Planejar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra
Historicamente, a equipe de TI confiava em métodos manuais para criar, atualizar e excluir funcionários. Eles usaram métodos como carregar arquivos CSV ou scripts personalizados para sincronizar dados de funcionários. Esses processos de provisionamento são propensos a erros, inseguros e difíceis de gerenciar.
Para gerenciar o ciclo de vida de identidade de funcionários, fornecedores ou trabalhadores contingentes, o serviço de provisionamento de usuários Microsoft Entra oferece integração com aplicativos de recursos humanos (RH) baseados em nuvem. Exemplos de aplicações incluem Workday e SuccessFactors.
O Microsoft Entra ID usa essa integração para habilitar os seguintes processos de aplicativo (aplicativo) de RH na nuvem:
- Provisionar usuários para o Ative Directory: provisione conjuntos selecionados de usuários de um aplicativo de RH na nuvem em um ou mais domínios do Ative Directory.
- Provisionar usuários somente na nuvem para o Microsoft Entra ID: em cenários em que o Ative Directory não é usado, provisione os usuários diretamente do aplicativo HR na nuvem para o Microsoft Entra ID.
- Escreva de volta para o aplicativo de RH na nuvem: escreva os endereços de e-mail e os atributos de nome de usuário do Microsoft Entra de volta para o aplicativo de RH na nuvem.
O vídeo a seguir fornece orientações sobre como planejar suas integrações de provisionamento orientadas por RH.
Nota
Este plano de implantação mostra como implantar seu aplicativo de RH na nuvem com o provisionamento de usuários do Microsoft Entra. Para obter informações sobre como implantar o provisionamento automático de usuários em aplicativos SaaS (software como serviço), consulte Planejar uma implantação de provisionamento automático de usuários.
Cenários de RH habilitados
O serviço de provisionamento de usuários do Microsoft Entra permite a automação dos seguintes cenários de gerenciamento do ciclo de vida de identidade baseado em RH:
- Contratação de novos funcionários: adicionar um funcionário ao aplicativo de RH na nuvem cria automaticamente um usuário no Ative Directory e no Microsoft Entra ID. Adicionar uma conta de usuário inclui a opção de reescrever os atributos de endereço de e-mail e nome de usuário no aplicativo HR na nuvem.
- Atualizações de atributos e perfis de funcionários: quando um registro de funcionário, como nome, título ou gerente, é atualizado no aplicativo de RH na nuvem, sua conta de usuário é atualizada automaticamente no Ative Directory e no Microsoft Entra ID.
- Rescisões de funcionários: quando um funcionário é encerrado no aplicativo de RH na nuvem, sua conta de usuário é automaticamente desativada no Ative Directory e no Microsoft Entra ID.
- Recontratações de funcionários: quando um funcionário é recontratado no aplicativo de RH na nuvem, sua conta antiga pode ser automaticamente reativada ou reprovisionada para o Ative Directory e o Microsoft Entra ID.
Para quem esta integração é mais adequada?
A integração do aplicativo de RH na nuvem com o provisionamento de usuários do Microsoft Entra é ideal para organizações que:
- Deseja uma solução pré-criada e baseada em nuvem para provisionamento de usuários de RH na nuvem.
- Exija o provisionamento direto do usuário do aplicativo HR na nuvem para o Ative Directory ou o Microsoft Entra ID.
- Exija que os usuários sejam provisionados usando dados obtidos do aplicativo de RH na nuvem.
- Sincronizar usuários que estão entrando, movendo e saindo. A sincronização acontece entre uma ou mais florestas, domínios e UOs do Ative Directory com base apenas nas informações de alteração detetadas no aplicativo HR na nuvem.
- Use o Microsoft 365 para email.
Learn
O provisionamento de usuários cria uma base para a governança contínua de identidades. Ele melhora a qualidade dos processos de negócios que dependem de dados de identidade autorizados.
Termos
Este artigo usa os seguintes termos:
- Sistema de origem: o repositório de usuários a partir do qual o Microsoft Entra ID provisiona. Um exemplo é um aplicativo de RH na nuvem, como Workday ou SuccessFactors.
- Sistema de destino: O repositório de usuários para o qual o Microsoft Entra ID provisiona. Exemplos são Ative Directory, Microsoft Entra ID, Microsoft 365 ou outros aplicativos SaaS.
- Processo Joiners-Movers-Leavers: Termo usado para novas contratações, transferências e rescisões usando um aplicativo de RH na nuvem como um sistema de registros. O processo é concluído quando o serviço provisiona com êxito os atributos necessários para o sistema de destino.
Principais benefícios
Esse recurso de provisionamento de TI orientado por RH oferece os seguintes benefícios significativos para os negócios:
- Aumente a produtividade: agora você pode automatizar a atribuição de contas de usuário e licenças do Microsoft 365 e fornecer acesso a grupos-chave. A automatização das tarefas dá aos novos contratados acesso imediato às suas ferramentas de trabalho e aumenta a produtividade.
- Gerencie riscos: automatize as alterações com base no status do funcionário ou na associação ao grupo para aumentar a segurança. Essa automação garante que as identidades dos usuários e o acesso aos principais aplicativos sejam atualizados automaticamente. Por exemplo, uma atualização no aplicativo de RH quando um usuário faz a transição ou sai da organização flui automaticamente.
- Abordar conformidade e governança: o Microsoft Entra ID oferece suporte a logs de auditoria nativos para solicitações de provisionamento de usuários executadas por aplicativos de sistemas de origem e de destino. Com a auditoria, você pode rastrear quem tem acesso aos aplicativos a partir de uma única tela.
- Gerenciar custos: o provisionamento automático reduz os custos, evitando ineficiências e erros humanos associados ao provisionamento manual. Ele reduz a necessidade de soluções de provisionamento de usuário desenvolvidas sob medida criadas ao longo do tempo usando plataformas legadas e desatualizadas.
