin Console** (Consola de administración), luego **Members** (Miembros).
3. Identifica y elimina a los usuarios aprovisionados por JIT en lotes manejables.
4. Monitorea cualquier error durante la eliminación.

> [!TIP]
>
> Para identificar de manera eficiente a los usuarios de JIT, compara la lista de miembros exportada antes de habilitar SCIM con la lista de miembros actual. Los usuarios que existían antes de habilitar SCIM probablemente se aprovisionaron a través de JIT.

### Verificar el reaprovisionamiento SCIM

Después de eliminar a los usuarios de JIT, SCIM vuelve a crear automáticamente las cuentas de usuario:

1. En el registro de sistema de tu proveedor de identidad, confirma los eventos de "creación de usuario de aplicación" (create app user) para Docker.
2. En la Admin Console de Docker, confirma que los usuarios vuelven a aparecer con el aprovisionamiento de SCIM.
3. Verifica que los usuarios se agreguen a los equipos correctos a través del mapeo de grupos.

### Validar el acceso de los usuarios

Realiza la validación posterior a la migración:

1. Selecciona un subconjunto de usuarios migrados para probar el inicio de sesión y el acceso.
2. Verifica que la pertenencia a los equipos coincida con las asignaciones de grupos del proveedor de identidad.
3. Confirma que se haya restablecido el acceso a los repositorios.
4. Prueba que el desaprovisionamiento funcione correctamente eliminando a un usuario de prueba de tu proveedor de identidad.

Conserva las exportaciones de auditoría y los registros para fines de cumplimiento.

## Resultados de la migración

Después de completar la migración:

- Todos los usuarios de tu organización están aprovisionados por SCIM.
- El desaprovisionamiento de usuarios funciona de manera confiable a través de tu proveedor de identidad.
- No se crean nuevos usuarios de JIT.
- Se mantiene una gestión consistente del ciclo de vida de las identidades.

## Resolución de problemas de migración

Si un usuario no vuelve a aparecer después de la eliminación:

1. Comprueba que el usuario esté asignado a la aplicación Docker en tu proveedor de identidad.
2. Verifica que SCIM esté habilitado tanto en Docker como en tu proveedor de identidad.
3. Activa una sincronización manual de SCIM en tu proveedor de identidad.
4. Comprueba los registros de aprovisionamiento en tu proveedor de identidad para ver si hay errores.

Para obtener más orientación sobre la resolución de problemas, consulta [Resolución de problemas de aprovisionamiento](/enterprise/security/provisioning/troubleshoot-provisioning/).

## Siguientes pasos

- Configura el [mapeo de grupos](/enterprise/security/provisioning/scim/group-mapping/).
- [Asignar roles](/enterprise/security/roles-and-permissions/core-roles/) a los miembros de tu organización.
- [Exigir inicio de sesión](/enterprise/security/enforce-sign-in/), si es necesario.