Gerenciando o provisionamento de conta de usuário para aplicativos corporativos no centro de administração do Microsoft Entra

Este artigo descreve as etapas gerais para gerenciar o provisionamento e o desprovisionamento automático de contas de usuário para aplicativos que oferecem suporte a ele. O provisionamento de conta de usuário é o ato de criar, atualizar e/ou desabilitar registros de conta de usuário no repositório de perfis de usuário local de um aplicativo. A maioria dos aplicativos de nuvem e SaaS armazena a função e as permissões no próprio repositório de perfil de usuário local do usuário. A presença desse registro de usuário no armazenamento local do usuário é necessária para logon único e acesso ao trabalho. Para saber mais sobre o provisionamento automático de conta de usuário, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Importante

O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados habilitados para provisionamento automático com o Microsoft Entra ID. Você deve começar encontrando o tutorial de configuração de provisionamento específico para seu aplicativo na Lista de tutoriais sobre como integrar aplicativos SaaS com o Microsoft Entra ID. Você provavelmente encontrará orientações passo a passo para configurar o aplicativo e a ID do Microsoft Entra para criar a conexão de provisionamento.

Encontrar as suas aplicações no portal

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Use o centro de administração do Microsoft Entra para exibir e gerenciar todos os aplicativos configurados para logon único em um diretório. As aplicações empresariais são aplicações que são implementadas e utilizadas na sua organização. Siga estas etapas para exibir e gerenciar seus aplicativos corporativos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. É apresentada uma lista de todas as aplicações configuradas, incluindo as aplicações que foram adicionadas a partir da galeria.

  4. Selecione qualquer aplicativo para carregar seu painel de recursos, onde você pode exibir relatórios e gerenciar as configurações do aplicativo.

  5. Selecione Provisionamento para gerenciar as configurações de provisionamento de conta de usuário para o aplicativo selecionado.

    Provisioning screen to manage user account provisioning settings

Modos de provisionamento

O painel Provisionamento começa com um menu Modo, que mostra os modos de provisionamento suportados para um aplicativo corporativo e permite configurá-los. As opções disponíveis incluem:

  • Automático - Esta opção é mostrada se o Microsoft Entra ID suportar o provisionamento automático baseado em API ou o desprovisionamento de contas de usuário para este aplicativo. Selecione este modo para exibir uma interface que ajude os administradores:

    • Configurar o Microsoft Entra ID para se conectar à API de gerenciamento de usuários do aplicativo
    • Crie mapeamentos de conta e fluxos de trabalho que definem como os dados da conta de usuário devem fluir entre o Microsoft Entra ID e o aplicativo
    • Gerenciar o serviço de provisionamento do Microsoft Entra
  • Manual - Esta opção é mostrada se o Microsoft Entra ID não suportar o provisionamento automático de contas de usuário para este aplicativo. Nesse caso, os registros de conta de usuário armazenados no aplicativo devem ser gerenciados usando um processo externo, com base nos recursos de gerenciamento e provisionamento de usuários fornecidos por esse aplicativo (que podem incluir provisionamento SAML Just-In-Time).

Configurando o provisionamento automático de conta de usuário

Selecione a opção Automático para especificar configurações para credenciais de administrador, mapeamentos, início e interrupção e sincronização.

Credenciais de administrador

Expanda Credenciais de administrador para inserir as credenciais necessárias para que o Microsoft Entra ID se conecte à API de gerenciamento de usuários do aplicativo. A entrada necessária varia dependendo da aplicação. Para saber mais sobre os tipos de credenciais e os requisitos para aplicativos específicos, consulte o tutorial de configuração desse aplicativo específico.

Selecione Testar Conexão para testar as credenciais fazendo com que a ID do Microsoft Entra tente se conectar ao aplicativo de provisionamento do aplicativo usando as credenciais fornecidas.

Mapeamentos

Expanda Mapeamentos para exibir e editar os atributos de usuário que fluem entre o ID do Microsoft Entra e o aplicativo de destino quando as contas de usuário são provisionadas ou atualizadas.

Há um conjunto pré-configurado de mapeamentos entre os objetos de usuário do Microsoft Entra e os objetos de usuário de cada aplicativo SaaS. Alguns aplicativos também gerenciam objetos de grupo. Selecione um mapeamento na tabela para abrir o editor de mapeamento, onde você pode visualizá-los e personalizá-los.

As personalizações suportadas incluem:

  • Habilitando e desabilitando mapeamentos para objetos específicos, como o objeto de usuário do Microsoft Entra para o objeto de usuário do aplicativo SaaS.

  • Editar os atributos que fluem do objeto de usuário do Microsoft Entra para o objeto de usuário do aplicativo. Para obter mais informações sobre mapeamento de atributos, consulte Noções básicas sobre tipos de mapeamento de atributos.

  • Filtrando as ações de provisionamento que o Microsoft Entra ID executa no aplicativo de destino. Em vez de ter o Microsoft Entra ID totalmente sincronizando objetos, você pode limitar as ações executadas.

    Por exemplo, selecione Atualizar apenas e Microsoft Entra-somente atualiza contas de usuário existentes em um aplicativo, mas não cria novas. Selecione Somente Criar e o Azure cria apenas novas contas de usuário, mas não atualiza as existentes. Esse recurso permite que os administradores criem mapeamentos diferentes para a criação de contas e atualizem fluxos de trabalho.

  • Adicionando um novo mapeamento de atributos. Selecione Adicionar Novo Mapeamento na parte inferior do painel Mapeamento de Atributos . Preencha o formulário Editar atributo e selecione Ok para adicionar o novo mapeamento à lista.

Definições

Expanda Configurações para definir um endereço de e-mail para receber notificações e se deseja receber alertas sobre erros. Selecione também o escopo de usuários a serem sincronizados. Opte por sincronizar todos os utilizadores e grupos ou apenas os utilizadores atribuídos.

Estado de Aprovisionamento

Se o provisionamento estiver sendo habilitado pela primeira vez para um aplicativo, ative o serviço alterando o Status de provisionamento para Ativado. Essa alteração faz com que o serviço de provisionamento do Microsoft Entra execute um ciclo inicial. Ele lê os usuários atribuídos na seção Usuários e grupos, consulta o aplicativo de destino para eles e, em seguida, executa as ações de provisionamento definidas na seção Mapeamentos de ID do Microsoft Entra. Durante esse processo, o serviço de provisionamento armazena dados armazenados em cache sobre quais contas de usuário está gerenciando. O serviço armazena dados armazenados em cache para que contas não gerenciadas dentro dos aplicativos de destino que nunca estiveram no escopo para atribuição não sejam afetadas nas operações de desprovisionamento. Após o ciclo inicial, o serviço de provisionamento sincroniza automaticamente objetos de usuário e grupo em um intervalo de quarenta minutos.

Altere o Status de provisionamento para Desativado para pausar o serviço de provisionamento. Nesse estado, o Azure não cria, atualiza ou remove nenhum objeto de usuário ou grupo no aplicativo. Altere o estado de volta para On e o serviço continua de onde parou.