Licenciamento
Para configurar o aplicativo de RH na nuvem para a integração de provisionamento de usuário do Microsoft Entra, você precisa de uma licença válida do Microsoft Entra ID P1 ou P2 e uma licença para o aplicativo de RH na nuvem, como Workday ou SuccessFactors.
Você também precisa de uma licença de assinatura válida do Microsoft Entra ID P1 ou superior para cada usuário proveniente do aplicativo HR na nuvem e provisionado para o Ative Directory ou o Microsoft Entra ID.
O uso de Fluxos de Trabalho de Ciclo de Vida e outros recursos de Governança de ID do Microsoft Entra no processo de provisionamento requer uma licença de Governança de ID do Microsoft Entra.
Pré-requisitos
- Função de Administrador de Identidade Híbrida para configurar o agente de provisionamento do Connect.
- Função de administrador de aplicativos para configurar o aplicativo de provisionamento.
- Uma instância de teste e produção do aplicativo de RH na nuvem.
- Permissões de administrador no aplicativo de RH na nuvem para criar um usuário de integração de sistema e fazer alterações para testar os dados dos funcionários para fins de teste.
- Para o provisionamento de usuários para o Ative Directory, é necessário um servidor que execute o Windows Server 2016 ou superior para hospedar o agente de provisionamento do Microsoft Entra Connect. Este servidor deve ser um servidor de camada 0 com base no modelo de camada administrativa do Ative Directory.
- Microsoft Entra Connect para sincronizar usuários entre o Ative Directory e o Microsoft Entra ID.
Recursos de formação
Arquitetura de soluções
O exemplo a seguir descreve a arquitetura da solução de provisionamento de usuário de ponta a ponta para ambientes híbridos comuns e inclui:
- Fluxo de dados de RH autoritativo do aplicativo de RH na nuvem para o Ative Directory. Nesse fluxo, o evento HR (processo Joiners-Movers-Leavers) é iniciado no locatário do aplicativo de RH na nuvem. O serviço de provisionamento Microsoft Entra e o agente de provisionamento Microsoft Entra Connect provisionam os dados do usuário do locatário do aplicativo HR na nuvem para o Ative Directory. Dependendo do evento, ele pode levar a criar, atualizar, habilitar e desabilitar operações no Ative Directory.
- Sincronize com o ID do Microsoft Entra e escreva de volta o email e o nome de usuário do Ative Directory local para o aplicativo HR na nuvem. Depois que as contas são atualizadas no Ative Directory, ele é sincronizado com o ID do Microsoft Entra por meio do Microsoft Entra Connect. Os endereços de e-mail e os atributos de nome de usuário podem ser gravados de volta no locatário do aplicativo de RH na nuvem.
Descrição do processo de provisionamento
Os seguintes passos principais são indicados no diagrama:
- A equipe de RH realiza as transações no locatário do aplicativo de RH na nuvem.
- O serviço de provisionamento Microsoft Entra executa os ciclos agendados a partir do locatário do aplicativo HR na nuvem e identifica as alterações a serem processadas para sincronização com o Ative Directory.
- O serviço de provisionamento Microsoft Entra invoca o agente de provisionamento do Microsoft Entra Connect com uma carga útil de solicitação que contém operações de criação, atualização, habilitação e desabilitamento de conta do Ative Directory.
- O agente de provisionamento do Microsoft Entra Connect usa uma conta de serviço para gerenciar dados de conta do Ative Directory.
- O Microsoft Entra Connect executa a sincronização delta para obter atualizações no Ative Directory.
- As atualizações do Ative Directory são sincronizadas com o Microsoft Entra ID.
- O serviço de provisionamento Microsoft Entra grava o atributo de email e o nome de usuário da ID do Microsoft Entra para o locatário do aplicativo HR na nuvem.
Planejar o projeto de implantação
Considere suas necessidades organizacionais enquanto determina a estratégia para essa implantação em seu ambiente.
Envolva as partes interessadas certas
Quando os projetos de tecnologia falham, normalmente o fazem devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas. Certifique-se também de que os papéis das partes interessadas no projeto sejam bem compreendidos. Documentar as partes interessadas e os seus contributos e responsabilidades no projeto.
Inclua um representante da organização de RH que possa fornecer informações sobre os processos de negócios de RH existentes e a identidade do trabalhador, além dos requisitos de processamento de dados do trabalho.
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique-se proativamente com seus usuários sobre quando e como sua experiência está mudando. Deixe-os saber como obter apoio se tiverem problemas.
Planeie um piloto
A integração de processos de negócios de RH e fluxos de trabalho de identidade do aplicativo de RH na nuvem aos sistemas de destino requer uma quantidade considerável de validação de dados, transformação de dados, limpeza de dados e testes de ponta a ponta antes que você possa implantar a solução na produção.
Execute a configuração inicial em um ambiente piloto antes de dimensioná-la para todos os usuários em produção.
Selecionar aplicativos do conector de provisionamento de RH na nuvem
Para facilitar o provisionamento do Microsoft Entra do aplicativo HR na nuvem para o Ative Directory, você pode adicionar vários aplicativos do conector de provisionamento da galeria de aplicativos do Microsoft Entra:
- Aplicativo de RH na nuvem para provisionamento de usuários do Ative Directory: esse aplicativo de conector de provisionamento facilita o provisionamento de contas de usuário do aplicativo de RH na nuvem para um único domínio do Ative Directory. Se você tiver vários domínios, poderá adicionar uma instância deste aplicativo da galeria de aplicativos do Microsoft Entra para cada domínio do Ative Directory que precisar provisionar.
