O que é o provisionamento de aplicativos no Microsoft Entra ID?
No Microsoft Entra ID, o termo provisionamento de aplicativo refere-se à criação automática de identidades e funções de usuário nos aplicativos de nuvem aos quais os usuários precisam ter acesso.
O provisionamento de aplicativos do Microsoft Entra refere-se à criação automática de identidades e funções de usuário nos aplicativos que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Os cenários comuns incluem o provisionamento de um usuário do Microsoft Entra em aplicativos SaaS como Dropbox, Salesforce, ServiceNow, entre outros.
O Microsoft Entra ID também dá suporte ao provisionamento de usuários em aplicativos hospedados localmente ou em uma máquina virtual, sem precisar abrir nenhum firewall. A tabela a seguir fornece um mapeamento de protocolos para os conectores com suporte.
Protocolo | Conector |
---|---|
SCIM | SCIM — SaaS SCIM – Rede local / privada |
LDAP | LDAP |
SQL | SQL |
REST | Serviços Web |
SOAP | Serviços Web |
Arquivo plano | PowerShell |
Personalizado | Conectores da ECMA personalizados Conectores e gateways desenvolvidos por parceiros |
- Automatizar o provisionamento: Crie automaticamente novas contas nos sistemas certos quando novas pessoas entrarem em sua equipe ou organização.
- Automatizar o desprovisionamento: desative automaticamente as contas nos sistemas certos quando as pessoas deixarem a equipe ou a organização.
- Sincronize dados entre sistemas: mantenha as identidades em aplicativos e sistemas atualizadas com base nas alterações no diretório ou em seu sistema de recursos humanos.
- Provisionar grupos: provisione grupos a aplicativos compatíveis com eles.
- Controlar o acesso: monitore e audite os usuários provisionados em aplicativos.
- Implantar diretamente em cenários de campo marrom: combine identidades existentes entre sistemas diferentes e permita uma integração fácil, mesmo quando os usuários já existem no sistema de destino.
- Usar personalização avançada: aproveite os mapeamentos personalizáveis de atributos que definem quais dados do usuário devem fluir do sistema de origem para o sistema de destino.
- Obter alertas para eventos críticos: o serviço de provisionamento fornece alertas para eventos críticos e permite a integração do Log Analytics, em que é possível definir alertas personalizados para atender às suas necessidades comerciais.
O que é um SCIM?
Para ajudar a automatizar o provisionamento e o desprovisionamento, os aplicativos expõem APIs de usuário e de grupo proprietárias. O gerenciamento de usuários em mais de um aplicativo é um desafio porque cada aplicativo tenta executar as mesmas ações. Por exemplo, criar ou atualizar usuários, adicionar usuários a grupos ou desprovisionar usuários. Geralmente, os desenvolvedores implementam essas ações de forma ligeiramente diferente. Por exemplo, usando caminhos de ponto de extremidade diferentes, métodos diferentes para especificar informações de usuário e um esquema diferente para representar cada elemento dessas informações.
Para resolver esses desafios, a especificação do SCIM (Sistema de Gerenciamento de Usuários entre Domínios) fornece um esquema de usuário comum para ajudar os usuários a migrar dos aplicativos e para eles, bem como administrá-los. O SCIM está se tornando o padrão verdadeiro para provisionamento e, quando usado com padrões de federação como SAML (Security Assertion Markup Language) ou OIDC (OpenID Connect), ele fornece aos administradores uma solução de ponta a ponta baseada em padrões para o gerenciamento de acesso.
Para obter diretrizes detalhadas sobre como desenvolver um ponto de extremidade SCIM para automatizar o provisionamento e o desprovisionamento de usuários e grupos para um aplicativo, confira Criar um ponto de extremidade SCIM e configurar o provisionamento de usuários. Muitos aplicativos se integram diretamente ao Microsoft Entra ID. Alguns exemplos incluem o Slack, o Azure Databricks e o Snowflake. Para esses aplicativos, ignore a documentação para desenvolvedores e use os tutoriais fornecidos em Tutoriais para integrar aplicativos SaaS ao Microsoft Entra ID.
Provisionamento manual versus automático
Os aplicativos na galeria do Microsoft Entra são compatíveis com um de dois modos de provisionamento:
- O provisionamento manual significa que ainda não há um conector de provisionamento automático do Microsoft Entra para o aplicativo. É preciso criá-los manualmente. Entre os exemplos estão a adição de usuários diretamente no portal administrativo do aplicativo ou o upload de uma planilha com detalhes da conta de usuário. Consulte a documentação fornecida pelo aplicativo ou entre em contato com o desenvolvedor do aplicativo para determinar quais mecanismos estão disponíveis.
