O que é o provisionamento de aplicativos no Azure Active Directory?

No Azure AD (Azure Active Directory), o termo provisionamento de aplicativo refere-se à criação automática de identidades e funções de usuário nos aplicativos de nuvem aos quais os usuários precisam ter acesso.

Diagram that shows provisioning scenarios.

O provisionamento de aplicativo do Azure Active Directory refere-se à criação automática de identidades e funções de usuário nos aplicativos que os usuários precisam acessar. Além de criar identidades de usuário, o provisionamento automático inclui a manutenção e a remoção de identidades de usuário à medida que o status ou as funções mudam. Os cenários comuns incluem o provisionamento de um usuário do Azure AD em aplicativos SaaS como Dropbox, Salesforce, ServiceNow, entre outros.

O Azure Active Directory também dá suporte ao provisionamento de usuários em aplicativos hospedados localmente ou em uma máquina virtual, sem precisar abrir nenhum firewall. Se seu aplicativo der suporte a SCIM ou se você tiver criado um gateway SCIM para se conectar ao seu aplicativo herdado, poderá usar o agente de provisionamento do Azure ad para se conectar diretamente ao seu aplicativo e automatizar o provisionamento e o desprovisionamento. se você tiver aplicativos herdados que não dão suporte a SCIM e confiar em um armazenamento de usuário LDAP ou em um banco de dados SQL , o Azure AD também poderá dar suporte a eles.

O provisionamento de aplicativos permite que você:

  • Automatizar o provisionamento: Crie automaticamente novas contas nos sistemas certos quando novas pessoas entrarem em sua equipe ou organização.
  • Automatizar o desprovisionamento: desative automaticamente as contas nos sistemas certos quando as pessoas deixarem a equipe ou a organização.
  • Sincronizar dados entre sistemas: mantenha as identidades em seus aplicativos e os sistemas atualizados com base nas alterações no diretório ou em seu sistema de recursos humanos.
  • Provisionar grupos: provisione grupos a aplicativos compatíveis com eles.
  • Controlar o acesso: monitore e audite quem foi provisionado em seus aplicativos.
  • Implantar diretamente em cenários de campo marrom: combine identidades existentes entre sistemas diferentes e permita uma integração fácil, mesmo quando os usuários já existem no sistema de destino.
  • Usar personalização avançada: aproveite os mapeamentos personalizáveis de atributos que definem quais dados do usuário devem fluir do sistema de origem para o sistema de destino.
  • Obter alertas para eventos críticos: o serviço de provisionamento fornece alertas para eventos críticos e permite a integração do Log Analytics, em que é possível definir alertas personalizados para atender às suas necessidades comerciais.

O que é um SCIM?

Para ajudar a automatizar o provisionamento e o desprovisionamento, os aplicativos expõem APIs de usuário e de grupo proprietárias. Mas, qualquer pessoa que tenha tentado gerenciar usuários em mais de um aplicativo informará a você que cada aplicativo tenta executar as mesmas ações, como criar ou atualizar usuários, adicionar usuários a grupos ou desprovisionar usuários. Ainda assim, todas essas ações são implementadas de maneira um pouco diferente usando caminhos de ponto de extremidade diferentes, métodos diferentes para especificar informações de usuário e um esquema diferente para representar cada elemento dessas informações.

Para resolver esses desafios, a especificação do SCIM (Sistema de Gerenciamento de Usuários entre Domínios) fornece um esquema de usuário comum para ajudar os usuários a migrar dos aplicativos e para eles, bem como administrá-los. O SCIM está se tornando o padrão verdadeiro para provisionamento e, quando usado com padrões de federação como SAML (Security Assertion Markup Language) ou OIDC (OpenID Connect), ele fornece aos administradores uma solução de ponta a ponta baseada em padrões para o gerenciamento de acesso.