- Aplicativo Cloud HR para provisionamento de usuários do Microsoft Entra: o Microsoft Entra Connect é a ferramenta usada para sincronizar usuários do Ative Directory no local com o Microsoft Entra ID. O provisionamento de usuários do aplicativo Cloud HR para Microsoft Entra é um conector que você usa para provisionar usuários somente na nuvem do aplicativo Cloud HR para um único locatário do Microsoft Entra.
- Write-back do aplicativo Cloud HR: este aplicativo conector de provisionamento facilita a gravação dos endereços de email do usuário do ID do Microsoft Entra para o aplicativo de RH na nuvem.
Por exemplo, a imagem a seguir lista os aplicativos do conector Workday que estão disponíveis na galeria de aplicativos do Microsoft Entra.
Fluxograma de decisão
Use o fluxograma de decisão a seguir para identificar quais aplicativos de provisionamento de RH na nuvem são relevantes para o seu cenário.
Projetar a topologia de implantação do agente de provisionamento do Microsoft Entra Connect
A integração de provisionamento entre o aplicativo de RH na nuvem e o Ative Directory requer quatro componentes:
- Locatário do aplicativo Cloud HR
- Aplicativo do conector de provisionamento
- Agente de provisionamento do Microsoft Entra Connect
- Domínio do Active Directory
A topologia de implantação do agente de provisionamento do Microsoft Entra Connect depende do número de locatários de aplicativos de RH na nuvem e domínios filhos do Ative Directory que você planeja integrar. Se você tiver vários domínios do Ative Directory, isso dependerá se os domínios do Ative Directory são contíguos ou separados.
Com base na sua decisão, escolha um dos cenários de implantação:
- Locatário único do aplicativo HR na nuvem -> direcione um ou vários domínios filhos do Ative Directory em uma floresta confiável
- Locatário único do aplicativo HR na nuvem -> segmente vários domínios filho em uma floresta separada do Ative Directory
Locatário único do aplicativo HR na nuvem -> direcione um ou vários domínios filhos do Ative Directory em uma floresta confiável
Recomendamos a seguinte configuração de produção:
| Necessidade | Recomendação |
|---|---|
| Número de agentes de provisionamento do Microsoft Entra Connect a serem implantados. | Dois (para alta disponibilidade e failover). |
| Número de aplicativos do conector de provisionamento a serem configurados. | Um aplicativo por domínio filho. |
| Host de servidor para o agente de provisionamento do Microsoft Entra Connect. | Windows Server 2016 com linha de visão para controladores de domínio do Ative Directory geolocalizados. Pode coexistir com o serviço Microsoft Entra Connect. |
Locatário único do aplicativo HR na nuvem -> segmente vários domínios filho em uma floresta separada do Ative Directory
Esse cenário envolve o provisionamento de usuários do aplicativo HR na nuvem para domínios em florestas separadas do Ative Directory.
Recomendamos a seguinte configuração de produção:
| Necessidade | Recomendação |
|---|---|
| Número de agentes de provisionamento do Microsoft Entra Connect para implantar no local | Dois por floresta separada do Ative Directory. |
| Número de aplicativos do conector de provisionamento a serem configurados | Um aplicativo por domínio filho. |
| Host de servidor para o agente de provisionamento do Microsoft Entra Connect. | Windows Server 2016 com linha de visão para controladores de domínio do Ative Directory geolocalizados. Pode coexistir com o serviço Microsoft Entra Connect. |
Requisitos do agente de provisionamento do Microsoft Entra Connect
A solução de provisionamento de usuários do aplicativo HR na nuvem para o Ative Directory requer a implantação de um ou mais agentes de provisionamento do Microsoft Entra Connect. Esses agentes devem ser implantados em servidores que executam o Windows Server 2016 ou superior. Os servidores devem ter um mínimo de 4 GB de RAM e tempo de execução do .NET 4.7.1+. Verifique se o servidor host tem acesso de rede ao domínio Ative Directory de destino.
Para preparar o ambiente local, o assistente de configuração do agente de provisionamento do Microsoft Entra Connect registra o agente com seu locatário do Microsoft Entra, abre portas, permite acesso a URLs e oferece suporte à configuração de proxy HTTPS de saída.
O agente de provisionamento configura uma Conta de Serviço Gerenciado Global (GMSA) para se comunicar com os domínios do Ative Directory.
Você pode selecionar controladores de domínio que devem lidar com solicitações de provisionamento. Se você tiver vários controladores de domínio distribuídos geograficamente, instale o agente de provisionamento no mesmo site que os controladores de domínio de sua preferência. Esse posicionamento melhora a confiabilidade e o desempenho da solução de ponta a ponta.
Para alta disponibilidade, você pode implantar mais de um agente de provisionamento do Microsoft Entra Connect. Registre o agente para lidar com o mesmo conjunto de domínios locais do Ative Directory.
Projetar topologia de implantação de aplicativo de provisionamento de RH
Dependendo do número de domínios do Ative Directory envolvidos na configuração de provisionamento de usuário de entrada, você pode considerar uma das seguintes topologias de implantação. Cada diagrama de topologia usa um cenário de implantação de exemplo para destacar os aspetos de configuração. Use o exemplo que se assemelha muito ao seu requisito de implantação para determinar a configuração que atende às suas necessidades.
Topologia de implantação um: aplicativo único para provisionar todos os usuários do Cloud HR para um único domínio do Ative Directory local
A topologia de implantação um é a topologia de implantação mais comum. Use essa topologia se precisar provisionar todos os usuários do Cloud HR para um único domínio do AD e as mesmas regras de provisionamento se aplicarem a todos os usuários.
Aspetos de configuração salientes
- Configure dois nós do agente de provisionamento para alta disponibilidade e failover.
- Use o assistente de configuração do agente de provisionamento para registrar seu domínio do AD com o locatário do Microsoft Entra.
