Compartilhar via


Gerenciar mapeamentos e usuários em aplicativos que não correspondem aos usuários no Microsoft Entra ID

Ao integrar um aplicativo existente ao Microsoft Entra ID, para provisionamento ou logon único (SSO), você pode descobrir que existem usuários no repositório de dados do aplicativo que não correspondem aos usuários no Microsoft Entra ID ou que não corresponderam a nenhum usuário no Microsoft Entra ID.

O serviço de provisionamento do Microsoft Entra baseia-se em regras de correspondência configuráveis para determinar se um usuário no Microsoft Entra ID corresponde a um usuário no aplicativo. Essa correspondência é realizada ao pesquisar no aplicativo por um usuário com as propriedades correspondentes às do usuário do Microsoft Entra ID. Por exemplo, suponha que a regra de correspondência seja comparar o atributo userPrincipalName de um usuário do Microsoft Entra ID com a propriedade userName de um aplicativo. Quando um usuário no Microsoft Entra ID com o valor userPrincipalName igual a alice.smith@contoso.com é atribuído à uma função no aplicativo, o serviço de provisionamento do Microsoft Entra realiza uma pesquisa no aplicativo com uma consulta como userName eq "alice.smith@contoso.com". Se a pesquisa de aplicativo encontrar usuários correspondes, o serviço de provisionamento do Microsoft Entra criará um novo usuário no aplicativo.

Se o aplicativo ainda não tiver usuários, então esse processo preencherá o armazenamento de dados do aplicativo com usuários conforme eles são atribuídos no Microsoft Entra ID. No entanto, se o aplicativo já tiver usuários, podem surgir duas situações. Primeiro, pode haver pessoas com contas de usuário no aplicativo, mas a correspondência não consegue localizá-las. Nesse caso, talvez o usuário seja representado no aplicativo como asmith@contoso.com em vez de alice.smith@contoso.com e, portanto, a pesquisa realizada pelo serviço de provisionamento do Microsoft Entra não as encontra. Nessa situação, a pessoa pode acabar com usuários duplicados no aplicativo. Segundo, pode haver pessoas com contas de usuário no aplicativo que não têm usuário no Microsoft Entra ID. Nessa situação, o serviço de provisionamento do Microsoft Entra não interage com esses usuários no aplicativo, no entanto, se o aplicativo estiver configurado para usar exclusivamente o Microsoft Entra ID como provedor de identidade, esses usuários não poderão mais entrar: o aplicativo redirecionará a pessoa para entrar com o Microsoft Entra ID, mas a pessoa não tem um usuário no Microsoft Entra ID.

Essas inconsistências entre o Microsoft Entra ID e o armazenamento de dados de um aplicativo existente podem acontecer por muitos motivos, incluindo:

  • o administrador do aplicativo cria usuários diretamente no aplicativo, como para prestadores de serviços ou fornecedores, que não são representados em um sistema de registro da fonte de RH, mas necessitam de acesso ao aplicativo,
  • alterações de identidade e atributos, como uma pessoa mudando seu nome, que não foram atualizadas no Microsoft Entra ID ou no aplicativo, resultando em informações desatualizadas em um dos sistemas, ou
  • a organização estava usando um produto de gerenciamento de identidade que provisionava de forma independente o Windows Server AD e o aplicativo com comunidades diferentes. Por exemplo, os funcionários da loja precisavam de acesso ao aplicativo, mas não às caixas de correio do Exchange, então eles não estavam representados no Windows Server AD ou no Microsoft Entra ID.

Antes de habilitar o provisionamento ou o SSO para um aplicativo com usuários existentes, verifique se os usuários estão correspondendo, além de investigar e resolver os casos de usuários do aplicativo que não corresponderam. Este artigo apresenta as opções de como proceder em diferentes situações em que não houve correspondência de usuário.

Determinar se existem usuários no aplicativo que não corresponderam

Se você já determinou a lista de usuários no aplicativo que não correspondem aos usuários no Microsoft Entra ID, vá para a próxima seção.

O procedimento para determinar quais usuários no aplicativo não correspondem aos usuários no Microsoft Entra ID depende de como o aplicativo está ou será integrado ao Microsoft Entra ID.

