Provisionamento sob demanda no Microsoft Entra ID

Use o provisionamento sob demanda para provisionar um usuário ou grupo em segundos. Entre outras coisas, você pode usar essa capacidade para:

• Solucionar problemas de configuração rapidamente.
• Validar as expressões que você definiu.
• Usar filtros de escopo.

Como usar o provisionamento sob demanda

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais> e selecione seu aplicativo.
3. Selecione Provisionamento.

2. Navegue até Identidade>Identidades externas>Sincronização entre locatários>Configurações
3. Selecione sua configuração e vá para a página de configuração de Provisionamento.

4. Configure o provisionamento fornecendo suas credenciais de administrador.

5. Selecionar Provisionar sob demanda.

6. Pesquisar um usuário por nome, sobrenome, nome de exibição, nome principal de usuário ou endereço de email. Como alternativa, você pode procurar um grupo e escolher até cinco usuários.

   Observação

   Para o aplicativo de provisionamento de RH na nuvem (Workday/SuccessFactors para Active Directory/Microsoft Entra ID), o valor de entrada é diferente. Para o cenário do Workday, forneça “WorkerID” ou "WID" do usuário no Workday. Para o cenário SuccessFactors, forneça a “personIdExternal” do usuário no SuccessFactors.

7. Selecione Provisionar na parte inferior da página.

   

Entender as etapas de provisionamento

O processo de provisionamento sob demanda tenta mostrar as etapas que o serviço de provisionamento usa ao provisionar um usuário. Normalmente, há cinco etapas para provisionar um usuário. Uma ou mais dessas etapas, explicadas nas seções a seguir, são mostradas durante a experiência de provisionamento sob demanda.

Etapa 1: testar conexão

O serviço de provisionamento tenta autorizar o acesso ao sistema de destino fazendo uma solicitação para um “usuário de teste”. O serviço de provisionamento espera uma resposta que indica que o serviço está autorizado a continuar com as etapas de provisionamento. Esta etapa é mostrada apenas quando ela falha. Ela não é mostrada durante a experiência de provisionamento sob demanda quando a etapa é bem-sucedida.

Dicas de solução de problemas

• Verifique se você forneceu credenciais válidas, como o token secreto e a URL do locatário, para o sistema de destino. As credenciais necessárias variam de acordo com o aplicativo. Para obter os tutoriais de configuração detalhados, confira a lista do tutorial.
• Verifique se o sistema de destino dá suporte à filtragem nos atributos correspondentes definidos no painel Mapeamentos de atributo. Talvez seja necessário verificar a documentação da API fornecida pelo desenvolvedor do aplicativo para entender os filtros com suporte.
• Para o Sistema de Gerenciamento de Usuários entre Domínios (SCIM), você pode usar uma ferramenta como o Postman. Essas ferramentas ajudam a garantir que o aplicativo responda às solicitações de autorização da maneira que o serviço de provisionamento do Microsoft Entra espera. Observe uma solicitação de exemplo.

Etapa 2: importar usuário

Em seguida, o serviço de provisionamento recupera o usuário do sistema de origem. Os atributos de usuário que o serviço recupera são usados posteriormente para:

• Avaliar se o usuário está no escopo para provisionamento.
• Verificar o sistema de destino para um usuário existente.
• Determine quais atributos de usuário exportar para o sistema de destino.

Exibir detalhes

A seção Exibir detalhes mostra as propriedades do usuário que foram importados do sistema de origem (por exemplo, Microsoft Entra ID).

Dicas de solução de problemas

• A importação do usuário pode falhar quando o atributo correspondente estiver ausente no objeto de usuário no sistema de origem. Para resolver essa falha, tente uma destas abordagens:

  • Atualize o objeto de usuário com um valor para o atributo correspondente.
  • Altere o atributo correspondente em sua configuração de provisionamento.

• Se um atributo esperado estiver ausente na lista importada, verifique se o atributo tem um valor no objeto de usuário no sistema de origem. O serviço de provisionamento atualmente não dá suporte ao provisionamento de atributos nulos.

• Confirme se a página mapeamento de atributos de sua configuração de provisionamento tem o atributo que você espera.

Etapa 3: determinar se o usuário está no escopo

Em seguida, o serviço de provisionamento determina se o usuário está no escopo para provisionamento. O serviço considera aspectos como:

• Se o usuário está atribuído ao aplicativo.
• Se o escopo está definido como Sincronização atribuída ou Sincronizar todos.
• Os filtros de escopo definidos em sua configuração de provisionamento.

Exibir detalhes

A seção Exibir detalhes mostra as condições de escopo que foram avaliadas. Você poderá ver uma ou mais das propriedades de segurança a seguir:

• Ativo no sistema de origem indica que o usuário tem a propriedade IsActive definida como true no Microsoft Entra ID.
• Atribuído ao aplicativo indica que o usuário está atribuído ao aplicativo no Microsoft Entra ID.
• Sincronizar todos no escopo indica que a configuração do escopo permite todos os usuários e grupos no locatário.
• Usuário com função exigida indica que o usuário tem as funções necessárias para serem provisionadas no aplicativo.
• Filtros de escopo também são mostrados se você tiver definido filtros de escopo para seu aplicativo. O filtro é exibido com o seguinte formato: {título do filtro de escopo} {atributo do filtro de escopo} {operador do filtro de escopo} {valor do filtro de escopo}.

