Gerenciar mapeamentos e usuários em aplicativos que não correspondem aos usuários no Microsoft Entra ID
Quando você estiver integrando um aplicativo existente com o Microsoft Entra ID, para provisionamento ou logon único (SSO), você pode determinar que há usuários no armazenamento de dados do aplicativo que não correspondem aos usuários no Microsoft Entra ID ou que não correspondem a nenhum usuário no Microsoft Entra ID.
O serviço de provisionamento do Microsoft Entra depende de regras de correspondência configuráveis para determinar se um usuário no Microsoft Entra ID corresponde a um usuário no aplicativo, procurando no aplicativo por um usuário com a propriedade correspondente de um usuário do Microsoft Entra ID. Por exemplo, suponha que a regra correspondente seja comparar o atributo de um usuário do userPrincipalName Microsoft Entra ID com a propriedade de userName um aplicativo. Quando um usuário no Microsoft Entra ID com um userPrincipalName valor de é atribuído à função de um aplicativo, o serviço de provisionamento do alice.smith@contoso.com Microsoft Entra executa uma pesquisa do aplicativo, com uma consulta como userName eq "alice.smith@contoso.com". Se a pesquisa do aplicativo indicar que nenhum usuário corresponde, o serviço de provisionamento do Microsoft Entra criará um novo usuário no aplicativo.
Se o aplicativo ainda não tiver usuários, esse processo preencherá o armazenamento de dados do aplicativo com usuários à medida que eles são atribuídos no ID do Microsoft Entra. No entanto, se a aplicação já tiver utilizadores, podem surgir duas situações. Primeiro, pode haver pessoas com contas de usuário no aplicativo, mas a correspondência não consegue localizá-las - talvez o usuário seja representado no aplicativo como asmith@contoso.com em vez de alice.smith@contoso.com e, portanto, a pesquisa que o serviço de provisionamento Microsoft Entra realiza não as encontra. Nessa situação, a pessoa pode acabar com usuários duplicados no aplicativo. Em segundo lugar, pode haver pessoas com contas de usuário no aplicativo que não têm usuário no Microsoft Entra ID. Nessa situação, o serviço de provisionamento do Microsoft Entra não interage com esses usuários no aplicativo, no entanto, se o aplicativo estiver configurado para confiar no Microsoft Entra ID como seu único provedor de identidade, esses usuários não poderão mais entrar: o aplicativo redirecionará a pessoa para entrar com o Microsoft Entra ID, mas a pessoa não tem um usuário no Microsoft Entra ID.
Essas inconsistências entre o Microsoft Entra ID e o armazenamento de dados de um aplicativo existente podem acontecer por vários motivos, incluindo:
- o administrador do aplicativo cria usuários diretamente no aplicativo, como para contratantes ou fornecedores, que não estão representados em um sistema de fonte de RH de registro, mas exigiram acesso ao aplicativo,
- alterações de identidade e atributo, como uma pessoa alterando seu nome, não estavam sendo enviadas para o ID do Microsoft Entra ou para o aplicativo e, portanto, as representações estão desatualizadas em um ou outro sistema, ou
- a organização estava usando um produto de gerenciamento de identidades que provisionava independentemente o Windows Server AD e o aplicativo com comunidades diferentes. Por exemplo, os funcionários da loja precisavam de acesso ao aplicativo, mas não exigiam caixas de correio do Exchange, portanto, os funcionários da loja não eram representados no Windows Server AD ou no Microsoft Entra ID.
Antes de habilitar o provisionamento ou SSO para um aplicativo com usuários existentes, você deve verificar se os usuários estão correspondendo e investigar e resolver os usuários do aplicativo que não corresponderam. Este artigo descreve opções de como resolver diferentes situações que um usuário não pôde ser correspondido.
Determinar se há usuários no aplicativo que não correspondem
Se você já determinou a lista de usuários no aplicativo que não correspondem aos usuários no Microsoft Entra ID, continue na próxima seção.
