Tutorial: Como configurar o Dagster Cloud para provisionamento automático de usuário
Esse tutorial descreve as etapas que você precisa executar no Dagster Cloud e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para o Dagster Cloud usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Funcionalidades com suporte
- Como criar usuários no Dagster Cloud.
- Remova usuários no Dagster Cloud quando eles não precisarem mais de acesso.
- Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e o Dagster Cloud.
- Provisione grupos e associações de grupo no Dagster Cloud.
- FaçaLogon único no Dagster Cloud (recomendado).
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou Proprietário do Aplicativo.
- Uma conta de usuário no Dagster Cloud com permissões de Administrador.
Etapa 1: Planeje a implantação do provisionamento
- Saiba mais sobre como funciona o serviço de provisionamento.
- Determine quem estará no escopo de provisionamento.
- Determine quais dados devem ser mapeados entre o Microsoft Entra ID e o Dagster Cloud.
Etapa 2: configurar o Dagster Cloud para dar suporte ao provisionamento com o Microsoft Entra ID
- Entre na sua conta do Dagster Cloud.
- Clique no menu do usuário (seu ícone) > Configurações de Nuvem.
- Clique o provisionamento guia.
- Se o provisionamento SCIM não estiver habilitado, clique no botão Habilitar provisionamento SCIM para habilitá-lo.
- Clique em Criar token SCIM para criar um token de API. Esse token será usado para autenticar solicitações do Microsoft Entra ID para o Dagster Cloud. Mantenha o token de API à mão: você precisará dele mais tarde na etapa 5.
Etapa 3: adicionar o Dagster Cloud por meio da galeria de aplicativos do Microsoft Entra
Adicione o Dagster Cloud da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no Dagster Cloud. Se você já tiver configurado o Dagster Cloud para SSO, poderá usar o mesmo aplicativo. No entanto, recomendamos que criar um aplicativo diferente ao testar a integração no início. Saiba mais sobre como adicionar um aplicativo da galeria aqui.
Etapa 4: Defina quem estará no escopo de provisionamento
O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem será provisionado com base na atribuição ao aplicativo e ou com base em atributos do usuário/grupo. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas a seguir para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos do usuário ou do grupo, poderá usar um filtro de escopo, conforme descrito aqui.
Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Quando o escopo de provisionamento é definido para usuários e grupos atribuídos, é possível controlar isso atribuindo um ou dois usuários ou grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, é possível especificar um atributo com base no filtro de escopo.
Caso você precise de mais funções, atualize o manifesto do aplicativo para adicionar novas funções.
Etapa 5: configurar o provisionamento automático de usuário para o Dagster Cloud
Essa seção orienta para seguir as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base nas atribuições de usuário e/ou grupo no Microsoft Entra ID.
Para configurar o provisionamento automático de usuário para o Dagster Cloud no Microsoft Entra ID:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais
Na lista de aplicativos, escolha Dagster Cloud.
Selecione a guia Provisionamento.
Defina o Modo de Provisionamento como Automático.
Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto do Dagster Cloud. A URL do Locatário é
https://*your-org-name*.dagster.cloud/scim/v2e o Token Secreto é o token SCIM que você criou na etapa 2 acima. Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao Dagster Cloud.
No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.
Selecione Salvar.
Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Dagster Cloud.
Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Dagster Cloud na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para corresponder as contas de usuário no Dagster Cloud para operações de atualização. Se você optar por alterar o atributo de destino correspondente, precisará certificar-se de que a API do Dagster Cloud seja compatível com a filtragem de usuários com base no atributo em questão. Selecione o botão Salvar para confirmar as alterações.
Atributo Type Com suporte para filtragem Exigido pelo Dagster Cloud userName String ✓ ✓ ativo Boolean displayName String emails[type eq "work"].value String name.givenName String name.familyName String externalId String Se você quiser sincronizar os grupos do Microsoft Entra com Dagster Cloud, na seção Mapeamentos, selecione Sincronizar Grupos do Microsoft Entra com o Dagster Cloud.
Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o Dagster Cloud na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no Dagster Cloud em operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Type Com suporte para filtragem Exigido pelo Dagster Cloud displayName String ✓ ✓ externalId String membros Referência Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.
Para habilitar o serviço de provisionamento do Microsoft Entra para o Dagster Cloud, altere o Status de provisionamento para Ativado na seção Configurações.
Defina os usuários e/ou grupos que você gostaria de provisionar no Dagster Cloud escolhendo os valores desejados em Escopo na seção Configurações.
Quando você estiver pronto para provisionar, clique em Salvar.
Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.
Etapa 6: Monitorar a implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar a implantação:
- Use os logs de provisionamento para determinar quais usuários foram provisionados com êxito ou não
- Confira a barra de progresso para ver o status do ciclo de provisionamento e quanto falta para a conclusão
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena aqui.
Mais recursos
- Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
- O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?