Habilitar o provisionamento automático de usuário para seu aplicativo multilocatário no Microsoft Entra ID

O provisionamento automático de usuário é o processo de automatizar a criação, a manutenção e a remoção de identidades de usuário em sistemas de destino, como os aplicativos de software como serviço.

Por que habilitar o provisionamento automático de usuários?

Os aplicativos que exigem que um registro de usuário esteja presente no aplicativo antes da primeira conexão de um usuário exigem o provisionamento de usuários. Há benefícios para você como provedor de serviços e para seus clientes.

Benefícios para você como o provedor de serviços

• Aumente a segurança do aplicativo usando a plataforma de identidade da Microsoft.

• Reduza o esforço real e percebido do cliente para adotar o seu aplicativo.

• Reduza os custos na integração com vários IdPs (provedores de identidade) para o provisionamento automático de usuário ao usar o sistema para o provisionamento baseado em SCIM (Sistema de Gerenciamento de Usuários entre Domínios).

• Reduza os custos de suporte através do fornecimento de logs avançados para ajudar os clientes a solucionar problemas de provisionamento do usuário.

• Aumente a visibilidade do seu aplicativo na Galeria de aplicativos do Microsoft Entra .

• Obtenha uma listagem priorizada na página Tutoriais do aplicativo.

Benefícios para seus clientes

• Aumente a segurança removendo automaticamente o acesso ao seu aplicativo para usuários que alteram funções ou deixam a organização em seu aplicativo.

• Simplifique o gerenciamento de usuários para o seu aplicativo ao evitar o erro humano e o trabalho repetitivo associado ao provisionamento manual.

• Reduza os custos de hospedagem e manutenção de soluções de provisionamento personalizadas.

Escolher um método de provisionamento

O Microsoft Entra ID fornece vários caminhos de integração para habilitar o provisionamento automático de usuário para o seu aplicativo.

• O Serviço de provisionamento do Microsoft Entra ID gerencia o provisionamento e o desprovisionamento de usuários do Microsoft Entra ID para o seu aplicativo (provisionamento de saída) e do seu aplicativo para o Microsoft Entra ID (provisionamento de entrada). O serviço se conecta aos pontos de extremidade da API de gerenciamento de usuário do SCIM fornecidos pelo seu aplicativo.

• Ao usar o Microsoft Graph, seu aplicativo gerencia o provisionamento de entrada e saída de usuários e grupos do Microsoft Entra ID para seu aplicativo consultando a API do Microsoft Graph.

• O provisionamento de usuário do JIT do Security Assertion Markup Language (SAML JIT) poderá ser habilitado se seu aplicativo estiver usando a SAML para federação. Ele usa informações de declarações enviadas no token SAML para provisionar usuários.

Para ajudar a determinar qual opção de integração usar para seu aplicativo, confira a tabela de comparação de alto nível e veja as informações mais detalhadas sobre cada opção.

Recursos habilitados ou aprimorados pelo Provisionamento Automático	Serviço de provisionamento do Microsoft Entra (SCIM 2.0)	API do Microsoft Graph (OData v4.0)	JIT do SAML
Gerenciamento de usuários e grupos no Microsoft Entra ID	√	√	Somente usuário
Gerenciar usuários e grupos sincronizados do Active Directory local	√*	√*	Somente usuário*
Acessar dados além de usuários e grupos durante o provisionamento do Acesso aos dados do Microsoft 365 (Teams, SharePoint, Email, Calendário, Documentos e assim por diante)	+X	√	X
Criar, ler e atualizar usuários com base em regras de negócio	√	√	√
Excluir usuários com base em regras de negócio	√	√	X
Gerenciar o provisionamento automático de usuário em todos os aplicativos do Centro de administração do Microsoft Entra	√	X	√
Suporte a vários provedores de identidade	√	X	√
Suporte a contas de convidado (B2B)	√	√	√
Suporte a contas não empresariais (B2C)	X	√	√

^*: A configuração do Microsoft Entra Connect é necessária para sincronizar usuários do AD com Microsoft Entra ID.
⁺– Usar o SCIM para provisionamento não impede que você faça a integração do seu aplicativo com Microsoft Graph para outras finalidades.

Serviço de provisionamento de Microsoft Entra (SCIM)

O serviço de provisionamento do Microsoft Entra usa SCIM, um padrão do setor para provisionamento com suporte com muitos IdPs (provedores de identidade), bem como aplicativos (como Slack, G Suite, Dropbox). Recomendamos que você use o serviço de provisionamento do Microsoft Entra se quiser dar suporte a IdPs além do Microsoft Entra ID, já que qualquer IdP compatível com SCIM pode se conectar ao seu ponto de extremidade SCIM. Criando um ponto de extremidade simples/de usuário, você pode habilitar o provisionamento sem a necessidade de manter o próprio mecanismo de sincronização.

Para obter mais informações sobre como o serviço de provisionamento Microsoft Entra usa o SCIM, consulte:

• Saiba mais sobre o padrão do SCIM

• Como usar o Sistema de Gerenciamento de Identidades entre Domínios (SCIM) para provisionar automaticamente usuários e grupos do Microsoft Entra ID para aplicativos

• Entender a implementação do SCIM pelo Microsoft Entra

Microsoft Graph para provisionamento

Ao usar o Microsoft Graph para provisionamento, você tem acesso a todos os dados avançados do usuário disponíveis no Graph. Além dos detalhes de usuários e grupos, você também pode buscar informações adicionais, como funções do usuário, gerentes e relatórios diretos, dispositivos registrados e de propriedade e centenas de outras partes de dados disponíveis no Microsoft Graph.

Mais de 15 milhões de organizações e 90% das empresas da Fortune 500 usam o Microsoft Entra ID enquanto assinam serviços em nuvem da Microsoft, como o Microsoft 365, o Microsoft Azure ou o Enterprise Mobility Suite. Você pode usar o Microsoft Graph para integrar seu aplicativo com fluxos de trabalho administrativos, como a integração de funcionários (e encerramento), a manutenção do perfil e muito mais.

Saiba mais sobre como usar o Microsoft Graph para provisionamento:

• Página inicial do Microsoft Graph

• Visão geral do Microsoft Graph

• Visão geral de autenticação do Microsoft Graph

• Introdução ao Microsoft Graph

Usar o JIT do SAML para provisionamento

Se você quiser provisionar usuários somente na primeira entrada em seu aplicativo e não precisar desprovisionar automaticamente os usuários, o JIT do SAML será uma opção. Seu aplicativo deve dar suporte ao SAML 2.0 como um protocolo de federação para usar o JIT do SAML.

O JIT do SAML usa as informações de declarações no token do SAML para criar e atualizar as informações do usuário no aplicativo. Os clientes podem configurar essas declarações necessárias no aplicativo do Microsoft Entra, conforme necessário. Às vezes, o provisionamento do JIT precisa ser habilitado no lado do aplicativo para que o cliente possa usar esse recurso. O JIT do SAML é útil para criar e atualizar usuários, mas não pode excluir ou desativar os usuários no aplicativo.

Próximas etapas

• Habilitar logon único para seu aplicativo

• Envie sua listagem de aplicativos e torne-se parceiro da Microsoft para criar a documentação no nosso site.

• Junte-se ao Microsoft Partner Network (gratuito) e crie seu plano de entrada no mercado.