Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta seção descreve as considerações ao armazenar dados de perfil do usuário no diretório do usuário. Encontre considerações de design para atributos a serem armazenados na ID do Microsoft Entra. Saiba como gerenciar a residência de dados e os requisitos de conformidade.
Diretório do usuário
Um modelo de usuário é um esquema lógico para um registro de usuário. O modelo contém atributos que os administradores de diretório e os proprietários do aplicativo concordam em armazenar no diretório. É a fonte autoritativa para cada um: coletada de usuários e não consultada a partir de um sistema externo.
Os atributos necessários para autenticação podem incluir dados sigilosos e sensíveis armazenados em uma fonte externa, como um sistema de gerenciamento de relacionamento com o cliente (CRM) ou um prontuário eletrônico (EHR). Não é necessário armazenar esses dados no diretório para autenticação. Em vez disso, ele é recuperado por meio de uma chamada de API RESTful com extensões customizadas de autenticação do Microsoft Entra ID. No token, são emitidas como reivindicações.
Seleção de atributos
A tabela a seguir tem atributos para definir seu modelo de usuário e em quais cenários usá-los.
| Tipo | Cenários |
|---|---|
| Atributos embutidos do diretório | - Valores persistidos e armazenados no diretório – Nome e tipo significativos – Disponíveis na lista padrão de atributos – Se não estiverem disponíveis, os valores de atributo serão definidos administrativamente |
| Atributos de usuário do cliente | - Valores persistidos e armazenados no diretório - Nenhum atributo interno disponível - Os requisitos de tipo de dados são suficientes |
| Extensões personalizadas | - Valores persistidos e armazenados em um CRM ou repositório externo - Os valores são buscados de uma fonte externa durante a autenticação, usando um manipulador de eventos – o valor buscado é emitido para o token |
O diagrama a seguir ilustra como as opções na tabela anterior se integram a um fluxo de usuário.
Atributos no diretório do usuário
A ID Externa do Microsoft Entra tem atributos padrão para objetos de usuário. Quando o modelo de usuário for necessário, você poderá criar atributos de extensão.
Para usar os atributos de extensão da ID Externa do Microsoft Entra, uma extensão de esquema é aplicada ao seu diretório. As extensões são associadas a um objeto de aplicativo e, em seguida, podem ser usadas como um atributo para todos os objetos de usuário do diretório e para todos os aplicativos. O objeto de aplicativo padrão para estender o esquema é o b2c-extensions-app, que é provisionado com seu diretório, por padrão.
Quando você define o atributo de extensão, o nome armazenado no diretório segue o formato: extension_GUID_Name. O GUID é a identificação do objeto de aplicação, contra o qual a extensão de esquema é registrada. Esse valor é específico do diretório. A captura de tela a seguir mostra o b2c-extensions-app, sua ID do aplicativo e o nome do atributo retornado pela API do Microsoft Graph.
GET: https://graph.microsoft.com/v1.0/applications/{application-id}/extensionProperties
"value": [</br>
{</br>
"id": "b7271a2b-a03e-48f7-abf0-54d21427987a",</br>
"deletedDateTime": null,</br>
"appDisplayName": "",</br>
"dataType": "String",</br>
"isMultiValued": false,</br>
"isSyncedFromOnPremises": false,</br>
"name": "extension_8beb06b77e314e2393cc5453a6a56756_lastName",</br>
"targetObjects": [</br>
"User"</br>
]</br>
}
Os formatos de dados com suporte incluem:
- Cadeia de caracteres (máximo de 56 caracteres)
- booleano
- Inteiro (valor de 32 bits)
Gerencie extensões de diretório por meio do Centro de administração do Microsoft Entra ou com a API do Microsoft Graph.