  • Se você está usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para corresponder esses usuários aos usuários no Microsoft Entra ID.

  • Se o aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento do diretório LDAP para coletar usuários existentes do diretório LDAP. Nesse tutorial, use o PowerShell para corresponder esses usuários com os usuários no Microsoft Entra ID.

  • Para outros aplicativos, incluindo aqueles com um banco de dados SQL ou que tenham suporte de provisionamento na galeria de aplicativos, siga o tutorial para controlar os usuários existentes de um aplicativo, a fim de confirmar que o Microsoft Entra ID tem usuários que correspondem aos usuários do aplicativo.

  • Para outros aplicativos que não possuem uma interface de provisionamento, siga o tutorial para controlar os usuários de um aplicativo que não dá suporte ao provisionamento, a fim de confirmar que o Microsoft Entra ID tem usuários que correspondem aos usuários do aplicativo.

Quando o script do PowerShell fornecido nesses tutoriais for concluído, ele mostrará um erro se algum registro do aplicativo não for encontrado no Microsoft Entra ID. Se nem todos os registros dos usuários do armazenamento de dados do aplicativo puderem ser encontrados no Microsoft Entra ID, será necessário investigar os registros que não corresponderam e por quê, e então resolver o problema de correspondência usando uma das opções na próxima seção.

Opções para garantir que os usuários correspondam entre o aplicativo e o Microsoft Entra ID

Esta seção oferece várias opções para lidar com os usuários não correspondentes no aplicativo. Com base nos objetivos da sua organização e nos problemas de dados entre o Microsoft Entra ID e o aplicativo, selecione a opção apropriada para cada usuário. Talvez não exista uma única opção que abranja todos os usuários em um aplicativo específico.

Opção Atualizações necessárias antes do provisionamento
Excluir usuários de teste do aplicativo Usuários no aplicativo
Excluir usuários do aplicativo que não fazem mais parte da organização Usuários no aplicativo
Excluir usuários do aplicativo e recriá-los a partir do Microsoft Entra ID Usuários no aplicativo
Atualizar a propriedade correspondente dos usuários no aplicativo Usuários no aplicativo
Atualizar usuários no aplicativo com uma nova propriedade Usuários no aplicativo
Alterar regras ou propriedades de correspondência quando o endereço de email não coincidir com o nome UPN Usuários no aplicativo ou regra de correspondência do aplicativo no Microsoft Entra
Atualizar o atributo de correspondência de usuários no Microsoft Entra ID Usuários no Microsoft Entra ID
Atualizar as regras de provisionamento do Microsoft Entra Connect Sync ou Cloud Sync para sincronizar os usuários e atributos necessários O Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync, que atualizará os usuários no Microsoft Entra ID
Atualizar usuários no Microsoft Entra ID com um novo atributo Usuários no Microsoft Entra ID
Alterar regras de correspondência para um atributo diferente que já esteja preenchido no Microsoft Entra ID Regra de correspondência do aplicativo Microsoft Entra
Criar usuários no Windows Server AD para usuários no aplicativo que precisam de acesso contínuo ao aplicativo Usuários no Windows Server AD, que atualizará os usuários no Microsoft Entra ID
Criar usuários no Microsoft Entra ID para usuários no aplicativo que precisam de acesso contínuo ao aplicativo Usuários no Microsoft Entra ID
Manter usuários separados e sem correspondência no aplicativo e no Microsoft Entra ID Nenhum

Excluir usuários de teste do aplicativo

Podem existir usuários de teste no aplicativo que foram deixados desde a implantação inicial. Se houver usuários que não são mais necessários, exclua-os do aplicativo.

Excluir usuários do aplicativo de pessoas que não fazem mais parte da organização

Talvez o usuário não esteja mais afiliado à organização e não precise mais de acesso ao aplicativo, mas ainda seja um usuário na fonte de dados do aplicativo. Isso pode acontecer se o administrador do aplicativo deixou de remover o usuário ou não foi informado de que a alteração era necessária. Se o usuário não for mais necessário, exclua-o do aplicativo.