- Automático significa que o conector de provisionamento do Microsoft Entra foi desenvolvido para esse aplicativo. Siga o tutorial de instalação específico para a configuração de provisionamento para o aplicativo. Confira os tutoriais de aplicativos em Tutoriais para a integração de aplicativos SaaS ao Microsoft Entra ID.
O modo de provisionamento com suporte em um aplicativo também ficará visível na guia Provisionamento depois que você tiver adicionado o aplicativo aos seus aplicativos empresariais.
Benefícios do provisionamento automático
O número de aplicativos usados nas organizações modernas continua a crescer. Como administrador de TI, você precisa administrar o gerenciamento de acesso em grande escala. Você usa padrões como SAML ou OIDC para SSO (logon único), mas o acesso também requer que você provisione usuários para um aplicativo. Você pode estar pensando que provisionamento significa criar manualmente cada conta de usuário ou carregar arquivos CSV a cada semana. Esses processos são demorados, caros e propensos a erros. Para simplificar o processo, use o JIT (Just-In-Time) do SAML para automatizar o provisionamento. Use o mesmo processo para desprovisionar usuários quando eles saem da organização ou não precisam mais de acesso a determinados aplicativos, com base em uma alteração de função.
Algumas motivações comuns para usar o provisionamento automático incluem:
- Maximizar a eficiência e a precisão dos processos de provisionamento.
- Economizar em custos associados à hospedagem e à manutenção dos scripts e das soluções de provisionamento personalizadas.
- Proteger sua organização removendo instantaneamente as identidades dos usuários dos principais aplicativos SaaS quando eles saírem da organização.
- Importar facilmente uma grande quantidade de usuários em um determinado aplicativo SaaS ou sistema.
- Um único conjunto de políticas para determinar quais usuários provisionados podem entrar em um aplicativo.
O provisionamento de usuários do Microsoft Entra pode ajudar a vencer esses desafios. Para saber mais sobre como os clientes usam o provisionamento de usuários do Microsoft Entra, leia o estudo de caso da ASOS. O vídeo a seguir fornece uma visão geral do provisionamento de usuários no Microsoft Entra ID.
Quais aplicativos e sistemas posso usar com o provisionamento de usuário automático do Microsoft Entra?
O Microsoft Entra apresenta suporte pré-integrado para vários sistemas de recursos humanos e aplicativos SaaS populares, bem como suporte genérico para aplicativos que implementam partes específicas do padrão SCIM 2.0.
Aplicativos pré-integrados (aplicativos SaaS de galeria): encontre todos os aplicativos que contam com o suporte para um conector de provisionamento pré-integrado oferecido pelo Microsoft Entra ID em Tutoriais para integrar aplicativos SaaS ao Microsoft Entra ID. Os aplicativos pré-integrados listados na galeria geralmente usam APIs de gerenciamento de usuários com base no SCIM 2.0 para provisionamento.
Para solicitar um novo aplicativo para fins de provisionamento, confira Enviar uma solicitação para publicar seu aplicativo na galeria de aplicativos do Microsoft Entra. Para uma solicitação de provisionamento de usuários, exigimos que o aplicativo tenha um ponto de extremidade em conformidade com SCIM. Solicite que o fornecedor do aplicativo siga o padrão SCIM para que possamos integrar o aplicativo à nossa plataforma rapidamente.
Aplicativos que dão suporte a SCIM 2.0: para obter informações sobre como se conectar genericamente a aplicativos que implementam APIs de gerenciamento de usuários com base em SCIM 2.0, confira Criar um ponto de extremidade SCIM e configurar o provisionamento de usuários.
Aplicativos que usam um diretório ou banco de dados existente, ou fornecem uma interface de provisionamento: Veja tutoriais sobre como provisionar um diretório LDAP, um banco de dados SQL, possuem uma interface REST ou SOAP, ou podem ser acessados através do PowerShell, um conector ECMA personalizado ou conectores e gateways criados por parceiros.
Aplicativos que suportam provisionamento Just-in-time via SAML.
Como configurar o provisionamento automático para um aplicativo?
Para os aplicativos pré-integrados listados na galeria, use as diretrizes passo a passo existentes para configurar o provisionamento automático. Confira Tutoriais para integrar aplicativos SaaS ao Microsoft Entra ID. O vídeo a seguir mostra o que fazer para configurar o provisionamento automático de usuários para o SalesForce.
Para outros aplicativos que dão suporte ao SCIM 2.0, execute as etapas em Criar um ponto de extremidade SCIM e configurar o provisionamento de usuários.