- Ao configurar o aplicativo de provisionamento, selecione o domínio do AD na lista suspensa de domínios registrados.
- Se você estiver usando filtros de escopo, configure o sinalizador de exclusão de escopo para evitar desativações acidentais de conta.
Topologia de implantação dois: separar aplicativos para provisionar conjuntos de usuários distintos do Cloud HR para um único domínio do Ative Directory local
Essa topologia suporta requisitos de negócios em que o mapeamento de atributos e a lógica de provisionamento diferem com base no tipo de usuário (funcionário/contratado), local do usuário ou unidade de negócios do usuário. Você também pode usar essa topologia para delegar a administração e a manutenção do provisionamento de usuários de entrada com base na divisão ou no país/região.
Aspetos de configuração salientes
- Configure dois nós do agente de provisionamento para alta disponibilidade e failover.
- Crie um aplicativo de provisionamento HR2AD para cada conjunto de usuários distinto que você deseja provisionar.
- Use filtros de escopo no aplicativo de provisionamento para definir usuários para processar cada aplicativo.
- No cenário em que as referências de gerente precisam ser resolvidas em conjuntos de usuários distintos, crie um aplicativo de provisionamento HR2AD separado. Por exemplo, contratantes que se reportam a gerentes que são funcionários. Use o aplicativo separado para atualizar apenas o atributo manager . Defina o escopo deste aplicativo para todos os usuários.
- Configure o sinalizador de exclusão de saltar fora do escopo para evitar desativações acidentais de conta.
Nota
Se você não tiver um domínio de teste do AD e usar um contêiner de UO de teste no AD, poderá usar essa topologia para criar dois aplicativos separados HR2AD (Prod) e HR2AD (Test). Use o aplicativo HR2AD (Test) para testar suas alterações de mapeamento de atributos antes de promovê-lo para o aplicativo HR2AD (Prod ).
Topologia de implantação três: separar aplicativos para provisionar conjuntos de usuários distintos do Cloud HR para vários domínios locais do Ative Directory (sem visibilidade entre domínios)
Use a topologia três para gerenciar vários domínios AD filhos independentes pertencentes à mesma floresta. Certifique-se de que os gerentes sempre existam no mesmo domínio que o usuário. Certifique-se também de que suas regras exclusivas de geração de ID para atributos como userPrincipalName, samAccountName e mail não exijam uma pesquisa em toda a floresta. A topologia três oferece a flexibilidade de delegar a administração de cada trabalho de provisionamento por limite de domínio.
Por exemplo: No diagrama, os aplicativos de provisionamento são configurados para cada região geográfica: América do Norte (NA), Europa, Oriente Médio e África (EMEA) e Ásia-Pacífico (APAC). Dependendo do local, os usuários são provisionados para o respetivo domínio do AD. A administração delegada do aplicativo de provisionamento é possível para que os administradores da EMEA possam gerenciar de forma independente a configuração de provisionamento dos usuários pertencentes à região EMEA.
Aspetos de configuração salientes
- Configure dois nós do agente de provisionamento para alta disponibilidade e failover.
- Use o assistente de configuração do agente de provisionamento para registrar todos os domínios filho do AD com seu locatário do Microsoft Entra.
- Crie um aplicativo de provisionamento HR2AD separado para cada domínio de destino.
- Ao configurar o aplicativo de provisionamento, selecione o respetivo domínio filho do AD na lista suspensa de domínios do AD disponíveis.
- Use filtros de escopo no aplicativo de provisionamento para definir os usuários que cada aplicativo processa.
- Configure o sinalizador de exclusão de saltar fora do escopo para evitar desativações acidentais de conta.
Topologia de implantação quatro: Separe aplicativos para provisionar conjuntos de usuários distintos do Cloud HR para vários domínios locais do Ative Directory (com visibilidade entre domínios)
Use a topologia quatro para gerenciar vários domínios AD filhos independentes pertencentes à mesma floresta. O gerenciador de um usuário pode existir em um domínio diferente. Além disso, suas regras exclusivas de geração de ID para atributos como userPrincipalName, samAccountName e mail exigem uma pesquisa em toda a floresta.
Por exemplo: No diagrama, os aplicativos de provisionamento são configurados para cada região geográfica: América do Norte (NA), Europa, Oriente Médio e África (EMEA) e Ásia-Pacífico (APAC). Dependendo do local, os usuários são provisionados para o respetivo domínio do AD. As referências do gerenciador entre domínios e a pesquisa em toda a floresta são tratadas habilitando a busca de referência no agente de provisionamento.
Aspetos de configuração salientes
- Configure dois nós do agente de provisionamento para alta disponibilidade e failover.
- Configure a busca de referência no agente de provisionamento.
- Use o assistente de configuração do agente de provisionamento para registrar o domínio AD pai e todos os domínios AD filho com seu locatário do Microsoft Entra.
- Crie um aplicativo de provisionamento HR2AD separado para cada domínio de destino.
- Ao configurar cada aplicativo de provisionamento, selecione o domínio AD pai na lista suspensa de domínios AD disponíveis. A seleção do domínio pai garante a pesquisa em toda a floresta enquanto gera valores exclusivos para atributos como userPrincipalName, samAccountName e mail.
- Use parentDistinguishedName com mapeamento de expressão para criar dinamicamente o usuário no domínio filho e no contêiner de UO corretos.
- Use filtros de escopo no aplicativo de provisionamento para definir os usuários que cada aplicativo processa.
- Para resolver referências de gerenciadores entre domínios, crie um aplicativo de provisionamento HR2AD separado para atualizar apenas o atributo manager . Defina o escopo deste aplicativo para todos os usuários.
- Configure o sinalizador de exclusão de saltar fora do escopo para evitar desativações acidentais de conta.
