Provisionamento sob demanda no Microsoft Entra ID

Use o provisionamento sob demanda para provisionar um usuário ou grupo em segundos. Entre outras coisas, você pode usar esse recurso para:

• Solucione problemas de configuração rapidamente.
• Valide expressões que você definiu.
• Testar filtros de escopo.

Como usar o provisionamento sob demanda

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.

2. Navegue até Identity>Applications>Enterprise applications>, selecione seu aplicativo.
3. Selecione Provisionamento.

2. Navegue até Configurações>de sincronização>entre locatários de identidades externas>de identidades
3. Selecione sua configuração e vá para a página Configuração de provisionamento .

4. Configure o provisionamento fornecendo suas credenciais de administrador.

5. Selecione Provisão sob demanda.

6. Pesquise um usuário por nome, sobrenome, nome para exibição, nome principal do usuário ou endereço de e-mail. Como alternativa, você pode pesquisar por um grupo e escolher até cinco usuários.

   Nota

   Para o aplicativo de provisionamento Cloud HR (Workday / SuccessFactors to Ative Directory / Microsoft Entra ID), o valor de entrada é diferente. Para o cenário Workday, forneça "WorkerID" ou "WID" do usuário no Workday. Para o cenário SuccessFactors, forneça "personIdExternal" do usuário em SuccessFactors.

7. Selecione Provisionar na parte inferior da página.

   

Compreender as etapas de provisionamento

O processo de provisionamento sob demanda tenta mostrar as etapas que o serviço de provisionamento executa ao provisionar um usuário. Normalmente, há cinco etapas para provisionar um usuário. Uma ou mais dessas etapas, explicadas nas seções a seguir, são mostradas durante a experiência de provisionamento sob demanda.

Etapa 1: Testar a conexão

O serviço de provisionamento tenta autorizar o acesso ao sistema de destino fazendo uma solicitação para um "usuário de teste". O serviço de provisionamento espera uma resposta que indique que o serviço está autorizado a continuar com as etapas de provisionamento. Esta etapa é mostrada somente quando falha. Ele não é mostrado durante a experiência de provisionamento sob demanda quando a etapa é bem-sucedida.

Sugestões de resolução de problemas

• Certifique-se de ter fornecido credenciais válidas, como o token secreto e a URL do locatário, para o sistema de destino. As credenciais necessárias variam de acordo com o aplicativo. Para obter tutoriais de configuração detalhados, consulte a lista de tutoriais.
• Certifique-se de que o sistema de destino suporta filtragem nos atributos correspondentes definidos no painel Mapeamentos de atributos. Talvez seja necessário verificar a documentação da API fornecida pelo desenvolvedor do aplicativo para entender os filtros suportados.
• Para aplicativos System for Cross-domain Identity Management (SCIM), você pode usar uma ferramenta como o Postman. Essas ferramentas ajudam a garantir que o aplicativo responda às solicitações de autorização da maneira esperada pelo serviço de provisionamento do Microsoft Entra. Dê uma olhada em um pedido de exemplo.

Etapa 2: Importar usuário

Em seguida, o serviço de provisionamento recupera o usuário do sistema de origem. Os atributos de usuário que o serviço recupera são usados posteriormente para:

• Avalie se o usuário está no escopo para provisionamento.
• Verifique o sistema de destino para um usuário existente.
• Determine quais atributos de usuário devem ser exportados para o sistema de destino.

Ver detalhes

A seção Exibir detalhes mostra as propriedades do usuário que foram importadas do sistema de origem (por exemplo, ID do Microsoft Entra).

Sugestões de resolução de problemas

• A importação do usuário pode falhar quando o atributo correspondente estiver ausente no objeto do usuário no sistema de origem. Para resolver essa falha, tente uma destas abordagens:

  • Atualize o objeto de usuário com um valor para o atributo correspondente.
  • Altere o atributo correspondente na configuração de provisionamento.

• Se um atributo esperado estiver faltando na lista importada, verifique se o atributo tem um valor no objeto de usuário no sistema de origem. Atualmente, o serviço de provisionamento não oferece suporte a atributos nulos de provisionamento.

• Verifique se a página Mapeamento de atributos da configuração de provisionamento contém o atributo esperado.

Etapa 3: Determinar se o usuário está no escopo

Em seguida, o serviço de provisionamento determina se o usuário está no escopo para provisionamento. O serviço considera aspetos como:

• Se o usuário está atribuído ao aplicativo.
• Se o escopo está definido como Sincronizar atribuído ou Sincronizar tudo.
• Os filtros de escopo definidos em sua configuração de provisionamento.

Ver detalhes

A seção Exibir detalhes mostra as condições de escopo que foram avaliadas. Poderá ver uma ou mais das seguintes propriedades:

• Ativo no sistema de origem indica que o usuário tem a propriedade IsActive definida como true no Microsoft Entra ID.
• Atribuído ao aplicativo indica que o usuário está atribuído ao aplicativo no Microsoft Entra ID.
• Sincronização de escopo tudo indica que a configuração de escopo permite todos os usuários e grupos no locatário.
• User has required role indica que o usuário tem as funções necessárias para ser provisionado no aplicativo.
• Os filtros de escopo também são mostrados se você tiver definido filtros de escopo para seu aplicativo. O filtro é exibido com o seguinte formato: {scoping filter title} {scoping filter attribute} {scoping filter operator} {scoping filter value}.

