Compartilhar via

Tutorial: Configurar o Federated Directory para o provisionamento automático de usuário

  • Artigo

O objetivo deste tutorial é demonstrar as etapas a serem seguidas no Federated Directory e no Microsoft Entra ID a fim de configurar o Microsoft Entra ID para provisionar e cancelar o provisionamento de usuários e/ou grupos no Federated Directory automaticamente.

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:

  • Um locatário do Microsoft Entra.
  • Um Federated Directory.
  • Uma conta de usuário no Federated Directory com permissões de Administrador.

Atribuir usuários ao Federated Directory

O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o provisionamento automático de usuários, é necessário decidir quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao Federated Directory. Depois de decidir isso, você poderá atribuir esses usuários e/ou grupos ao Federated Directory seguindo estas instruções:

Dicas importantes para atribuir usuários ao Federated Directory

  • Recomendamos atribuir um único usuário do Microsoft Entra ao Federated Directory para testar a configuração de provisionamento automático de usuários. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

  • Ao atribuir um usuário ao Federated Directory, você precisará selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o Federated Directory para provisionamento

Antes de configurar o Federated Directory para o provisionamento automático de usuários com o Microsoft Entra ID, é necessário habilitar o provisionamento SCIM no Federated Directory.

  1. Entre no Console de Administração do Federated Directory

    Captura de tela do console de administração do Diretório Federado mostrando um campo para inserir um nome da empresa. Os botões de entrada também estão visíveis.

  2. Navegue até Diretórios > Diretórios de usuário e selecione seu locatário.

    Captura de tela do console de administração do Federated Directory, com as opções Diretórios e Teste do Federated Directory e do Microsoft Entra ID realçadas.

  3. Para gerar um token de portador permanente, navegue até Chaves de Diretório > Criar Chave.

    Captura de tela da página Chaves de diretório do console de administração do Federated Directory. O botão Criar chave está realçado.

  4. Crie uma chave de diretório.

    Captura de tela da página Criar chave de diretório do console de administração do Federated Directory, com os campos Nome e Descrição e um botão Criar chave.

  5. Copie o valor de Token de Acesso. Esse valor será inserido no campo Token Secreto na guia Provisionamento do aplicativo Diretório Federado.

    Captura de tela de uma página no console de administração do Federated Directory. Um espaço reservado de token de acesso e um nome de chave, uma descrição e um emissor são visíveis.

Para configurar o Federated Directory para o provisionamento automático de usuários com o Microsoft Entra ID, é necessário adicioná-lo da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Para adicionar o Federated Directory por meio da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

  3. Na seção Adicionar da galeria, digite Diretório Federado, selecione Diretório Federado no painel de resultados.

    Federated Directory na lista de resultados

  4. Navegue até a URL realçada abaixo em um navegador separado.

    Captura de tela de uma página no portal do Azure que exibe informações sobre o Federated Directory. O valor da URL está realçado.

  5. Clique em FAZER LOGON.

    Captura de tela do menu principal no site do Diretório Federado. O botão Logon está realçado.

  6. Como o Diretório Federado é um aplicativo OpenIDConnect, escolha fazer logon no Diretório Federado usando sua conta corporativa da Microsoft.

    Captura de tela da página de teste do SCIM e do AD no site do Federated Directory. A opção Faça logon com a sua conta Microsoft está realçada.

  7. Após uma autenticação bem-sucedida, aceite a solicitação de consentimento da página de consentimento. Depois, o aplicativo será adicionado automaticamente ao seu locatário e você será redirecionado para sua conta do Federated Directory.

Como configurar o provisionamento automático de usuário no Federated Directory

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Federated Directory com base nas atribuições de usuário e/ou de grupo do Microsoft Entra ID.

Para configurar o provisionamento automático de usuário para o Federated Directory no Microsoft Entra ID:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais

    Folha de aplicativos empresariais

  3. Na lista de aplicativos, selecione Federated Directory.

    O link do Federated Directory na lista Aplicativos

  4. Selecione a guia Provisionamento.

    Captura de tela das opções Gerenciar com a opção Provisionamento destacada.

  5. Defina o Modo de Provisionamento como Automático.

    Captura de tela da lista suspensa Modo de Provisionamento com a opção Automático destacada.

  6. Na seção Credenciais de Administrador, insira https://api.federated.directory/v2/ na URL do locatário. Insira o valor recuperado e salvo anteriormente do Federated Directory em Token Secreto. Clique em Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao Federated Directory. Se a conexão falhar, verifique se a sua conta do Federated Directory tem permissões de Administrador e tente novamente.

    URL do locatário + token

  7. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção - Enviar uma notificação por email quando ocorrer uma falha.

    Email de notificação

  8. Clique em Save (Salvar).

  9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Federated Directory.

  10. Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Federated Directory na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Federated Directory em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Captura de tela da página Mapeamentos de Atributos. Uma tabela lista os atributos do Microsoft Entra ID e do Federated Directory e o status correspondente.

  11. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

  12. Para habilitar o serviço de provisionamento do Microsoft Entra no Federated Directory, altere o Status de Provisionamento para Ativado na seção Configurações.

    Status do provisionamento ativado

  13. Defina os usuários e/ou os grupos que deseja provisionar no Federated Directory escolhendo os valores desejados em Escopo na seção Configurações.

    Escopo de provisionamento

  14. Quando estiver pronto para provisionar, clique em Salvar.

    Salvando a configuração de provisionamento

Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações. A sincronização inicial leva mais tempo para ser executada do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para o relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Microsoft Entra.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário

Recursos adicionais

Próximas etapas