Topologia de implantação 5: Aplicativo único para provisionar todos os usuários do Cloud HR para vários domínios locais do Ative Directory (com visibilidade entre domínios)
Use essa topologia se quiser usar um único aplicativo de provisionamento para gerenciar usuários pertencentes a todos os domínios do AD pai e filho. Essa topologia é recomendada se as regras de provisionamento forem consistentes em todos os domínios e não houver necessidade de administração delegada de trabalhos de provisionamento. Essa topologia oferece suporte à resolução de referências de gerenciador entre domínios e pode executar a verificação de exclusividade em toda a floresta.
Por exemplo: No diagrama, um único aplicativo de provisionamento gerencia usuários presentes em três domínios filho diferentes agrupados por região: América do Norte (NA), Europa, Oriente Médio e África (EMEA) e Ásia-Pacífico (APAC). O mapeamento de atributos para parentDistinguishedName é usado para criar dinamicamente um usuário no domínio filho apropriado. As referências do gerenciador entre domínios e a pesquisa em toda a floresta são tratadas habilitando a busca de referência no agente de provisionamento.
Aspetos de configuração salientes
- Configure dois nós do agente de provisionamento para alta disponibilidade e failover.
- Configure a busca de referência no agente de provisionamento.
- Use o assistente de configuração do agente de provisionamento para registrar o domínio AD pai e todos os domínios AD filho com seu locatário do Microsoft Entra.
- Crie um único aplicativo de provisionamento HR2AD para toda a floresta.
- Ao configurar o aplicativo de provisionamento, selecione o domínio AD pai na lista suspensa de domínios AD disponíveis. A seleção do domínio pai garante a pesquisa em toda a floresta enquanto gera valores exclusivos para atributos como userPrincipalName, samAccountName e mail.
- Use parentDistinguishedName com mapeamento de expressão para criar dinamicamente o usuário no domínio filho e no contêiner de UO corretos.
- Se você estiver usando filtros de escopo, configure o sinalizador de exclusão de escopo para evitar desativações acidentais de conta.
Topologia de implantação 6: Separe aplicativos para provisionar usuários distintos do Cloud HR para florestas do Ative Directory locais desconectadas
Use essa topologia se sua infraestrutura de TI tiver florestas AD desconectadas/separadas e você precisar provisionar usuários para florestas diferentes com base na afiliação comercial. Por exemplo: os usuários que trabalham para a subsidiária Contoso precisam ser provisionados no domínio contoso.com, enquanto os usuários que trabalham para a subsidiária Fabrikam precisam ser provisionados no domínio fabrikam.com.
Aspetos de configuração salientes
- Configure dois conjuntos diferentes de agentes de provisionamento para alta disponibilidade e failover, um para cada floresta.
- Crie dois aplicativos de provisionamento diferentes, um para cada floresta.
- Se você precisar resolver referências entre domínios dentro da floresta, habilite a busca de referência no agente de provisionamento.
- Crie um aplicativo de provisionamento HR2AD separado para cada floresta desconectada.
- Ao configurar cada aplicativo de provisionamento, selecione o domínio AD pai apropriado na lista suspensa de nomes de domínio do AD disponíveis.
- Configure o sinalizador de exclusão de saltar fora do escopo para evitar desativações acidentais de conta.
Topologia de implantação 7: Separe aplicativos para provisionar usuários distintos de vários Cloud HR para florestas do Ative Directory locais desconectadas
Em grandes organizações, não é incomum ter vários sistemas de RH. Durante cenários de fusões e aquisições (fusões e aquisições) de negócios, você pode se deparar com a necessidade de conectar seu Ative Directory local a várias fontes de RH. Recomendamos a topologia se você tiver várias fontes de RH e quiser canalizar os dados de identidade dessas fontes de RH para os mesmos domínios locais do Ative Directory ou para domínios locais diferentes.
Aspetos de configuração salientes
- Configure dois conjuntos diferentes de agentes de provisionamento para alta disponibilidade e failover, um para cada floresta.
- Se você precisar resolver referências entre domínios dentro da floresta, habilite a busca de referência no agente de provisionamento.
- Crie um aplicativo de provisionamento HR2AD separado para cada sistema de RH e combinação do Ative Directory local.
- Ao configurar cada aplicativo de provisionamento, selecione o domínio AD pai apropriado na lista suspensa de nomes de domínio do AD disponíveis.
- Configure o sinalizador de exclusão de saltar fora do escopo para evitar desativações acidentais de conta.
Planejar filtros de escopo e mapeamento de atributos
Quando você habilita o provisionamento do aplicativo HR na nuvem para o Ative Directory ou o Microsoft Entra ID, o portal do Azure controla os valores de atributo por meio do mapeamento de atributos.
Definir filtros de escopo
Use filtros de escopo para definir as regras baseadas em atributos que determinam quais usuários devem ser provisionados do aplicativo HR na nuvem para o Ative Directory ou o Microsoft Entra ID.
Ao iniciar o processo de Marceneiros, reúna os seguintes requisitos:
- O aplicativo de RH na nuvem é usado para integrar funcionários e trabalhadores eventuais?
- Você planeja usar o aplicativo de RH na nuvem para provisionamento de usuários do Microsoft Entra para gerenciar funcionários e trabalhadores contingentes?
- Você planeja implantar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra apenas para um subconjunto dos usuários do aplicativo de RH na nuvem? Um exemplo pode ser apenas funcionários.
Dependendo de seus requisitos, ao configurar mapeamentos de atributos, você pode definir o campo Escopo do objeto de origem para selecionar quais conjuntos de usuários no aplicativo HR na nuvem devem estar no escopo para provisionamento para o Ative Directory. Para obter mais informações, consulte o tutorial do aplicativo de RH na nuvem para filtros de escopo comumente usados.
