Provisionamento de aplicativo local do Microsoft Entra para aplicativos habilitados para SCIM
O serviço de provisionamento do Microsoft Entra dá suporte a um cliente do SCIM 2.0 que pode ser usado para provisionar automaticamente os usuários em aplicativos locais ou na nuvem. Este artigo descreve como você pode usar o serviço de provisionamento do Microsoft Entra para provisionar usuários em um aplicativo local que está habilitado para SCIM. Se você quiser provisionar usuários em aplicativos locais não SCIM que usam o SQL como um armazenamento de dados, consulte o Tutorial do conector SQL genérico do host do conector ECMA do Microsoft Entra. Se você quiser provisionar usuários em aplicativos de nuvem, como o Dropbox e o Atlassian, examine os tutoriais específicos do aplicativo.
Pré-requisitos
- Um locatário do Microsoft Entra com Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). O uso desse recurso requer licenças de P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
- Função de administrador para instalar o agente. Essa tarefa é um esforço único e deve ser uma conta do Azure com, no mínimo, a função de Administrador de Identidade Híbrida.
- Os administradores devem ter no mínimo a função de Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou uma função personalizada com permissões.
- Um computador com pelo menos 3 GB de RAM para hospedar um agente de provisionamento. O computador deve ter o Windows Server 2016 ou uma versão posterior do Windows Server, com conectividade com o aplicativo de destino e conectividade de saída com login.microsoftonline.com, outros Serviços Online da Microsoft e domínios do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada na IaaS do Azure ou por trás de um proxy.
- Verifique se a sua implementação do SCIM atende aos requisitos do SCIM do Microsoft Entra. O Microsoft Entra ID oferece um código de referência de código aberto que os desenvolvedores podem usar para inicializar a implementação do SCIM, conforme descrito em Tutorial: Desenvolver um ponto de extremidade de exemplo do SCIM no Microsoft Entra ID.
- Suporte ao ponto de extremidade /schemas para reduzir a configuração necessária no portal do Microsoft Azure.
Instalar e configurar o agente de provisionamento do Microsoft Entra Connect
- Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais.
- Pesquise o aplicativo SCIM local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
- Do menu, navegue até a página de Provisionamento do seu aplicativo.
- Selecione Introdução.
- Na página Provisionamento, altere o modo para Automático.
- Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos e baixar.
- Saia do portal e abra o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.
- Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.
- Na etapa Selecionar Extensão, selecione Provisionamento de aplicativo local e, em seguida, selecione Avançar.
- O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você e potencialmente se autenticar no Microsoft Entra ID e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar os sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
- Forneça credencial para um administrador do Microsoft Entra quando solicitado a autorizar. O usuário deve ter, no mínimo, a função Administrador de Identidade Híbrida.
- Selecione Confirmar para confirmar a configuração. Depois que a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do pacote do agente de provisionamento.
Configurar a conexão por meio do agente de provisionamento
Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.
Navegue até Identidade>Aplicativos>Aplicativos empresariais.
Procure o aplicativo criado anteriormente.
Do menu, navegue até a página de Provisionamento do seu aplicativo.
No portal, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agente(s).
Reinicie o serviço do agente de provisionamento ou aguarde 10 minutos antes de testar a conexão.
No campo URL do locatário , insira a URL do ponto de extremidade do SCIM do aplicativo. Exemplo:
https://api.contoso.com/scim/Copie o token de portador OAuth necessário para o ponto de extremidade SCIM no campo Token Secreto.
Selecione Testar Conectividade para fazer com que o Microsoft Entra ID tente se conectar ao ponto de extremidade do SCIM. Se a tentativas falhar, informações de erro serão exibidas.
Quando a tentativa de conexão ao aplicativo for bem-sucedida, selecione Salvar para salvar as credenciais de administrador.
Mantenha essa janela do navegador aberta, conforme você conclui a próxima etapa de configuração usando o assistente de configuração.
Provisionamento para aplicativo habilitado para SCIM
Depois que o agente é instalado, nenhuma configuração adicional é necessária localmente e todas as configurações de provisionamento são gerenciadas no portal. Repita as etapas abaixo para cada aplicativo local provisionado por meio do SCIM.
- Configure os mapeamentos de atributo ou as regras de escopo necessárias para seu aplicativo.
- Adicione usuários ao escopo atribuindo usuários e grupos ao aplicativo.
- Teste o provisionamento de alguns usuários sob demanda.
- Adicione mais usuários ao escopo atribuindo-os ao aplicativo.
- Acesse o painel Provisionamento e selecione Iniciar o provisionamento.
- Monitore-o usando os logs de provisionamento.
O vídeo a seguir fornece uma visão geral do provisionamento local.