Sugestões de resolução de problemas

• Certifique-se de que definiu uma função de âmbito válida. Por exemplo, evite usar o operador Greater_Than com um valor não inteiro.
• Se o usuário não tiver a função necessária, revise as dicas para provisionar usuários atribuídos à função de acesso padrão.

Etapa 4: Fazer a correspondência entre o usuário entre a origem e o destino

Nesta etapa, o serviço tenta fazer a correspondência entre o usuário recuperado na etapa de importação e um usuário no sistema de destino.

Ver detalhes

A página Exibir detalhes mostra as propriedades dos usuários que foram correspondidos no sistema de destino. O painel de contexto muda da seguinte maneira:

• Se nenhum usuário for correspondido no sistema de destino, nenhuma propriedade será mostrada.
• Se um usuário corresponder no sistema de destino, as propriedades desse usuário serão mostradas.
• Se vários usuários corresponderem, as propriedades de ambos os usuários serão mostradas.
• Se vários atributos correspondentes fizerem parte de seus mapeamentos de atributos, cada atributo correspondente será avaliado sequencialmente e os usuários correspondentes para esse atributo serão mostrados.

Sugestões de resolução de problemas

• O serviço de provisionamento pode não ser capaz de corresponder um usuário no sistema de origem exclusivamente com um usuário no destino. Resolva esse problema garantindo que o atributo correspondente seja exclusivo.
• Certifique-se de que o sistema de destino suporta filtragem no atributo definido como o atributo correspondente.

Etapa 5: Executar a ação

Finalmente, o serviço de provisionamento executa uma ação, como criar, atualizar, excluir ou ignorar o usuário.

Aqui está um exemplo do que você pode ver após o provisionamento sob demanda bem-sucedido de um usuário:

Ver detalhes

A seção Exibir detalhes exibe os atributos que foram modificados no sistema de destino. Essa exibição representa a saída final da atividade de serviço de provisionamento e os atributos que foram exportados. Se esta etapa falhar, os atributos exibidos representarão os atributos que o serviço de provisionamento tentou modificar.

Sugestões de resolução de problemas

• As falhas na exportação de alterações podem variar muito. Verifique a documentação para verificar se há falhas comuns nos logs de provisionamento.
• O provisionamento sob demanda diz que o grupo ou usuário não pode ser provisionado porque não está atribuído ao aplicativo. Há um atraso de replicação de até alguns minutos entre quando um objeto é atribuído a um aplicativo e quando essa atribuição é honrada no provisionamento sob demanda. Pode ser necessário esperar alguns minutos e tentar novamente.

Perguntas mais frequentes

• Você precisa desativar o provisionamento para usar o provisionamento sob demanda? Para aplicativos que usam um token de portador de longa duração ou um nome de usuário e senha para autorização, não são necessárias mais etapas. Os aplicativos que usam OAuth para autorização atualmente exigem que o trabalho de provisionamento seja interrompido antes de usar o provisionamento sob demanda. Aplicações como o G Suite, Box, Workplace by Facebook e Slack enquadram-se nesta categoria. O trabalho está em andamento para dar suporte ao provisionamento sob demanda para todos os aplicativos sem ter que interromper os trabalhos de provisionamento.

• Quanto tempo demora o provisionamento sob demanda? O provisionamento sob demanda normalmente leva menos de 30 segundos.

Limitações conhecidas

Atualmente, existem algumas limitações conhecidas para o provisionamento sob demanda. Publique suas sugestões e comentários para que possamos determinar melhor quais melhorias fazer em seguida.

Nota

As limitações a seguir são específicas para o recurso de provisionamento sob demanda. Para obter informações sobre se um aplicativo oferece suporte a grupos de provisionamento, exclusões ou outros recursos, verifique o tutorial desse aplicativo.

• O provisionamento sob demanda de grupos oferece suporte à atualização de até cinco membros por vez. Os conectores para sincronização entre locatários, Workday, etc. não oferecem suporte ao provisionamento de grupo e, como resultado, não suportam o provisionamento sob demanda de grupos.
• A API de solicitação de provisionamento sob demanda só pode aceitar um único grupo com até 5 membros de cada vez.

• O provisionamento sob demanda de grupos não é suportado para sincronização entre locatários.

• O provisionamento sob demanda oferece suporte ao provisionamento de um usuário de cada vez por meio do centro de administração do Microsoft Entra.
• Não há suporte para a restauração de um usuário excluído anteriormente no locatário de destino com provisionamento sob demanda. Se você tentar excluir um usuário com provisionamento sob demanda e, em seguida, restaurar o usuário, isso pode resultar em usuários duplicados.
• Não há suporte para provisionamento sob demanda de funções.
• O provisionamento sob demanda oferece suporte à desativação de usuários que não foram atribuídos do aplicativo. No entanto, ele não oferece suporte à desativação ou exclusão de usuários que foram desabilitados ou excluídos do Microsoft Entra ID. Esses usuários não aparecem quando você pesquisa um usuário.
• O provisionamento sob demanda não oferece suporte a grupos aninhados que não são atribuídos diretamente ao aplicativo.

Próximos passos

• Solução de problemas de provisionamento