Determinar atributos correspondentes
Com o provisionamento, você obtém a capacidade de fazer a correspondência entre as contas existentes entre o sistema de origem e o sistema de destino. Ao integrar o aplicativo de RH na nuvem com o serviço de provisionamento Microsoft Entra, você pode configurar o mapeamento de atributos para determinar quais dados do usuário devem fluir do aplicativo de RH na nuvem para o Ative Directory ou o Microsoft Entra ID.
Ao iniciar o processo de Marceneiros, reúna os seguintes requisitos:
- Qual é o ID exclusivo neste aplicativo de RH na nuvem que é usado para identificar cada usuário?
- Do ponto de vista do ciclo de vida da identidade, como você lida com as recontratações? Os recontratados mantêm suas antigas identidades de funcionário?
- Você processa contratações com data futura e cria contas do Ative Directory para elas com antecedência?
- Do ponto de vista do ciclo de vida da identidade, como você lida com a conversão de funcionário para trabalhador contingente, ou de outra forma?
- Os usuários convertidos mantêm suas contas antigas do Ative Directory ou recebem novas?
Dependendo dos seus requisitos, o Microsoft Entra ID oferece suporte ao mapeamento direto de atributos para atributos, fornecendo valores constantes ou escrevendo expressões para mapeamentos de atributos. Essa flexibilidade oferece o controle final do que é preenchido no atributo do aplicativo de destino. Você pode usar a API do Microsoft Graph e o Graph Explorer para exportar seus mapeamentos de atributos de provisionamento de usuário e esquema para um arquivo JSON e importá-lo de volta para o Microsoft Entra ID.
Por padrão, o atributo no aplicativo de RH na nuvem que representa o ID exclusivo do funcionário é usado como o atributo correspondente mapeado para o atributo exclusivo no Ative Directory. Por exemplo, no cenário do aplicativo Workday, o atributo WorkdayWorkerID é mapeado para o atributo employeeID do Ative Directory.
Você pode definir vários atributos correspondentes e atribuir precedência correspondente. Eles são avaliados em precedência correspondente. Assim que uma correspondência é encontrada, nenhum outro atributo correspondente é avaliado.
Você também pode personalizar os mapeamentos de atributos padrão, como alterar ou excluir mapeamentos de atributos existentes. Você também pode criar novos mapeamentos de atributos de acordo com suas necessidades de negócios. Para obter mais informações, consulte o tutorial do aplicativo de RH na nuvem (como Workday) para obter uma lista de atributos personalizados a serem mapeados.
Determinar o status da conta de usuário
Por padrão, o aplicativo do conector de provisionamento mapeia o status do perfil de usuário HR para o status da conta de usuário. O status é usado para determinar se a conta de usuário deve ser habilitada ou desabilitada.
Ao iniciar o processo Joiners-Leavers, reúna os seguintes requisitos.
| Processo | Requisitos |
|---|---|
| Marceneiros | Do ponto de vista do ciclo de vida da identidade, como você lida com as recontratações? Os recontratados mantêm suas antigas identidades de funcionário? |
| Você processa contratações com data futura e cria contas do Ative Directory para elas com antecedência? Essas contas são criadas em um estado habilitado ou desativado? | |
| Do ponto de vista do ciclo de vida da identidade, como você lida com a conversão de funcionário para trabalhador contingente, ou de outra forma? | |
| Os usuários convertidos mantêm suas contas antigas do Ative Directory ou recebem novas? | |
| Saídas | As rescisões são tratadas de forma diferente para funcionários e trabalhadores contingentes no Ative Directory? |
| Que datas efetivas são consideradas para processar a rescisão do usuário? | |
| Como as conversões de funcionários e trabalhadores contingentes afetam as contas existentes do Ative Directory? | |
| Como você processa a operação Rescindir no Ative Directory? As operações de cancelamento precisam ser tratadas se contratações datadas futuras forem criadas no Ative Directory como parte do processo de Marceneiro. |
Dependendo de seus requisitos, você pode personalizar a lógica de mapeamento usando expressões do Microsoft Entra para que a conta do Ative Directory seja habilitada ou desabilitada com base em uma combinação de pontos de dados.
Mapear o aplicativo HR na nuvem para atributos de usuário do Ative Directory
Cada aplicativo de RH na nuvem é fornecido com o aplicativo de RH na nuvem padrão para mapeamentos do Ative Directory.
Ao iniciar o processo Joiners-Movers-Leavers, reúna os seguintes requisitos.
| Processo | Requisitos |
|---|---|
| Marceneiros | O processo de criação de conta do Ative Directory é manual, automatizado ou parcialmente automatizado? |
| Você planeja propagar atributos personalizados do aplicativo de RH na nuvem para o Ative Directory? | |
| Empresas de mudanças | Quais atributos você gostaria de processar sempre que uma operação Movers ocorre no aplicativo de RH na nuvem? |
| Você executa alguma validação de atributo específico no momento das atualizações do usuário? Em caso afirmativo, fornecer pormenores. | |
| Saídas | As rescisões são tratadas de forma diferente para funcionários e trabalhadores contingentes no Ative Directory? |
| Que datas efetivas são consideradas para processar a rescisão do usuário? | |
| Como as conversões de funcionários e trabalhadores contingentes afetam as contas existentes do Ative Directory? |
Dependendo de seus requisitos, você pode modificar os mapeamentos para atender às suas metas de integração. Para obter mais informações, consulte o tutorial específico do aplicativo de RH na nuvem (como Workday) para obter uma lista de atributos personalizados a serem mapeados.
Gerar um valor de atributo exclusivo
Atributos como CN, samAccountName e UPN têm restrições exclusivas. Talvez seja necessário gerar valores de atributos exclusivos ao iniciar o processo Joiners.