Dicas de solução de problemas

• Verifique se você definiu uma função de escopo válida. Por exemplo, evite usar o operador Greater_Than com um valor não inteiro.
• Se o usuário não tiver a função necessária, examine as dicas para provisionar usuários atribuídos à função de acesso padrão.

Etapa 4: corresponder o usuário entre a origem e o destino

Nesta etapa, o serviço tenta corresponder o usuário recuperado na etapa de importação com um usuário no sistema de destino.

Exibir detalhes

A página Exibir detalhes mostra as propriedades dos usuários que foram correspondidos no sistema de destino. O painel de contexto é alterado da seguinte forma:

• Se nenhum usuário corresponder no sistema de destino, nenhuma propriedade será mostrada.
• Se um usuário corresponder no sistema de destino, as propriedades desse usuário serão mostradas.
• Se vários usuários corresponderem, as propriedades de ambos os usuários serão mostradas.
• Se vários atributos correspondentes fizerem parte dos mapeamentos de atributo, cada atributo correspondente será avaliado em sequência e os usuários correspondentes para esse atributo serão mostrados.

Dicas de solução de problemas

• O serviço de provisionamento pode não ser capaz de corresponder um usuário no sistema de origem exclusivamente a um usuário no destino. Resolva esse problema garantindo que o atributo correspondente seja exclusivo.
• Verifique se o sistema de destino dá suporte à filtragem no atributo que é definido como o atributo correspondente.

Etapa 5: executar a ação

Por fim, o serviço de provisionamento executa uma ação, como criar, atualizar, excluir ou ignorar o usuário.

Veja um exemplo do que você pode ver após o provisionamento bem-sucedido sob demanda de um usuário:

Exibir detalhes

A seção Exibir detalhes exibe os atributos que foram modificados no sistema de destino. Essa exibição representa a saída final da atividade do serviço de provisionamento e os atributos que foram exportados. Se essa etapa falhar, os atributos exibidos representarão os atributos que o serviço de provisionamento tentou modificar.

Dicas de solução de problemas

• As falhas de exportação de alterações podem variar muito. Verifique a documentação sobre como provisionar os logs para falhas comuns.
• O provisionamento sob demanda diz que o grupo ou o usuário não pode ser provisionado porque não está atribuído ao aplicativo. Há um atraso na replicação de até alguns minutos entre o momento em que um objeto é atribuído a um aplicativo e o momento em que essa atribuição é cumprida no provisionamento sob demanda. Talvez seja necessário aguardar alguns minutos e tentar novamente.

Perguntas frequentes

• Você precisa desativar o provisionamento para usar o provisionamento sob demanda? Para aplicativos que utilizam um token de portador de longa duração ou um nome de usuário e uma senha para autorização, não são necessárias mais etapas. Os aplicativos que usam o OAuth para autorização atualmente exigem que o trabalho de provisionamento seja interrompido antes de usar o provisionamento sob demanda. Aplicativos como G Suite, Box, Workplace by Facebook e Slack se enquadram nessa categoria. O trabalho está em andamento para dar suporte ao provisionamento sob demanda para todos os aplicativos sem a necessidade de interromper os trabalhos de provisionamento.

• Quanto tempo leva o provisionamento sob demanda? O provisionamento sob demanda normalmente leva menos de 30 segundos.

Limitações conhecidas

Atualmente, há algumas limitações conhecidas para o provisionamento sob demanda. Poste suas sugestões e comentários para que possamos determinar melhor os aprimoramentos a serem feitos futuramente.

Observação

As limitações a seguir são específicas para o recurso de provisionamento sob demanda. Para obter informações sobre se um aplicativo dá suporte a grupos de provisionamento, exclusões ou outros recursos, confira o tutorial do aplicativo.

• O provisionamento sob demanda de grupos dá suporte à atualização de até cinco membros por vez. Conectores para sincronização entre locatários, Workday etc. não dão suporte ao provisionamento de grupo e, como resultado, não dão suporte ao provisionamento sob demanda de grupos.
• A API de solicitação de provisionamento sob demanda só pode aceitar um único grupo com até cinco membros por vez.

• O provisionamento sob demanda de grupos não tem suporte para sincronização entre locatários.

• O provisionamento sob demanda dá suporte ao provisionamento de um usuário por vez por meio do centro de administração do Microsoft Entra.
• Não há suporte para a restauração de um usuário excluído temporariamente no locatário de destino com provisionamento sob demanda. Se você tentar excluir suavemente um usuário com provisionamento sob demanda e depois restaurá-lo, isso poderá resultar em usuários duplicados.
• Não há suporte para o provisionamento sob demanda de grupos e funções.
• O provisionamento sob demanda dá suporte à desabilitação de usuários que foram desatribuídos do aplicativo. No entanto, ele não é compatível com a desabilitação ou exclusão de usuários que foram desabilitados ou excluídos do Microsoft Entra ID. Esses usuários não aparecem quando você procura um usuário.
• O provisionamento sob demanda não suporta grupos aninhados que não estejam diretamente atribuídos ao aplicativo.

Próximas etapas

• Solucionando problemas de provisionamento