Provisionamento de aplicativos locais do Microsoft Entra para aplicativos habilitados para SCIM

O serviço de provisionamento Microsoft Entra suporta um cliente SCIM 2.0 que pode ser usado para provisionar automaticamente os usuários em aplicativos locais ou na nuvem. Este artigo descreve como você pode usar o serviço de provisionamento do Microsoft Entra para provisionar usuários em um aplicativo local habilitado para SCIM. Se você quiser provisionar usuários em aplicativos locais não SCIM que usam SQL como armazenamento de dados, consulte o tutorial Microsoft Entra ECMA Connector Host Generic SQL Connector. Se você quiser provisionar usuários em aplicativos na nuvem, como DropBox e Atlassian, revise os tutoriais específicos do aplicativo.

Diagram that shows SCIM architecture.

Pré-requisitos

  • Um locatário do Microsoft Entra com o Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
  • Função de administrador para instalar o agente. Esta tarefa é um esforço único e deve ser uma conta do Azure que seja um Administrador de Identidade Híbrida ou um administrador global.
  • Função de administrador para configurar o aplicativo na nuvem (administrador de aplicativo, administrador de aplicativo de nuvem, administrador global ou uma função personalizada com permissões).
  • Um computador com pelo menos 3 GB de RAM, para hospedar um agente de provisionamento. O computador deve ter o Windows Server 2016 ou uma versão posterior do Windows Server, com conectividade com o aplicativo de destino e com conectividade de saída para login.microsoftonline.com, outros domínios do Microsoft Online Services e do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada no Azure IaaS ou atrás de um proxy.
  • Certifique-se de que sua implementação SCIM atenda aos requisitos do Microsoft Entra SCIM. O Microsoft Entra ID oferece código de referência de código aberto que os desenvolvedores podem usar para inicializar sua implementação SCIM, conforme descrito em Tutorial: Desenvolver um exemplo de ponto de extremidade SCIM no Microsoft Entra ID.
  • Dê suporte ao ponto de extremidade /schemas para reduzir a configuração necessária no portal do Azure.

Instalar e configurar o Agente de Provisionamento do Microsoft Entra Connect

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Pesquise o aplicativo SCIM local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
  4. No menu, navegue até a página Provisionamento do seu aplicativo.
  5. Selecione Introdução.
  6. Na página Provisionamento, altere o modo para Automático.

Screenshot of selecting Automatic.

  1. Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos & download.

Screenshot of download location for agent.

  1. Saia do portal e abra o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.
  2. Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.
  3. Na etapa Selecionar extensão, selecione Provisionamento de aplicativo local e selecione Avançar.
  4. O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você se autenticar na ID do Microsoft Entra e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
  5. Forneça credenciais para um administrador do Microsoft Entra quando você for solicitado a autorizar. É necessário que o usuário tenha a função de Administrador de Identidade Híbrida ou Administrador Global.
  6. Selecione Confirmar para confirmar a configuração. Quando a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do Pacote do Agente de Provisionamento.

Configurar a conexão por meio do agente de provisionamento

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

  3. Procure o aplicativo criado anteriormente.

  4. No menu, navegue até a página Provisionamento do seu aplicativo.

  5. No portal, na seção Conectividade Local, selecione o agente implantado e selecione Atribuir agente(s).

    Screenshot that shows how to select and assign an agent.

  6. Reinicie o serviço do agente de provisionamento ou aguarde 10 minutos antes de testar a conexão.

  7. No campo URL do locatário, insira a URL do ponto de extremidade SCIM do aplicativo. Exemplo: https://api.contoso.com/scim/

  8. Copie o token de portador OAuth necessário para o ponto de extremidade SCIM no campo Token secreto.

  9. Selecione Testar conexão para que o Microsoft Entra ID tente se conectar ao ponto de extremidade SCIM. Se a tentativa falhar, as informações de erro serão exibidas.

  10. Quando a tentativa de se conectar ao aplicativo for bem-sucedida, selecione Salvar para salvar as credenciais de administrador.

  11. Mantenha esta janela do navegador aberta enquanto conclui a próxima etapa de configuração usando o assistente de configuração.

Provisionamento para aplicativo habilitado para SCIM

Depois que o agente é instalado, nenhuma configuração adicional é necessária no local e todas as configurações de provisionamento são gerenciadas a partir do portal. Repita as etapas abaixo para cada aplicativo local que está sendo provisionado via SCIM.

  1. Configure quaisquer mapeamentos de atributos ou regras de escopo necessários para seu aplicativo.
  2. Adicione usuários ao escopo atribuindo usuários e grupos ao aplicativo.
  3. Teste o provisionamento de alguns usuários sob demanda.
  4. Adicione mais usuários ao escopo atribuindo-os ao seu aplicativo.
  5. Vá para o painel Provisionamento e selecione Iniciar provisionamento.
  6. Monitore usando os logs de provisionamento.

O vídeo a seguir fornece uma visão geral do provisionamento local.

Próximos passos