O que é provisionamento?
O provisionamento e o desprovisionamento são os processos que garantem a consistência das identidades digitais em vários sistemas. Esses processos normalmente são usados como parte do gerenciamento do ciclo de vida de identidades.
O provisionamento é o processo de criação de uma identidade em um sistema de destino com base em determinadas condições. O desprovisionamento é o processo de remover a identidade do sistema de destino quando as condições não são mais atendidas. A sincronização é o processo de manter o objeto provisionado atualizado para que o objeto de origem e o objeto de destino sejam semelhantes.
Por exemplo, quando um novo funcionário ingressa em sua organização, esse funcionário é inserido no sistema de RH. Nesse ponto, o provisionamento de HR para ID do Microsoft Entra pode criar uma conta de usuário correspondente no ID do Microsoft Entra. Os aplicativos que consultam o ID do Microsoft Entra podem ver a conta desse novo funcionário. Se houver aplicativos que não usam o ID do Microsoft Entra, o provisionamento de ID do Microsoft Entra para bancos de dados desses aplicativos garante que o usuário possa acessar todos os aplicativos aos quais o usuário precisa acessar. Esse processo permite que o usuário inicie o trabalho e tenha acesso aos aplicativos e sistemas de que precisa já no primeiro dia. Da mesma forma, quando suas propriedades, como seu departamento ou status de emprego, mudam no sistema de RH, a sincronização dessas atualizações do sistema de RH para o ID do Microsoft Entra e, além disso, para outros aplicativos e bancos de dados de destino, garante a consistência.
Atualmente, o ID do Microsoft Entra fornece três áreas de provisionamento automatizado. São elas:
- Provisionamento de um sistema de registro externo não autoritativo de diretório para o ID do Microsoft Entra, por meio do provisionamento orientado por HR
- Provisionamento do ID do Microsoft Entra para aplicativos, por meio do provisionamento de Aplicativo
- Provisionamento entre o ID do Microsoft Entra e os Active Directory Domain Services, por meio do provisionamento entre diretórios
Provisionamento impulsionado por RH
O provisionamento do HR para o ID do Microsoft Entra envolve a criação de objetos, normalmente identidades de usuário que representam cada funcionário, mas em alguns casos outros objetos que representam departamentos ou outras estruturas, com base nas informações que estão em seu sistema de RH.
O cenário mais comum seria quando um novo funcionário ingressasse na sua empresa e fosse inserido no sistema de RH. Quando isso ocorre, eles são provisionados automaticamente como um novo usuário no ID do Microsoft Entra, sem precisar de envolvimento administrativo para cada nova contratação. Em geral, o provisionamento do RH pode abranger os cenários a seguir.
- Contratação de novos funcionários - Quando um novo funcionário é adicionado a um sistema de RH, uma conta de usuário é criada automaticamente no Active Directory, ID do Microsoft Entra e, opcionalmente, nos diretórios de outros aplicativos suportados pelo ID do Microsoft Entra, com write-back do endereço de email para o sistema de RH.
- Atualizações de atributos e perfis de funcionários - Quando um registro de funcionário é atualizado nesse sistema de RH (como nome, cargo ou gerente), sua conta de usuário será atualizada automaticamente no Active Directory, no ID do Microsoft Entra e, opcionalmente, em outros aplicativos compatíveis com o ID do Microsoft Entra.
- Rescisões de funcionários - Quando um funcionário é demitido no RH, sua conta de usuário é automaticamente bloqueada para entrar ou removida no Active Directory, no ID do Microsoft Entra e em outros aplicativos.
- Recontratações de funcionários – Quando um funcionário é recontratado no RH de nuvem, a conta antiga dele pode ser reativada ou provisionada de novo automaticamente (dependendo da sua preferência).
Há três opções de implantação para provisionamento controlado por RH com o ID do Microsoft Entra:
- Para organizações com uma assinatura única do Workday ou SuccessFactors e que não usam o Active Directory
- Para organizações com uma única assinatura do Workday ou SuccessFactors e com Active Directory e ID do Microsoft Entra
- Para organizações com vários sistemas de RH ou um sistema de RH local como SAP, Oracle eBusiness ou PeopleSoft
Para obter mais informações, confira O que é provisionamento controlado por RH?
Provisionamento de aplicativos
No ID do Microsoft Entra, o termo provisionamento de aplicativos refere-se à criação automática de cópias de identidades de usuário nos aplicativos aos quais os usuários precisam acessar, para aplicativos que têm seu próprio armazenamento de dados, diferente do ID do Microsoft Entra ou do Active Directory. Além de criar identidades de usuário, o provisionamento de aplicativos inclui a manutenção e a remoção de identidades de usuário desses aplicativos à medida que o status ou as funções do usuário mudam. Cenários comuns incluem o provisionamento de um usuário do Microsoft Entra em aplicativos como Dropbox, Salesforce, ServiceNow, já que cada um desses aplicativos tem seu próprio repositório de usuário distinto do ID do Microsoft Entra.
O ID do Microsoft Entra também oferece suporte ao provisionamento de usuários em aplicativos hospedados no local ou em uma máquina virtual, sem a necessidade de abrir firewalls. Se seu aplicativo oferecer suporte a SCIM ou se você tiver criado um gateway SCIM para se conectar ao aplicativo herdado, poderá usar o agente de provisionamento do Microsoft Entra para conectar-se diretamente ao aplicativo e automatizar o provisionamento e o desprovisionamento. Se você tiver aplicativos herdados que não oferecem suporte a SCIM e dependem de um armazenamento de usuário LDAP ou de um banco de dados SQL ou que têm uma API SOAP ou REST, o ID do Microsoft Entra também poderá oferecer suporte a eles.
Para obter mais informações, confira O que é provisionamento de aplicativos?
Provisionamento entre diretórios
Muitas organizações dependem do Active Directory e do ID do Microsoft Entra e podem ter aplicativos conectados ao Active Directory, como servidores de arquivos locais.
Como muitas organizações implantaram historicamente o provisionamento controlado por RH no local, elas podem já ter identidades de usuário para todos os funcionários no Active Directory. O cenário mais comum para provisionamento entre diretórios é quando um usuário que já está no Active Directory é provisionado no ID do Microsoft Entra. Esse provisionamento geralmente é realizado pela sincronização do Microsoft Entra Connect ou pelo provisionamento em nuvem do Microsoft Entra Connect.
Além disso, as organizações também podem desejar provisionar para sistemas locais a partir do ID do Microsoft Entra. Por exemplo, uma organização pode ter trazido convidados para o diretório Microsoft Entra, mas esses convidados precisarão acessar aplicativos Web baseados na Autenticação Integrada do Windows (WIA) local por meio do proxy do aplicativo. Esse cenário requer o provisionamento de contas do AD local para esses usuários no ID do Microsoft Entra.
Para obter mais informações, confira O que é provisionamento entre diretórios?