Excluir usuários do aplicativo e recriá-los a partir do Microsoft Entra ID

Se o aplicativo não estiver em uso amplo no momento ou não mantiver nenhum estado por usuário, outra opção é excluir usuários do aplicativo para que não haja mais usuários sem correspondência. Assim, à medida que os usuários solicitam ou são atribuídos ao aplicativo no Microsoft Entra ID, eles terão o acesso provisionado.

Atualizar a propriedade correspondente dos usuários no aplicativo

Um usuário pode existir em um aplicativo e no Microsoft Entra ID, contudo, poderá faltar uma propriedade necessária para a correspondência do usuário, ou então a propriedade em questão poderá ter um valor impreciso.

Por exemplo, quando um administrador do SAP cria um usuário no SAP Cloud Identity Services usando o console de administração, talvez falte a propriedade userName. No entanto, essa propriedade pode ser a usada para correspondência com usuários no Microsoft Entra ID. Se a propriedade userName for a destinada à correspondência, então você precisará que o administrador do SAP atualize os usuários existentes no SAP Cloud Identity Services para ter um valor da propriedade userName.

Um outro exemplo é quando o administrador do aplicativo define o endereço de email do usuário como uma propriedade mail do usuário no aplicativo, no momento em que o usuário é adicionado pela primeira vez ao aplicativo. No entanto, posteriormente, o endereço de email da pessoa e userPrincipalName é alterado no Microsoft Entra ID. Caso o aplicativo não exigisse o endereço de email ou o se o provedor de email tivesse um redirecionamento que possibilitasse manter o encaminhamento para o endereço de email antigo, é possível que o administrador do aplicativo não tenha percebido a necessidade de atualizar a propriedade mail na fonte de dados do aplicativo. Essa inconsistência pode ser resolvida com o administrador do aplicativo alterando a propriedade mail nos usuários do aplicativo para ter um valor atual ou alterando a regra de correspondência, como descrito nas próximas seções.

Atualizar usuários no aplicativo com uma nova propriedade

O sistema de gerenciamento de identidade anterior de uma organização pode ter criado usuários no aplicativo como usuários locais. Se a organização não tinha um único provedor de identidade naquela época, esses usuários no aplicativo não precisavam de propriedades para correlacionar com outros sistemas. Por exemplo, um produto de gerenciamento de identidade anterior criou usuários em um aplicativo com base em uma fonte autoritativa de RH. Esse sistema de gerenciamento de identidade manteve a correlação entre os usuários que criou no aplicativo com a fonte de RH e não forneceu nenhum dos identificadores da fonte de RH para o aplicativo. Posteriormente, ao tentar conectar o aplicativo a um locatário do Microsoft Entra ID preenchido a partir dessa mesma fonte de RH, o Microsoft Entra ID pode ter usuários para todas as mesmas pessoas que estão no aplicativo, mas a correspondência falha para todos os usuários porque não existe uma propriedade em comum.

Para resolver esse problema de correspondência, siga as próximas etapas.

  1. No aplicativo, selecione uma propriedade existente e não usada dos usuários ou adicione uma nova propriedade ao esquema de usuários.
  2. Preencha essa propriedade em todos os usuários do aplicativo com dados de uma fonte autoritativa, como o número da ID do funcionário ou endereço de email, que já está presente nos usuários do Microsoft Entra ID.
  3. Atualize a configuração de mapeamento de atributos de provisionamento de aplicativos do Microsoft Entra do aplicativo para incluir essa propriedade na regra de correspondência.

Alterar propriedades ou regras de correspondência quando o endereço de email não corresponde ao nome UPN

Por padrão, alguns dos mapeamentos do serviço de provisionamento do Microsoft Entra para aplicativos enviam o atributo userPrincipalName para corresponder com uma propriedade de endereço de email no aplicativo. Algumas organizações têm endereços de email primários para seus usuários que são diferentes do nome UPN. Se o aplicativo estiver armazenando o endereço de email como uma propriedade do usuário e não o userPrincipalName, então será necessário alterar os usuários no aplicativo ou a regra de correspondência.