A função de ID do Microsoft Entra SelectUniqueValues avalia cada regra e, em seguida, verifica o valor gerado quanto à exclusividade no sistema de destino. Para obter um exemplo, consulte Gerar valor exclusivo para o atributo userPrincipalName (UPN).
Nota
Atualmente, essa função é suportada apenas para provisionamento de usuários do Workday para Ative Directory e SAP SuccessFactors para Ative Directory. Ele não pode ser usado com outros aplicativos de provisionamento.
Configurar atribuição de contêiner de UO do Ative Directory
É um requisito comum colocar contas de usuário do Ative Directory em contêineres com base em unidades de negócios, locais e departamentos. Quando você inicia um processo de Movers e se houver uma alteração na organização de supervisão, talvez seja necessário mover o usuário de uma UO para outra no Ative Directory.
Use a função Switch() para configurar a lógica de negócios para a atribuição de UO e mapeá-la para o atributo do Ative Directory parentDistinguishedName.
Por exemplo, se você quiser criar usuários na UO com base no atributo HR Municipality, poderá usar a seguinte expressão:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Com essa expressão, se o valor Municipality for Dallas, Austin, Seattle ou Londres, a conta de usuário será criada na UO correspondente. Se não houver correspondência, a conta será criada na UO padrão.
Planejar a entrega de senhas de novas contas de usuário
Ao iniciar o processo Joiners, você precisa definir e entregar uma senha temporária de novas contas de usuário. Com o provisionamento de usuários do Cloud HR para Microsoft Entra, você pode implantar o recurso de redefinição de senha de autoatendimento (SSPR) do Microsoft Entra ID para o usuário no primeiro dia.
O SSPR é um meio simples para os administradores de TI permitirem que os usuários redefina suas senhas ou desbloqueiem suas contas. Você pode provisionar o atributo Mobile Number do aplicativo HR na nuvem para o Ative Directory e sincronizá-lo com o Microsoft Entra ID. Depois que o atributo Mobile Number estiver no Microsoft Entra ID, você poderá habilitar o SSPR para a conta do usuário. Então, no primeiro dia, o novo usuário pode usar o número de celular registrado e verificado para autenticação. Consulte a documentação do SSPR para obter detalhes sobre como preencher previamente as informações de contato de autenticação.
Planejar o ciclo inicial
Quando o serviço de provisionamento Microsoft Entra é executado pela primeira vez, ele executa um ciclo inicial no aplicativo de RH na nuvem para criar um instantâneo de todos os objetos do usuário no aplicativo de RH na nuvem. O tempo necessário para os ciclos iniciais depende diretamente de quantos usuários estão presentes no sistema de origem. O ciclo inicial para alguns locatários de aplicativos de RH na nuvem com mais de 100.000 usuários pode levar muito tempo.
Para grandes locatários de aplicativos de RH na nuvem (>30.000 usuários), execute o ciclo inicial em estágios progressivos. Inicie as atualizações incrementais somente depois de validar que os atributos corretos estão definidos no Ative Directory para diferentes cenários de provisionamento de usuário. Siga a ordem aqui.
- Execute o ciclo inicial apenas para um conjunto limitado de usuários definindo o filtro de escopo.
- Verifique o provisionamento de conta do Ative Directory e os valores de atributo definidos para os usuários selecionados para a primeira execução. Se o resultado atender às suas expectativas, expanda o filtro de escopo para incluir progressivamente mais usuários e verificar os resultados para a segunda execução.
Depois de estar satisfeito com os resultados do ciclo inicial para usuários de teste, inicie as atualizações incrementais.
Planejar testes e segurança
Uma implantação consiste em etapas que vão desde o piloto inicial até a habilitação do provisionamento do usuário. Em cada etapa, certifique-se de que está testando os resultados esperados. Além disso, audite os ciclos de provisionamento.
Planejar testes
Depois de configurar o aplicativo de RH na nuvem para o provisionamento de usuários do Microsoft Entra, execute casos de teste para verificar se essa solução atende aos requisitos da sua organização.
| Cenários | Resultados esperados |
|---|---|
| Novo funcionário é contratado no aplicativo de RH na nuvem. | - A conta de usuário é provisionada no Ative Directory.- O usuário pode fazer login em aplicativos de domínio do Ative Directory e executar as ações desejadas.- Se o Microsoft Entra Connect Sync estiver configurado, a conta de usuário também será criada no Microsoft Entra ID. |
| O usuário é encerrado no aplicativo de RH na nuvem. | - A conta de usuário está desativada no Ative Directory.- O usuário não pode fazer login em nenhum aplicativo corporativo protegido pelo Ative Directory. |
| A organização de supervisão do usuário é atualizada no aplicativo de RH na nuvem. | Com base no mapeamento de atributos, a conta de usuário se move de uma UO para outra no Ative Directory. |
| O RH atualiza o gerente do usuário no aplicativo de RH na nuvem. | O campo gerenciador no Ative Directory é atualizado para refletir o nome do novo gerente. |
| O RH recontrata um funcionário para uma nova função. | O comportamento depende de como o aplicativo de RH na nuvem está configurado para gerar IDs de funcionários. Se o ID de funcionário antigo for usado para um funcionário recontratado, o conector habilitará a conta existente do Ative Directory para o usuário. Se o funcionário recontratado receber uma nova ID de funcionário, o conector criará uma nova conta do Ative Directory para o usuário. |
| O RH converte o funcionário em um trabalhador contratado ou vice-versa. | Uma nova conta do Ative Directory é criada para a nova persona e a conta antiga é desabilitada na data efetiva da conversão. |
Use os resultados anteriores para determinar como fazer a transição da implementação de provisionamento automático de usuários para a produção com base nos cronogramas estabelecidos.
