Compartilhar via


Tutorial: Configurar o M-Files para o provisionamento automático de usuário

Este tutorial descreve as etapas que você precisa executar no M-Files e no Microsoft Entra ID para configurar o provisionamento automático de usuário. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para o M-Files usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Funcionalidades com suporte

  • Criar usuários no M-Files.
  • Remover usuários do M-Files quando não precisarem mais de acesso.
  • Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e o M-Files.
  • Provisionar grupos e associações a um grupo no M-Files.
  • Logon único no M-Files (recomendado).

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:

Etapa 1: Planeje a implantação do provisionamento

  1. Saiba mais sobre como funciona o serviço de provisionamento.
  2. Determine quem estará no escopo de provisionamento.
  3. Determine os dados que devem ser mapeados entre o Microsoft Entra ID e o M-Files.
  4. Os mapeamentos necessários são predefinidos, mas você pode mapear dois campos de dados adicionais para arquivos M.

Etapa 2: Configurar o M-Files para dar suporte ao provisionamento com o Microsoft Entra ID

Antes de configurar o provisionamento de usuário em Arquivos M, verifique se todos os cofres em sua assinatura têm a sincronização de usuário desabilitada no Administrador de Arquivos M.

Se você já configurou o provisionamento de usuário no M-Files Manage com seu próprio aplicativo Entra ID, não poderá alterar a configuração para usar o aplicativo M-Files da galeria de aplicativos do Microsoft Entra. Se você quiser usar o aplicativo M-Files, exclua a configuração existente do Gerenciamento de Arquivos M e desabilite ou exclua o aplicativo de Entra ID relacionado. Em seguida, siga estas instruções para criar a nova configuração.

  1. Faça logon no Gerenciamento de Arquivos M em https://manage.m-files.com.
  2. Na navegação da página do lado esquerdo, clique em Provisionamento.
  3. Vá para a guia Configuração.
  4. Em Criar configuração para provisionamento de usuário, clique aplicativo da galeria do Azure AD.
  5. Insira as informações necessárias.
    • Em nome de configuração, insira um nome exclusivo para a configuração.
    • Selecione tipo de licença padrão para os usuários provisionados. Todos os usuários provisionados primeiro obtêm essa licença. Você pode alterar o tipo de licença de um grupo de usuários para um superior após o provisionamento de grupos de usuários. Se não houver licenças disponíveis suficientes do tipo de licença padrão na assinatura, todos os usuários não obterão a licença.
  6. Clique no ícone de cópia (Sreenshot do ícone Copiar. ) para cada parte dos dados, que o Gerenciamento de Arquivos M criou e anote os valores.

Observação

O segredo do cliente não é mostrado em nenhum outro lugar quando você fecha a caixa de diálogo.

Adicione o M-Files por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no M-Files. Se você já tiver configurado o M-Files para SSO, poderá usar o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo diferente ao testar a integração no início. Saiba mais sobre como adicionar um aplicativo da galeria aqui.

Etapa 4: Defina quem estará no escopo de provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem será provisionado com base na atribuição ao aplicativo e ou com base em atributos do usuário/grupo. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas a seguir para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos do usuário ou do grupo, poderá usar um filtro de escopo, conforme descrito aqui.

  • Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Quando o escopo de provisionamento é definido para usuários e grupos atribuídos, é possível controlar isso atribuindo um ou dois usuários ou grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, é possível especificar um atributo com base no filtro de escopo.

  • Caso você precise de mais funções, atualize o manifesto do aplicativo para adicionar novas funções.

Etapa 5: configurar o provisionamento automático de usuário para o M-Files

Essa seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base nas atribuições de usuário e/ou de grupo do Microsoft Entra ID.

Para configurar o provisionamento automático de usuário para o M-Files no Microsoft Entra ID:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.

    Captura de tela da folha de aplicativos empresariais.

  3. Na lista de aplicativos, selecione M-Files.

    Captura de tela do link do M-Files na lista de Aplicativos.

  4. Selecione a guia Provisionamento.

    Captura de tela da guia Provisionamento.

  5. Defina o Modo de Provisionamento como Automático.

    Captura de tela da guia automática Provisionamento.

  6. Na seção Credenciais de Administrador, insira a URL do Locatário de Arquivos M, o Ponto de Extremidade do Token, o Identificador do Cliente e o Segredo do Cliente. Clique em Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao M-Files. Se a conexão falhar, verifique se os valores inseridos estão corretos e tente novamente.

    Captura de tela do token.

  7. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

    Captura de tela do e-mail de notificação.

  8. Selecione Salvar.

  9. Opcional: se você quiser sincronizar informações adicionais do usuário, poderá definir dois campos adicionais a serem sincronizados com o Gerenciamento de Arquivos M. As informações são mostradas em Informações adicionais 1 e Informações adicionais 2 na página informações do usuário.

    1. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o M-Files.
    2. Na seção mapeamento de atributos, clique em Adicionar novo mapeamento.
    3. Use estes valores:
      • Tipo de mapeamento: Direto
      • Atributo de origem: insira o atributo de ID do Entra
      • Atributo de destino: Selecione urn:ietf:params:scim:schemas:extension:info:2.0:User:info1 ou urn:ietf:params:scim:schemas:extension:info:2.0:User:info2
      • Corresponder objetos usando este atributo: Não
      • Aplicar este mapeamento: Sempre
    4. Clique em OK.
    5. Opcional: para sincronizar dois campos de dados adicionais ao Gerenciamento de Arquivos M, adicione um segundo mapeamento com o outro atributo de destino disponível.

Observação

Não é recomendável fazer alterações nos mapeamentos de atributo padrão.

  1. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

  2. Para habilitar o serviço de provisionamento do Microsoft Entra para o M-Files, altere o Status de provisionamento para Ativado na seção Configurações.

    Captura de tela de alternância ativada para o status de provisionamento.

  3. Defina os usuários e/ou grupos que você gostaria de provisionar no M-Files escolhendo os valores desejados em Escopo, na seção Configurações.

    Captura de tela do Escopo de Provisionamento.

  4. Quando você estiver pronto para provisionar, clique em Salvar.

    Captura de tela da configuração de provisionamento salva.

Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.

Etapa 6: Monitorar a implantação

Depois de configurar o provisionamento, use os seguintes recursos para monitorar a implantação:

  • Use os logs de provisionamento para determinar quais usuários foram provisionados com êxito ou não.
  • Confira a barra de progresso para ver o status do ciclo de provisionamento e quanto falta para a conclusão.
  • Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena aqui.

Mais recursos

Próximas etapas