  • Se você planeja usar o logon único do Microsoft Entra ID no aplicativo, altere o aplicativo para adicionar uma propriedade ao usuário para armazenar o userPrincipalName. Depois, preencha essa propriedade em cada usuário no aplicativo com o userPrincipalName do usuário no Microsoft Entra ID e atualize a configuração de provisionamento de aplicativos do Microsoft Entra para incluir essa propriedade na regra de correspondência.
  • Se você não planeja usar o logon único do Microsoft Entra ID, uma alternativa é atualizar a configuração de mapeamento de atributos de provisionamento de aplicativos do Microsoft Entra para corresponder a um atributo de endereço de email do usuário do Microsoft Entra na regra de correspondência.

Atualizar o atributo de correspondência de usuários no Microsoft Entra ID

Em algumas situações, o atributo usado para correspondência tem um valor desatualizado no usuário do Microsoft Entra ID. Por exemplo, uma pessoa mudou de nome, mas a alteração do nome não foi feita no usuário do Microsoft Entra ID.

Se o usuário foi criado e mantido apenas no Microsoft Entra ID, então você deve atualizar o usuário para ter os atributos corretos. Se o atributo de usuário se origina em um sistema upstream, como o Windows Server AD ou uma fonte de RH, então você precisa alterar o valor na fonte upstream e esperar que a alteração fique visível no Microsoft Entra ID.

Atualizar as regras de provisionamento do Microsoft Entra Connect Sync ou Cloud Sync para sincronizar os usuários e atributos necessários

Em algumas situações, um sistema de gerenciamento de identidade anterior preencheu os usuários do Windows Server AD com um atributo apropriado que pode funcionar como um atributo de correspondência com outro aplicativo. Por exemplo, se o sistema de gerenciamento de identidade anterior estava conectado a uma fonte de RH, então o usuário do AD pode ter um atributo employeeId preenchido por esse sistema antigo com a ID de funcionário do usuário. Em um outro exemplo, o sistema de gerenciamento de identidade anterior escreveu a ID de usuário exclusiva do aplicativo como um atributo de extensão no esquema do Windows Server AD. No entanto, se nenhum desses atributos foi selecionado para sincronização no Microsoft Entra ID ou se os usuários estavam fora do escopo da sincronização com o Microsoft Entra ID, então a representação do Microsoft Entra ID da comunidade de usuários pode estar incompleta.

Para resolver esse problema, você precisa alterar a configuração do Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync para garantir que todos os usuários apropriados no Windows Server AD que também estão no aplicativo estejam dentro do escopo para serem provisionados para o Microsoft Entra ID, e que os atributos sincronizados desses usuários incluam os atributos que serão usados para fins de correspondência. Se você estiver usando o Microsoft Entra Connect Sync, confira Microsoft Entra Connect Sync: Configurar filtragem e Microsoft Entra Connect Sync: Extensões de diretório. Se você está usando o Microsoft Entra Cloud Sync, confira Mapeamento de atributos no Microsoft Entra Cloud Sync e Extensões de diretório e mapeamento personalizado de atributos do Cloud Sync.

Atualizar usuários no Microsoft Entra ID com um novo atributo

Em algumas situações, o aplicativo pode ter um identificador exclusivo para o usuário que não está armazenado no esquema do Microsoft Entra ID. Por exemplo, se você estiver usando o SAP Cloud Identity Services, pode ser que prefira a ID de usuário do SAP seja o atributo de correspondência. Ou, se estiver usando um sistema Linux, talvez queira que a ID de usuário do Linux seja o atributo de correspondência. No entanto, essas propriedades não fazem parte do esquema de usuário do Microsoft Entra ID e, portanto, provavelmente não estão presentes em nenhum dos usuários no Microsoft Entra ID.

Para usar um novo atributo para correspondência, siga as próximas etapas.

  1. Selecione um atributo de extensão existente e não utilizado no Microsoft Entra ID ou estenda o esquema de usuário do Microsoft Entra com um novo atributo.
  2. Preencha esse atributo em todos os usuários no Microsoft Entra ID com dados de uma fonte autoritativa, como o aplicativo ou um sistema de RH. Se os usuários são sincronizados do Windows Server AD ou provisionados de um sistema de RH, talvez você precise fazer essa alteração na fonte upstream.
  3. Atualize a configuração de mapeamento de atributos de provisionamento de aplicativos do Microsoft Entra do aplicativo e incluir esse atributo na regra de correspondência.