O procedimento para determinar quais usuários no aplicativo não correspondem aos usuários no Microsoft Entra ID depende de como o aplicativo é ou será integrado ao Microsoft Entra ID.
Se você estiver usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services na etapa para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos correspondentes necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para fazer a correspondência entre esses usuários e os usuários no Microsoft Entra ID.
Se seu aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento de diretório LDAP através da etapa para coletar usuários existentes do diretório LDAP. Nesse tutorial, use o PowerShell para fazer a correspondência entre esses usuários e os usuários no Microsoft Entra ID.
Para outros aplicativos, incluindo aqueles aplicativos com um banco de dados SQL ou que têm suporte a provisionamento na galeria de aplicativos, siga o tutorial para controlar os usuários existentes de um aplicativo através da etapa para confirmar que o Microsoft Entra ID tem usuários que correspondem aos usuários do aplicativo.
Para outros aplicativos que não têm uma interface de provisionamento, siga o tutorial para governar os usuários de um aplicativo que não oferece suporte ao provisionamento por meio da etapa para confirmar que o Microsoft Entra ID tem usuários que correspondem aos usuários do aplicativo.
Quando o script do PowerShell fornecido nesses tutoriais for concluído, ele exibirá um erro se algum registro do aplicativo não estiver localizado na ID do Microsoft Entra. Se nem todos os registros de usuários do armazenamento de dados do aplicativo puderem ser localizados como usuários no ID do Microsoft Entra, você precisará investigar quais registros não corresponderam e por quê e, em seguida, resolver o problema de correspondência usando uma das opções na próxima seção.
Opções para garantir que os usuários sejam correspondidos entre o aplicativo e o ID do Microsoft Entra
Esta seção fornece várias opções para abordar os usuários não correspondentes no aplicativo. Com base nos objetivos da sua organização e nos problemas de dados entre o Microsoft Entra ID e o aplicativo, selecione a opção apropriada para cada usuário. Pode não haver uma única opção que cubra todos os usuários em um determinado aplicativo.
Excluir usuários de teste do aplicativo
Pode haver usuários de teste no aplicativo que sobraram de sua implantação inicial. Se houver usuários que não são mais necessários, eles podem ser excluídos do aplicativo.
Excluir usuários dos aplicativos para pessoas que não fazem mais parte da organização
O usuário pode não ser mais afiliado à organização e não precisa mais acessar o aplicativo, mas ainda é um usuário na fonte de dados do aplicativo. Isso pode acontecer se o administrador do aplicativo omitiu a remoção do usuário ou não foi informado de que a alteração era necessária. Se o usuário não for mais necessário, ele pode ser excluído do aplicativo.
Exclua usuários do aplicativo e faça com que eles sejam recriados a partir do Microsoft Entra ID
Se o aplicativo não estiver atualmente em uso amplo ou não mantiver nenhum estado por usuário, outra opção é excluir usuários do aplicativo para que não haja mais usuários não correspondentes. Em seguida, à medida que os usuários solicitam ou recebem o aplicativo no Microsoft Entra ID, eles terão acesso provisionado.
Atualizar a propriedade correspondente dos usuários no aplicativo
Um usuário pode existir em um aplicativo e no Microsoft Entra ID, mas o usuário no aplicativo está faltando uma propriedade necessária para correspondência, ou a propriedade tem o valor errado.
Por exemplo, quando um administrador SAP cria um usuário no SAP Cloud Identity Services usando seu console de administração, o usuário pode não ter uma userName propriedade. No entanto, essa propriedade pode ser a usada para fazer a correspondência com os usuários no Microsoft Entra ID. Se a userName propriedade for a que se destina a corresponder, você precisará que o administrador do SAP atualize os usuários existentes do SAP Cloud Identity Services para ter um valor da userName propriedade.