Migração de dados do usuário
Ao migrar para a ID Externa do Microsoft Entra, considere as chaves primárias, as chaves estrangeiras (ou as chaves de junção) ou os atributos usados por sistemas de identidade e aplicativos para compatibilidade. Um exemplo são os identificadores de objeto de sistemas de identidade herdados, emitidos como identificadores persistentes de nome ou assunto em tokens. Além disso, um exemplo é outros atributos de diretório usados como identificadores exclusivos por sistemas integrados: endereços de email, nomes de logon curto, IDs de CRM e IDs do sistema de gerenciamento de pedidos. Para atender a duas finalidades, mantenha estes valores:
- Histórico de auditoria – Ao investigar atividades, consulte os logs arquivados do sistema herdado. Uma chave de junção entre sistemas facilita esse cenário. Ajude a atender aos requisitos de conformidade, como:
- Função contínua de sistemas integrados – A migração pode envolver a consolidação de sistemas de identidade que usam diferentes identificadores primários. Preserve os identificadores para habilitar a configuração de formas de token específicas do aplicativo com os identificadores de nome ou assunto corretos. Os aplicativos funcionam conforme o esperado. Exemplo: um sistema de gerenciamento de pedidos mostra compras anteriores para o usuário, após a migração.
Documentar informações para evitar possíveis problemas posteriormente. Estabeleça um dicionário de atributos para desenvolvedores de aplicativos atuais e futuros. Na tabela a seguir está um exemplo.
| Nome do atributo | Tipo | Tipo de dados | Fonte de dados ou proprietário | Utilização |
|---|---|---|---|---|
| Integrado ou personalizado | Cadeia de caracteres, int, etc. | Do conjunto definido de usuários ou administradores | Aplicativos ou auditoria |
Inclua informações sobre a fonte de autoridade, também quem, o que, quando e como os atributos são atualizados.
Importante
Nem todos os dados do aplicativo pertencem ao diretório. Para uma escala maior, atualizações contínuas e sincronização de dados apresentam desafios e podem causar resultados imprevisíveis.
Projetar
Nesta seção, saiba mais sobre aspectos do design: nomenclatura e convenções, arquitetura de referência, padrões de integração e muito mais.
Convenção de nomenclatura
O uso de padrões e convenções de diretório torna a estrutura de diretório facilmente compreendida. Essa abordagem se aplica à nomenclatura de aplicativos, usuários, atributos etc.
Arquitetura de referência e padrões de integração
Documente decisões e padrões de integração para que as equipes de desenvolvimento possam ser independentes e consistentes. Inclua detalhes organizacionais, como princípios de design, arquiteturas de integração, diagramas de sequência e fluxo de dados, fontes de dados, políticas de retenção, padrões de segurança etc.
Quando possível, consulte a documentação do produto em vez de duplicar o conteúdo na documentação de referência. Os aplicativos de exemplo são comprovadamente aceleradores para desenvolvedores e integradores.
Administração
No Microsoft Entra ID, se outro administrador ou não administrador precisar gerenciar recursos do Microsoft Entra, atribua a eles uma função do Microsoft Entra com as permissões necessárias.
Saiba mais sobre as funções internas do Microsoft Entra.
Embora não haja restrições às atribuições de função de usuário no diretório de identidades externas, recomendamos que você convide contas administrativas do diretório da força de trabalho empresarial.
Observação
Há uma meta futura de incluir um recurso de gerenciamento de identidade privilegiado na ID Externa do Microsoft Entra.
Operações de dados de diretório
Os dados de diretório incluem os objetos armazenados no diretório, como usuários, aplicativos e entidades de serviço.
Observação
A Microsoft faz backup de dados de diretório regularmente, e eles estão disponíveis para restauração pela Microsoft.
O diretório cria alguns valores durante a criação do objeto, como IDs de objeto e aplicativo. Eles não podem ser duplicados ou recriados com os mesmos valores.
Você pode restaurar ou remover permanentemente usuários excluídos recentemente.
Para objetos relevantes para identidades externas, como usuários, grupos e entidades de serviço, confira a recuperação de exclusões na ID do Microsoft Entra.
Recomendamos que todos os trabalhos em lotes que processem dados de diretório, para tarefas de manutenção ou sincronização, gerem logs de atividades além dos logs de auditoria gerados pelo sistema. Após a operação em lote, inspecione-os.
Conformidade
Reúna os requisitos de conformidade aos quais o diretório está sujeito. Baseie essas informações nos mercados de operações. Em alguns setores, ou país-região de operações, esses detalhes podem mudar.
Para saber mais, confira a documentação de conformidade do Azure.