Para obter diretrizes detalhadas sobre como desenvolver um ponto de extremidade SCIM para automatizar o provisionamento e o desprovisionamento de usuários e grupos para um aplicativo, confira Criar um ponto de extremidade SCIM e configurar o provisionamento de usuários. Para aplicativos pré-integrados na galeria, como Slack, Azure Databricks e Snowflake, você pode ignorar a documentação do desenvolvedor e usar os tutoriais fornecidos em Tutoriais para integrar aplicativos SaaS ao Azure Active Directory.

Provisionamento manual versus automático

Os aplicativos na galeria do Azure AD são compatíveis com um de dois modos de provisionamento:

  • O provisionamento manual significa que ainda não há um conector de provisionamento automático do Azure AD para o aplicativo. As contas de usuário devem ser criadas manualmente. Entre os exemplos estão a adição de usuários diretamente no portal administrativo do aplicativo ou o upload de uma planilha com detalhes da conta de usuário. Consulte a documentação fornecida pelo aplicativo ou entre em contato com o desenvolvedor do aplicativo para determinar quais mecanismos estão disponíveis.
  • Automático significa que o conector de provisionamento do Azure AD foi desenvolvido para este aplicativo. Siga o tutorial de instalação específico para a configuração de provisionamento para o aplicativo. Confira tutoriais de aplicativo em Tutoriais para a integração de aplicativos SaaS ao Azure Active Directory.

O modo de provisionamento com suporte em um aplicativo também ficará visível na guia Provisionamento depois que você tiver adicionado o aplicativo aos seus aplicativos empresariais.

Benefícios do provisionamento automático

Conforme o número de aplicativos usados em organizações modernas continua a crescer, os administradores de TI têm a tarefa de gerenciar o acesso em escala. Padrões como SAML ou OIDC permitem que os administradores configurem rapidamente o SSO (logon único), mas o acesso também exige que os usuários sejam provisionados no aplicativo. Para muitos administradores, o provisionamento significa criar manualmente todas as contas de usuário ou carregar arquivos CSV a cada semana. Esses processos são demorados, caros e propensos a erros. Soluções como SAML JIT (Just-In-Time) foram adotadas para automatizar o provisionamento. As empresas também precisam de uma solução para desprovisionar usuários quando deixam a organização ou não precisam mais de acesso a determinados aplicativos com base na alteração de função.

Algumas motivações comuns para usar o provisionamento automático incluem:

  • Maximizar a eficiência e a precisão dos processos de provisionamento.
  • Economizar em custos associados à hospedagem e à manutenção dos scripts e das soluções de provisionamento personalizadas.
  • Proteger sua organização removendo instantaneamente as identidades dos usuários dos principais aplicativos SaaS quando eles saírem da organização.
  • Importar facilmente uma grande quantidade de usuários em um determinado aplicativo SaaS ou sistema.
  • Ter um único conjunto de políticas para determinar quem é provisionado e quem pode entrar um aplicativo.

O provisionamento de usuários do Azure AD pode ajudar a vencer esses desafios. Para saber mais sobre como os clientes usam o provisionamento de usuários do Azure AD, leia o estudo de caso da ASOS. O vídeo a seguir fornece uma visão geral do provisionamento de usuários no Azure AD.

Quais aplicativos e sistemas posso usar com o provisionamento de usuário automático do Azure AD?

O Azure AD apresenta suporte pré-integrado para vários sistemas de recursos humanos e aplicativos SaaS populares, bem como suporte genérico para aplicativos que implementam partes específicas do padrão SCIM 2.0.

Como configurar o provisionamento automático para um aplicativo?

Para aplicativos pré-integrados listados na galeria, diretrizes passo a passo estão disponíveis para configuração do provisionamento automático. Confira Tutoriais para a integração de aplicativos SaaS ao Azure Active Directory. O vídeo a seguir demonstra como configurar o provisionamento automático de usuários para o SalesForce.

Para outros aplicativos que dão suporte ao SCIM 2.0, execute as etapas em Criar um ponto de extremidade SCIM e configurar o provisionamento de usuários.

Próximas etapas