Gorjeta
Use técnicas como redução de dados e depuração de dados ao atualizar o ambiente de teste com dados de produção para remover ou mascarar dados pessoais confidenciais para cumprir os padrões de privacidade e segurança.
Planejar a segurança
É comum que uma revisão de segurança seja necessária como parte da implantação de um novo serviço. Se uma revisão de segurança for necessária ou não tiver sido conduzida, consulte os muitos white papers do Microsoft Entra ID que fornecem uma visão geral da identidade como um serviço.
Planejar a reversão
A implementação de provisionamento de usuário de RH na nuvem pode não funcionar conforme desejado no ambiente de produção. Em caso afirmativo, as etapas de reversão a seguir podem ajudá-lo a reverter para um estado anterior em boas condições.
- Revise os logs de provisionamento para determinar quais operações incorretas foram executadas nos usuários ou grupos afetados. Para obter mais informações sobre o relatório de resumo de provisionamento e logs, consulte Gerenciar o provisionamento de usuários do aplicativo de RH na nuvem.
- O último estado válido conhecido dos usuários ou grupos afetados pode ser determinado por meio dos logs de auditoria de provisionamento ou pela revisão dos sistemas de destino (ID do Microsoft Entra ou Ative Directory).
- Trabalhe com o proprietário do aplicativo para atualizar os usuários ou grupos afetados diretamente no aplicativo usando os últimos valores de estado válidos conhecidos.
Implantar o aplicativo de RH na nuvem
Escolha o aplicativo de RH na nuvem que se alinha aos requisitos da sua solução.
Workday: Para importar perfis de trabalhador do Workday para o Ative Directory e o Microsoft Entra ID, consulte Tutorial: Configurar o Workday para provisionamento automático de usuários. Opcionalmente, você pode escrever de volta o endereço de e-mail, nome de usuário e número de telefone para Workday.
SAP SuccessFactors: Para importar perfis de trabalhador de SuccessFactors para o Ative Directory e o Microsoft Entra ID, consulte Tutorial: Configurar SAP SuccessFactors para provisionamento automático de usuários. Opcionalmente, você pode escrever de volta o endereço de e-mail e o nome de usuário para SuccessFactors.
Gerencie sua configuração
O Microsoft Entra ID pode fornecer mais informações sobre o uso do provisionamento de usuários e a integridade operacional da sua organização por meio de logs e relatórios de auditoria.
Obtenha informações de relatórios e logs
Após um ciclo inicial bem-sucedido, o serviço de provisionamento do Microsoft Entra continua a executar atualizações incrementais consecutivas indefinidamente, em intervalos definidos nos tutoriais específicos de cada aplicativo, até que ocorra um dos seguintes eventos:
- O serviço é interrompido manualmente. Um novo ciclo inicial é acionado usando o centro de administração do Microsoft Entra ou o comando apropriado da API do Microsoft Graph.
- Um novo ciclo inicial é acionado devido a uma alteração nos mapeamentos de atributos ou filtros de escopo.
- O processo de provisionamento entra em quarentena devido a uma alta taxa de erro. Permanece em quarentena por mais de quatro semanas, altura em que é automaticamente desativado.
Para revisar esses eventos e todas as outras atividades realizadas pelo serviço de provisionamento, saiba como revisar logs e obter relatórios sobre a atividade de provisionamento.
Registos do Azure Monitor
Todas as atividades realizadas pelo serviço de provisionamento são registradas nos logs de auditoria do Microsoft Entra. Você pode rotear os logs de auditoria do Microsoft Entra para os logs do Azure Monitor para análise adicional. Com os logs do Azure Monitor (também conhecido como espaço de trabalho do Log Analytics), você pode consultar dados para localizar eventos, analisar tendências e executar correlação entre várias fontes de dados. Assista a este vídeo para saber os benefícios de usar os logs do Azure Monitor para logs do Microsoft Entra em cenários práticos de usuário.
Instale as visualizações de análise de log para logs de atividades do Microsoft Entra para obter acesso a relatórios pré-criados sobre eventos de provisionamento em seu ambiente.
Para obter mais informações, consulte como analisar os logs de atividade do Microsoft Entra com seus logs do Azure Monitor.
Gerir dados pessoais
O agente de provisionamento do Microsoft Entra Connect instalado no servidor Windows cria logs no log de eventos do Windows que podem conter dados pessoais, dependendo do seu aplicativo HR na nuvem para mapeamentos de atributos do Ative Directory. Para cumprir as obrigações de privacidade do usuário, configure uma tarefa agendada do Windows para limpar o log de eventos e garantir que nenhum dado seja mantido além de 48 horas.
O serviço de provisionamento Microsoft Entra não gera relatórios, executa análises ou fornece informações além de 30 dias porque o serviço não armazena, processa ou mantém dados além de 30 dias.
Resolver problemas
Para solucionar problemas que possam surgir durante o provisionamento, consulte os seguintes artigos:
- Problema ao configurar o provisionamento de usuários para um aplicativo Microsoft Entra Gallery
- Sincronizar um atributo do Ative Directory local com a ID do Microsoft Entra para provisionamento em um aplicativo
- Problema ao salvar credenciais de administrador ao configurar o provisionamento de usuários para um aplicativo Microsoft Entra Gallery
- Nenhum usuário está sendo provisionado para um aplicativo Microsoft Entra Gallery
- Conjunto errado de usuários está sendo provisionado para um aplicativo Microsoft Entra Gallery
- Configurando o Visualizador de Eventos do Windows para solução de problemas do agente
- Configurando logs de auditoria para solução de problemas de serviço
- Noções básicas sobre logs para operações de criação de Conta de Usuário do AD
- Noções básicas sobre logs para operações de atualização do Manager
- Resolução de erros encontrados com frequência