Embora a plataforma adere a determinados padrões, o operador é responsável pela manutenção de dados do diretório e pela garantia de conformidade para os clientes. Por exemplo, os produtos do Microsoft Entra são compatíveis com o GDPR (Regulamento Geral de Proteção de Dados) e têm APIs para operações de diretório. Portanto, a Microsoft é o processador de dados. O proprietário do diretório na função de Controlador fornece ao usuário uma opção de "esquecer-me". O proprietário executa a API para remover o usuário do diretório.
Colete os requisitos de conformidade e envolva equipes jurídicas. A tabela a seguir é uma ferramenta de apoio para coletar requisitos.
| Parâmetro | Conformidade e requisitos |
|---|---|
| País ou região da operação 1 | |
| País ou região da operação 2 | |
| Setor | |
| Autoridade regulatória |
Use essas informações para verificar os dados armazenados no diretório e sua configuração. As informações podem pertencer a atributos no diretório. Reconheça que determinadas combinações de atributo, como nome, nome da família e cidade, podem estar dentro dos limites de conformidade. Além disso, esse cenário pode se aplicar aos requisitos de retenção e criptografia de log especificados na configuração. Documente requisitos de configuração específicos para ajudar a manter a configuração. Os requisitos de conformidade evoluem mais rapidamente em resposta a ameaças cibernéticas, mudanças políticas e sociais. Use o seguinte auxílio de trabalho.
| Configuração do locatário | Referência de conformidade |
|---|---|
| Retenção de log | |
| Configuração de criptografia | |
| Armazenamento de atributos | |
| Separação de funções | |
| Complexidade de senha | |
| ... |
Observação
Ao interpretar os requisitos de conformidade e configuração, consulte as equipes jurídicas e de conformidade para obter diretrizes e consensos.
Limites de serviço
Os pontos de extremidade de locatário da ID Externa do Microsoft Entra estão sujeitos a limites de limitação, que reduzem as chamadas simultâneas e impedem o uso excessivo de recursos. Isso ajuda a proteger os produtos e serviços da Microsoft entregues a todos os clientes.
A tabela a seguir lista os principais cenários e componentes de serviço para criar soluções com a ID Externa do Microsoft Entra.
| Cenário | Componente | Diretrizes de limitação |
|---|---|---|
| Tarefas administrativas que realizam operações CRUD (criar, ler, atualizar e excluir) nos locatários do Microsoft Entra External ID, como fluxos de usuário ou objetos. | Microsoft Graph API |
-
Diretrizes de limitação do Graph - Limites de serviço do Graph |
| Inscrição, login e redefinição de senha com fluxos de usuários | ID externa do Microsoft Entra | Limites de serviço de ID externa do Microsoft Entra |
A API do Microsoft Graph tem vários tipos de limite e cotas associadas. A precedência de imposição é mais alta para aplicativo + locatário e mais baixa para locatário. Como a ID Externa do Microsoft Entra não dá suporte a aplicativos multilocatários, o limite por aplicativo não se aplica.
Por exemplo, um aplicativo + locatário atinge seu limite de cota antes que a cota de locatário seja atingida. Essa ação permite que outros aplicativos se comuniquem com o locatário.
Em operações de diretório de grande volume realizadas uma única vez, como a migração de usuários, aumente a taxa de transferência usando operações em lote e até seis registros de aplicativos para executar operações no Microsoft Graph.
Essa abordagem pode exceder os limites de restrição de locatário. Quando os aplicativos atingem limites, eles não podem interagir com o diretório, o que pode fazer com que outras cargas de trabalho falhem. Tenha cuidado quando vários aplicativos aumentarem o desempenho de uma carga de trabalho.
Observação
Alguns tipos de recursos da API do Microsoft Graph podem ter limites de limitação diferentes e mais rigorosos para segurança. Abra um chamado de suporte com o Suporte da Microsoft para planejar medidas de mitigação caso a caso.
Próximas etapas
Use os seguintes artigos para ajudá-lo a iniciar uma implantação da ID Externa do Microsoft Entra:
- Introdução ao guia de implantação da ID Externa do Microsoft Entra
- Design do locatário
- Experiência de autenticação do cliente
- operações de segurança
- Arquitetura de controle de acesso e autenticação