Alterar regras de correspondência para um atributo diferente que já esteja preenchido no Microsoft Entra ID

As regras de correspondência padrão para aplicativos na galeria de aplicativos baseiam-se em atributos que geralmente estão presentes em todos os usuários do Microsoft Entra ID e em todos os clientes da Microsoft, como userPrincipalName. Essas regras são adequadas para testes em geral ou para provisionamento em um novo aplicativo que atualmente não tem usuários. No entanto, muitas organizações talvez já tenham preenchido usuários do Microsoft Entra ID com outros atributos relevantes para a organização, como uma ID de funcionário. Se houver outro atributo adequado para correspondência, então atualize a configuração de mapeamento de atributos de provisionamento de aplicativos do Microsoft Entra do aplicativo e inclua esse atributo na regra de correspondência.

Configurar o provisionamento de entrada a partir de uma fonte de HR para o Microsoft Entra ID

O ideal é que organizações que provisionam usuários em diversos aplicativos de forma independente confiem em identificadores comuns para os usuários, desde que derivados de uma fonte autorizada, como um sistema de RH. Muitos sistemas de RH têm propriedades que funcionam bem como identificadores, como a employeeId, que podem ser tratadas como exclusivas para que nenhuma pessoa tenha a mesma ID de funcionário. Se você possui uma fonte de RH, como Workday ou SuccessFactors, trazer atributos como a employeeId dessa fonte pode ser uma regra de correspondência adequada.

Para usar um atributo com valores obtidos de uma fonte autoritativa para correspondência, siga as próximas etapas.

  1. Escolha um atributo de esquema de usuário do Microsoft Entra ID apropriado ou estenda o esquema de usuário do Microsoft Entra com um novo atributo, cujos valores correspondem a uma propriedade equivalente de um usuário no aplicativo.
  2. Verifique se essa propriedade também está presente em uma fonte de RH para todas as pessoas que têm usuários no Microsoft Entra ID e no aplicativo.
  3. Configurar o provisionamento de entrada a partir dessa fonte de HR para o Microsoft Entra ID.
  4. Aguarde a atualização dos usuários no Microsoft Entra ID com os novos atributos.
  5. Atualize a configuração de mapeamento de atributos de provisionamento de aplicativos do Microsoft Entra do aplicativo e incluir esse atributo na regra de correspondência.

Criar usuários no Windows Server AD para usuários no aplicativo que precisam de acesso contínuo ao aplicativo

Se existirem usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autoritativa, mas que precisarão de acesso tanto a aplicativos baseados no Windows Server AD quanto a aplicativos integrados ao Microsoft Entra ID no futuro, e sua organização está usando o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync para provisionar usuários do Windows Server AD para o Microsoft Entra ID, então você pode criar um usuário no Windows Server AD para cada um desses usuários que ainda não estavam presentes.

Se os usuários não precisarem de acesso a aplicativos baseados no Windows Server AD, então crie os usuários no Microsoft Entra ID, como descrito na próxima seção.

Criar usuários no Microsoft Entra ID para usuários no aplicativo que precisam de acesso contínuo ao aplicativo

Se existirem usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autoritativa, mas precisarão de acesso contínuo e serão gerenciados pelo Microsoft Entra, você poderá criar usuários do Microsoft Entra para eles. Para criar usuários em massa, você pode usar:

Verifique se os novos usuários foram preenchidos com os atributos necessários para que o Microsoft Entra ID combine-os posteriormente com os usuários existentes no aplicativo e com os atributos exigidos pelo Microsoft Entra ID, incluindo userPrincipalName, mailNickname e displayName. O userPrincipalName deve ser único entre todos os usuários no diretório.

Como criar usuários em massa usando o PowerShell

Esta seção mostra como interagir com o Microsoft Entra ID usando cmdlets do PowerShell do Microsoft Graph.

