Compartilhar via

SCIM 2.0 - Como ignorar sincronização de grupos

Elysson Marconi 40 Pontos de reputação
2026-02-03T17:50:39.5233333+00:00

Olá, pessoal! Tudo bem!?

Estou configurando uma integração SCIM 2.0 com a Azure e estou tendo um problema.

Tenho grupos atribuídos ao aplicativo; usamos esses grupos para separar regras de negócio e níveis de acesso dos usuários, ou seja, quando um usuário está atribuído a um grupo Administradores, por exemplo, ele recebe X permissões.Imagem do usuário

Essa lógica foi construída utilizando as App Roles em conjunto com os grupos. O provisionamento de usuários está funcionando perfeitamente; o problema é que:

No final da sincronização inicial, a Microsoft está tentando provisionar os grupos também, chamando no endpoint /Groups, mas nós não temos esse endpoint implementado, precisamos apenas do provisionamento de usuários.

A questão é: Como fazer para sincronizar apenas os usuários mantendo essa estrutura de grupos?

Imagem do usuário

Os usuários (membros dos grupos) estão sendo sincronizados corretamente, o problema é só que a Microsoft está enviando requests para /Groups também e estão constando erros de provisionamento de grupos.

Sem Título

Existe alguma forma de atingir esse comportamento?

Desde já, muito obrigado!

Aplicativos Gerenciados do Azure
Aplicativos Gerenciados do Azure

Um serviço do Azure que permite que provedores de serviços gerenciados, fornecedores de software independentes e equipes de TI corporativas forneçam soluções turnkey por meio do catálogo de serviços ou do Azure Marketplace.

0 comentários

1 resposta

Classificar por: Mais útil
Mais útil Mais Novo Mais Antigo
  1. VEMULA SRISAI 9,820 Pontos de reputação Equipe Externa da Microsoft Moderador
    2026-03-13T20:16:18.04+00:00

    Quando você configura o provisionamento SCIM 2.0 no Microsoft Entra ID, o serviço de provisionamento segue a especificação SCIM, que define dois tipos de recursos gerenciados: Usuários (/Users) e Grupos (/Groups). Por esse motivo, o Entra ID tentará provisionar usuários e grupos sempre que o provisionamento de grupos estiver habilitado para o Aplicativo Empresarial.

    Na configuração atual, os grupos estão atribuídos ao aplicativo e o provisionamento de Grupos está habilitado, portanto, durante a sincronização inicial o Entra ID tenta criar esses grupos no sistema de destino enviando requisições Create para o endpoint /Groups. Como a sua implementação SCIM não oferece suporte ao endpoint /Groups, essas requisições falham, o que gera erros de provisionamento, embora o provisionamento de usuários funcione corretamente.

    Como provisionar apenas usuários e impedir chamadas ao /Groups

    Para sincronizar somente usuários e impedir que o Entra ID provisione grupos, é necessário desabilitar o provisionamento de Grupos (mapeamento de grupos) no Aplicativo Empresarial:

    1. Acesse Aplicativos Empresariais → selecione seu aplicativo SCIM
    2. Abra ProvisionamentoMapeamentos
    3. Selecione Provisionar Grupos do Microsoft Entra ID
    4. Defina Habilitado = Não (ou remova completamente o mapeamento de grupos)
    5. Salve a configuração e reinicie o provisionamento

    Após desabilitar o provisionamento de grupos, o Entra ID deixará de enviar requisições SCIM para /Groups e passará a provisionar apenas usuários por meio do endpoint /Users.

    Esclarecimento importante sobre atribuições de grupos

    Desabilitar o provisionamento de Grupos não impede o uso de grupos do Entra ID para controlar o escopo do provisionamento. Você ainda poderá:

    • Atribuir grupos ao Aplicativo Empresarial
    • Utilizar esses grupos para definir quais usuários serão provisionados

    Nesse modelo, os grupos são usados apenas para escopo e controle de acesso dentro do Entra ID, e não são criados nem gerenciados no aplicativo de destino via SCIM. Por isso, o provisionamento de usuários continua funcionando corretamente mesmo após o provisionamento de grupos ser desativado.

    Sobre a manutenção da lógica de permissões e acessos

    Se o seu aplicativo não precisa de objetos de grupo ou associações de grupo armazenadas via SCIM, essa configuração é totalmente suportada e recomendada.

    Caso sua lógica de autorização dependa de permissões ou papéis, as abordagens mais comuns são:

    • Utilizar Funções de Aplicativo (App Roles) atribuídas no Entra ID e avaliá‑las por meio de claims de token SAML ou OIDC no momento do login, ou
    • Enviar informações de papel/entitlement como atributos do usuário, em vez de depender de grupos SCIM

    Em ambos os casos, o SCIM é utilizado apenas para o gerenciamento do ciclo de vida da conta, enquanto a autorização é tratada separadamente durante a autenticação.

    Por que os erros estão ocorrendo atualmente

    Os erros de provisionamento observados são um comportamento esperado quando:

    • Grupos estão atribuídos ao aplicativo e
    • O provisionamento de Grupos está habilitado e
    • O serviço SCIM não implementa o endpoint /Groups

    O Microsoft Entra ID assume que o endpoint /Groups existe, a menos que o provisionamento de grupos seja explicitamente desabilitado.

    Conclusão

    Para alcançar o comportamento desejado:

    • Manter a atribuição de grupos ao aplicativo para controle de escopo
    • Desabilitar Provisionar Grupos do Microsoft Entra ID nos mapeamentos de provisionamento
    • Provisionar usuários com sucesso via /Users
    • Evitar completamente erros relacionados ao /Groups

    Este é o modelo correto e suportado para implementar provisionamento SCIM apenas de usuários no Microsoft Entra ID.

    0 comentários

Sua resposta

As respostas podem ser marcadas como ‘Aceitas’ pelo autor da pergunta e ‘Recomendadas’ pelos moderadores, o que ajuda os usuários a saber a resposta que resolveu o problema do autor.