Por outro exemplo, o administrador do aplicativo definiu o endereço de e-mail do usuário como uma propriedade mail do usuário no aplicativo, quando o usuário foi adicionado pela primeira vez ao aplicativo. No entanto, mais tarde o endereço de e-mail da pessoa e userPrincipalName é alterado no Microsoft Entra ID. No entanto, se o aplicativo não exigiu o endereço de e-mail ou o provedor de e-mail teve um redirecionamento que permitiu que o endereço de e-mail antigo continuasse encaminhando, o administrador do aplicativo pode ter perdido a necessidade de mail atualizar a propriedade na fonte de dados do aplicativo. Essa inconsistência pode ser resolvida pelo administrador do aplicativo alterando a mail propriedade nos usuários do aplicativo para ter um valor atual ou alterando a regra de correspondência, conforme descrito nas seções a seguir.
Atualizar usuários no aplicativo com uma nova propriedade
O sistema de gerenciamento de identidade anterior de uma organização pode ter criado usuários no aplicativo como usuários locais. Se a organização não tinha um único provedor de identidade no momento, esses usuários no aplicativo não precisavam de nenhuma propriedade para serem correlacionados com qualquer outro sistema. Por exemplo, um produto de gerenciamento de identidade anterior criou usuários em um aplicativo com base em uma fonte de RH autorizada. Esse sistema de gerenciamento de identidade manteve a correlação entre os usuários que criou no aplicativo com a fonte de RH e não forneceu nenhum dos identificadores de origem de RH para o aplicativo. Mais tarde, ao tentar conectar o aplicativo a um locatário do Microsoft Entra ID preenchido a partir dessa mesma fonte de RH, o Microsoft Entra ID pode ter usuários para todas as mesmas pessoas que estão no aplicativo, mas a correspondência falha para todos os usuários porque não há nenhuma propriedade em comum.
Para resolver esse problema de correspondência, execute as etapas a seguir.
- Selecione uma propriedade existente não utilizada de usuários no aplicativo ou adicione uma nova propriedade ao esquema de usuário no aplicativo.
- Preencha essa propriedade em todos os usuários no aplicativo com dados de uma fonte autoritativa, como um número de ID de funcionário ou endereço de email, que já está presente nos usuários no Microsoft Entra ID.
- Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativo Microsoft Entra para o aplicativo para que essa propriedade seja incluída na regra de correspondência.
Alterar regras ou propriedades correspondentes quando o endereço de e-mail não corresponder ao nome principal do usuário
Por padrão, alguns dos mapeamentos do serviço de provisionamento do Microsoft Entra para aplicativos enviam o userPrincipalName atributo para corresponder a uma propriedade de endereço de email do aplicativo. Algumas organizações têm endereços de e-mail principais para seus usuários que são distintos de seu nome principal de usuário. Se o aplicativo estiver armazenando o endereço de e-mail como uma propriedade do usuário, e não o userPrincipalName, então você precisará alterar os usuários no aplicativo ou a regra de correspondência.
- Se você planeja usar o logon único da ID do Microsoft Entra para o aplicativo, então você pode querer alterar o aplicativo para adicionar uma propriedade no usuário para manter o userPrincipalName. Em seguida, preencha essa propriedade em cada usuário no aplicativo com userPrincipalName do usuário a partir da ID do Microsoft Entra e atualize a configuração de provisionamento do aplicativo Microsoft Entra para que essa propriedade seja incluída na regra correspondente.
- Se você não planeja usar o logon único da ID do Microsoft Entra, uma alternativa é atualizar a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra, para corresponder a um atributo de endereço de email do usuário do Microsoft Entra na regra de correspondência.
Atualizar o atributo correspondente dos usuários no Microsoft Entra ID
Em algumas situações, o atributo usado para correspondência tem um valor no usuário do Microsoft Entra ID que está desatualizado. Por exemplo, uma pessoa alterou seu nome, mas a alteração de nome não foi feita no usuário do Microsoft Entra ID.