Na primeira vez que sua organização usar esses cmdlets nesse cenário, você precisará ter a função de Administrador global para permitir que o PowerShell do Microsoft Graph seja usado no seu locatário. As interações subsequentes podem usar uma função com privilégios inferiores, como Administrador de Usuários.

  1. Se você já tiver uma sessão do PowerShell onde identificou os usuários no aplicativo que não estavam no Microsoft Entra ID, vá para a etapa 6 abaixo. Caso contrário, abra o PowerShell.

  2. Se você ainda não tiver os módulos do PowerShell do Microsoft Graph instalados, instale o módulo Microsoft.Graph.Users e os demais usando este comando:

    Install-Module Microsoft.Graph
    

    Se você já tiver os módulos instalados, verifique se está usando uma versão recente:

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
    
  3. Conecte-se ao Microsoft Entra ID:

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
    
  4. Se esta for a primeira vez que você usou este comando, talvez será necessário consentir para permitir que as ferramentas de linha de comando do Microsoft Graph acessem essas permissões.

  5. Traga uma matriz de usuários do aplicativo para o ambiente do PowerShell, que também possui os campos que são atributos necessários para o Microsoft Entra ID, como o nome UPN, o apelido do email e o nome completo do usuário. Esse script pressupõe que a matriz $dbu_not_matched_list contém os usuários do aplicativo que não foram correspondidos.

    $filename = ".\Users-to-create.csv"
    $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
    
  6. Na sua sessão do PowerShell, especifique quais colunas na matriz de usuários a serem criados correspondem às propriedades exigidas pelo Microsoft Entra ID. Por exemplo, é possível ter usuários em um banco de dados em que o valor na coluna EMail é o valor que você quer usar como o nome UPN do Microsoft Entra, o valor na coluna Alias contém o apelido de email do Microsoft Entra ID e o valor na coluna Full name contém o nome de exibição do usuário:

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    
  7. Abra o script a seguir em um editor de texto. Pode ser necessário modificar esse script para adicionar os atributos do Microsoft Entra que o aplicativo precisa ou, se $azuread_match_attr_name não for mailNickname nem userPrincipalName, para fornecer esse atributo do Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    
  8. Cole o script resultante do seu editor de texto na sessão do PowerShell. Se ocorrerem erros, você deverá corrigi-los antes de continuar.

Manter usuários separados e sem correspondência no aplicativo e no Microsoft Entra ID

Pode haver um usuário superadministrador na fonte de dados do aplicativo que não corresponde a nenhuma pessoa específica no Microsoft Entra ID. Se você não criar usuários do Microsoft Entra para eles, esses usuários não poderão ser gerenciados a partir do Microsoft Entra ID ou do Microsoft Entra ID Governance. Como esses usuários não poderão entrar com o Microsoft Entra ID, se você estiver configurando o aplicativo para usar o Microsoft Entra ID como um provedor de identidade, verifique se esses usuários estão fora do escopo de uso do Microsoft Entra ID para autenticação.

Reexportação de usuários

Depois de fazer atualizações nos usuários do Microsoft Entra, nos usuários no aplicativo ou nas regras de correspondência de aplicativos do Microsoft Entra, é necessário exportar e executar o procedimento de correspondência do aplicativo novamente, para garantir que todos os usuários estejam correlacionados.

  • Se você está usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services começando pela etapa para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para corresponder esses usuários aos usuários no Microsoft Entra ID.

  • Se o aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento do diretório LDAP começando pela etapa para coletar usuários existentes do diretório LDAP.

  • Para outros aplicativos, incluindo aqueles com um banco de dados SQL ou que tenham suporte de provisionamento na galeria de aplicativos, siga o tutorial para controlar os usuários existentes de um aplicativo começando pela etapa de coleta dos usuários existentes do aplicativo.

Atribuir usuários a funções de aplicativo e habilitar o provisionamento

Depois de terminar as atualizações necessárias e confirmar que todos os usuários do aplicativo correspondem aos usuários no Microsoft Entra ID, você deve atribuir os usuários no Microsoft Entra ID que precisam de acesso ao aplicativo à função de aplicativo do Microsoft Entra e, em seguida, habilitar o provisionamento do aplicativo.

Próximas etapas