Tutorial: Configurar o Federated Directory para o provisionamento automático de usuário

O objetivo deste tutorial é demonstrar as etapas a serem seguidas no Federated Directory e no Microsoft Entra ID a fim de configurar o Microsoft Entra ID para provisionar e cancelar o provisionamento de usuários e/ou grupos no Federated Directory automaticamente.

Observação

Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:

• Um locatário do Microsoft Entra.
• Um Federated Directory.
• Uma conta de usuário no Federated Directory com permissões de Administrador.

Atribuir usuários ao Federated Directory

O Microsoft Entra ID usa um conceito chamado atribuições para determinar quais usuários devem receber acesso aos aplicativos selecionados. No contexto do provisionamento automático de usuário, somente os usuários e/ou grupos que foram atribuídos a um aplicativo no Microsoft Entra ID são sincronizados.

Antes de configurar e habilitar o provisionamento automático de usuários, é necessário decidir quais usuários e/ou grupos no Microsoft Entra ID precisam de acesso ao Federated Directory. Depois de decidir isso, você poderá atribuir esses usuários e/ou grupos ao Federated Directory seguindo estas instruções:

• Atribuir um usuário ou um grupo a um aplicativo empresarial

Dicas importantes para atribuir usuários ao Federated Directory

• Recomendamos atribuir um único usuário do Microsoft Entra ao Federated Directory para testar a configuração de provisionamento automático de usuários. Outros usuários e/ou grupos podem ser atribuídos mais tarde.

• Ao atribuir um usuário ao Federated Directory, você precisará selecionar qualquer função válida específica do aplicativo (se disponível) na caixa de diálogo de atribuição. Usuários com a função Acesso padrão são excluídos do provisionamento.

Configurar o Federated Directory para provisionamento

Antes de configurar o Federated Directory para o provisionamento automático de usuários com o Microsoft Entra ID, é necessário habilitar o provisionamento SCIM no Federated Directory.

1. Entre no Console de Administração do Federated Directory

   

2. Navegue até Diretórios > Diretórios de usuário e selecione seu locatário.

   

3. Para gerar um token de portador permanente, navegue até Chaves de Diretório > Criar Chave.

   

4. Crie uma chave de diretório.

   

5. Copie o valor de Token de Acesso. Esse valor será inserido no campo Token Secreto na guia Provisionamento do aplicativo Diretório Federado.

   

Adicionar o Federated Directory por meio da galeria

Para configurar o Federated Directory para o provisionamento automático de usuários com o Microsoft Entra ID, é necessário adicioná-lo da galeria de aplicativos do Microsoft Entra à sua lista de aplicativos SaaS gerenciados.

Para adicionar o Federated Directory por meio da galeria de aplicativos do Microsoft Entra, execute as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.

3. Na seção Adicionar da galeria, digite Diretório Federado, selecione Diretório Federado no painel de resultados.

   

4. Navegue até a URL realçada abaixo em um navegador separado.

   

5. Clique em FAZER LOGON.

   

6. Como o Federated Directory é um aplicativo OpenIDConnect, opte por fazer logon no Federated Directory usando sua conta corporativa da Microsoft.

   

7. Após uma autenticação bem-sucedida, aceite a solicitação de consentimento da página de consentimento. Depois, o aplicativo será adicionado automaticamente ao seu locatário e você será redirecionado para sua conta do Federated Directory.

   

Como configurar o provisionamento automático de usuário no Federated Directory

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no Federated Directory com base nas atribuições de usuário e/ou de grupo do Microsoft Entra ID.

Para configurar o provisionamento automático de usuário para o Federated Directory no Microsoft Entra ID:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais

   

3. Na lista de aplicativos, selecione Federated Directory.

   

4. Selecione a guia Provisionamento.

   

5. Defina o Modo de Provisionamento como Automático.

   

6. Na seção Credenciais de Administrador, insira em URL do Locatáriohttps://api.federated.directory/v2/. Insira o valor recuperado e salvo anteriormente do Federated Directory em Token Secreto. Clique em Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao Federated Directory. Se a conexão falhar, verifique se a sua conta do Federated Directory tem permissões de Administrador e tente novamente.

   

7. No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e selecione a caixa de seleção - Enviar uma notificação por email quando ocorrer uma falha.

   

8. Clique em Save (Salvar).

9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o Federated Directory.

   

10. Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o Federated Directory na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no Federated Directory em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    

11. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

12. Para habilitar o serviço de provisionamento do Microsoft Entra no Federated Directory, altere o Status de Provisionamento para Ativado na seção Configurações.

    

13. Defina os usuários e/ou os grupos que deseja provisionar no Federated Directory escolhendo os valores desejados em Escopo na seção Configurações.

    

14. Quando estiver pronto para provisionar, clique em Salvar.

    

Essa operação inicia a sincronização inicial de todos os usuários e/ou grupos definidos no Escopo na seção Configurações. A sincronização inicial leva mais tempo para ser executada do que as sincronizações seguintes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução. Use a seção Detalhes de Sincronização para monitorar o progresso e siga os links para o relatório de atividades de provisionamento, que descreve todas as ações executadas pelo serviço de provisionamento do Microsoft Entra no Microsoft Entra.

Para obter mais informações sobre como ler os logs de provisionamento do Microsoft Entra, confira Relatórios sobre o provisionamento automático de contas de usuário

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento