O que é que a aplicação está a prever em Azure Ative Directory?

Em Azure Ative Directory (Azure AD), o termo provisionamento de aplicações refere-se à criação automática de identidades e funções de utilizador para aplicações.

Diagram that shows provisioning scenarios.

O provisionamento de aplicações AD do Azure refere-se à criação automática de identidades e funções dos utilizadores nas aplicações a que os utilizadores precisam de acesso. Além da criação de identidades de utilizador, o fornecimento automático inclui a manutenção e remoção das identidades dos utilizadores como alteração de estatuto ou de funções. Os cenários comuns incluem a disponibilização de um utilizador AZure AD em aplicações SaaS como Dropbox, Salesforce, ServiceNow e muito mais.

O Azure AD também suporta o provisionamento dos utilizadores em aplicações hospedadas no local ou numa máquina virtual, sem ter de abrir quaisquer firewalls. Se a sua aplicação apoiar o SCIM, ou tiver construído uma porta de entrada SCIM para ligar à sua aplicação antiga, pode utilizar o agente Azure AD Provisioning para se conectar diretamente com a sua aplicação e automatizar o fornecimento e desprovisionamento. Se tiver aplicações antigas que não suportam SCIM e que dependem de uma loja de utilizadores LDAP ou de uma base de dados SQL, a Azure AD também pode apoiá-las.

O provisionamento de aplicativos permite-lhe:

  • Automatizar o fornecimento: Crie automaticamente novas contas nos sistemas certos para novas pessoas quando se juntam à sua equipa ou organização.
  • Automatizar a desprovisionamento: Desativar automaticamente as contas nos sistemas certos quando as pessoas saem da equipa ou da organização.
  • Sincronizar dados entre sistemas: Certifique-se de que as identidades nas suas apps e sistemas são mantidas atualizadas com base em alterações no diretório ou no seu sistema de recursos humanos.
  • Grupos de provisão: Provisionamento de grupos para aplicações que os apoiam.
  • Reger acesso: Monitor e auditoria que tenha sido a provisionado nas suas aplicações.
  • Implementar perfeitamente em cenários de campo castanho: Combine as identidades existentes entre os sistemas e permita uma fácil integração, mesmo quando os utilizadores já existem no sistema alvo.
  • Utilizar uma personalização rica: Aproveite os mapeamentos de atributos personalizáveis que definem quais os dados do utilizador que devem fluir do sistema de origem para o sistema alvo.
  • Receba alertas para eventos críticos: O serviço de fornecimento fornece alertas para eventos críticos e permite a integração do Log Analytics onde pode definir alertas personalizados de acordo com as necessidades do seu negócio.

O que é SCIM?

Para ajudar a automatizar o fornecimento e desprovisionamento, as aplicações expõem as APIs do utilizador proprietário e do grupo. No entanto, quem tiver tentado gerir os utilizadores em mais do que uma aplicação irá dizer-lhe que todas as aplicações tentam realizar as mesmas ações, como criar ou atualizar utilizadores, adicionar utilizadores a grupos ou desprovisionar utilizadores. No entanto, todas estas ações são implementadas de forma ligeiramente diferente, utilizando diferentes caminhos de ponto final, diferentes métodos para especificar a informação do utilizador, e um esquema diferente para representar cada elemento de informação.

Para responder a estes desafios, a especificação do Sistema de Gestão de Identidade de Domínio Cruzado (SCIM) fornece um esquema comum de utilizador para ajudar os utilizadores a moverem-se para dentro, para fora e em torno de aplicações. O SCIM está a tornar-se o padrão de facto para o provisionamento e, quando utilizado com padrões de federação como Security Assertions Markup Language (SAML) ou OpenID Ligação (OIDC), fornece aos administradores uma solução baseada em padrões de ponta para a gestão de acessos.

Para obter orientações detalhadas sobre o desenvolvimento de um ponto final SCIM para automatizar o fornecimento e desprovisionamento de utilizadores e grupos para uma aplicação, consulte construir um ponto final SCIM e configurar o fornecimento do utilizador. Para aplicações pré-integradas na galeria, tais como Slack, Azure Databricks e Snowflake, pode ignorar a documentação do desenvolvedor e utilizar os tutoriais fornecidos em Tutoriais para integrar aplicações SaaS com Azure Ative Directory.

Aprovisionamento manual vs. automático

As candidaturas na galeria Azure AD suportam um dos dois modos de provisionamento:

  • O fornecimento manual significa que ainda não existe um conector automático Azure AD para a aplicação. As contas do utilizador devem ser criadas manualmente. Exemplos são adicionar utilizadores diretamente ao portal administrativo da aplicação ou carregar uma folha de cálculo com detalhes da conta do utilizador. Consulte a documentação fornecida pela app ou contacte o desenvolvedor de aplicações para determinar quais os mecanismos disponíveis.
  • O automático significa que foi desenvolvido um conector Azure AD para esta aplicação. Siga o tutorial de configuração específico para configurar o provisionamento para a aplicação. Os tutoriais de aplicações podem ser encontrados em Tutoriais para integrar aplicações SaaS com Azure Ative Directory.

O modo de provisionamento suportado por uma aplicação também é visível no separador Provisioning depois de ter adicionado a aplicação às aplicações da sua empresa.

Benefícios do provisionamento automático

À medida que o número de aplicações utilizadas nas organizações modernas continua a crescer, os administradores de TI são incumbidos de gestão de acessos em escala. Padrões como SAML ou OIDC permitem que os administradores criem rapidamente uma única inscrição (SSO), mas o acesso também requer que os utilizadores sejam aprovisionados na aplicação. Para muitos administradores, o provisionamento significa criar manualmente todas as contas de utilizador ou carregar ficheiros CSV todas as semanas. Estes processos são demorados, dispendiosos e propensos a erros. Foram adotadas soluções como a SAML just-in-time (JIT) para automatizar o provisionamento. As empresas também precisam de uma solução para desprovisionar os utilizadores quando saem da organização ou já não precisam de acesso a determinadas apps com base na mudança de funções.

Algumas motivações comuns para o uso do fornecimento automático incluem:

  • Maximizando a eficiência e a precisão dos processos de provisionamento.
  • Economizando em custos associados ao hospedagem e manutenção de soluções e scripts desenvolvidos sob medida.
  • Garantir a sua organização removendo instantaneamente as identidades dos utilizadores das principais aplicações SaaS quando saírem da organização.
  • Importando facilmente um grande número de utilizadores para uma aplicação ou sistema saaS particular.
  • Ter um único conjunto de políticas para determinar quem é aprovisionado e quem pode entrar numa aplicação.

O fornecimento de utilizadores AD AZure pode ajudar a resolver estes desafios. Para saber mais sobre como os clientes têm usado o fornecimento de utilizadores Azure AD, leia o estudo de caso asos. O vídeo a seguir fornece uma visão geral do fornecimento do utilizador em Azure AD.

Que aplicações e sistemas posso utilizar com o fornecimento automático de utilizadores Azure AD?

O Azure AD apresenta suporte pré-integrado para muitas aplicações populares do SaaS e sistemas de recursos humanos, e suporte genérico para apps que implementam partes específicas da norma SCIM 2.0.

Como devo proceder para criar o fornecimento automático a um pedido?

Para aplicações pré-integradas listadas na galeria, está disponível orientação passo a passo para a criação de provisões automáticas. Consulte tutoriais para integrar aplicações SaaS com Azure Ative Directory. O vídeo que se segue demonstra como configurar o fornecimento automático de utilizadores para o SalesForce.

Para outras aplicações que suportem SCIM 2.0, siga os passos na Build a SCIM endpoint e configuure o fornecimento do utilizador.

Passos seguintes