Se o usuário foi criado e mantido somente no Microsoft Entra ID, então você deve atualizar o usuário para ter os atributos corretos. Se o atributo de usuário for originado em um sistema upstream, como o Windows Server AD ou uma fonte HR, será necessário alterar o valor na fonte upstream e aguardar que a alteração fique visível no Microsoft Entra ID.
Atualize as regras de provisionamento de sincronização ou Cloud Sync do Microsoft Entra Connect para sincronizar os usuários e atributos necessários
Em algumas situações, um sistema de gerenciamento de identidades anterior preencheu os usuários do Windows Server AD com um atributo apropriado que pode funcionar como um atributo correspondente com outro aplicativo. Por exemplo, se o sistema de gerenciamento de identidade anterior foi conectado a uma fonte de RH, o usuário do AD terá um employeeId atributo preenchido por esse sistema de gerenciamento de identidade anterior com o ID de funcionário do usuário. Para outro exemplo, o sistema de gerenciamento de identidades anterior gravou o ID de usuário exclusivo do aplicativo como um atributo de extensão no esquema do AD do Windows Server. No entanto, se nenhum desses atributos foi selecionado para sincronização no Microsoft Entra ID, ou os usuários estavam fora do escopo de sincronização no Microsoft Entra ID, então a representação do Microsoft Entra ID da comunidade de usuários pode estar incompleta.
Para resolver esse problema, você precisa alterar a sincronização do Microsoft Entra Connect ou a configuração de sincronização na nuvem do Microsoft Entra para garantir que todos os usuários apropriados no Windows Server AD que também estão no aplicativo estejam no escopo para serem provisionados para o Microsoft Entra ID e que os atributos sincronizados desses usuários incluam os atributos que serão usados para fins de correspondência. Se você estiver usando a sincronização do Microsoft Entra Connect, consulte Microsoft Entra Connect Sync: Configurar filtragem e Microsoft Entra Connect Sync: extensões de diretório. Se você estiver usando a sincronização na nuvem do Microsoft Entra, consulte Mapeamento de atributos no Microsoft Entra Cloud Sync e extensões de diretório de sincronização na nuvem e mapeamento de atributos personalizados.
Atualizar usuários no Microsoft Entra ID com um novo atributo
Em algumas situações, o aplicativo pode conter um identificador exclusivo para o usuário que não está atualmente armazenado no esquema de ID do Microsoft Entra para o usuário. Por exemplo, se você estiver usando o SAP Cloud Identity Services, talvez deseje que o ID de usuário SAP seja o atributo correspondente ou, se estiver usando um sistema Linux, talvez queira que o ID de usuário do Linux seja o atributo correspondente. No entanto, essas propriedades não fazem parte do esquema de usuário do Microsoft Entra ID e, portanto, provavelmente não estão presentes em nenhum dos usuários no Microsoft Entra ID.
Para usar um novo atributo para correspondência, execute as etapas a seguir.
- Selecione um atributo de extensão não utilizado existente no ID do Microsoft Entra ou estenda o esquema de usuário do Microsoft Entra com um novo atributo.
- Preencha esse atributo em todos os usuários no Microsoft Entra ID com dados de uma fonte autorizada, como o aplicativo ou um sistema de RH. Se os usuários forem sincronizados a partir do Windows Server AD ou provisionados a partir de um sistema HR, talvez seja necessário fazer essa alteração nessa fonte upstream.
- Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos Microsoft Entra e inclua esse atributo na regra de correspondência.
Alterar regras de correspondência para um atributo diferente já preenchido no Microsoft Entra ID
As regras de correspondência padrão para aplicativos na galeria de aplicativos dependem de atributos que geralmente estão presentes em todos os usuários do Microsoft Entra ID em todos os clientes da Microsoft, como userPrincipalName. Essas regras são adequadas para testes de uso geral ou para provisionamento em um novo aplicativo que atualmente não tem usuários. No entanto, muitas organizações podem já ter preenchido os usuários do Microsoft Entra ID com outros atributos relevantes para sua organização, como uma ID de funcionário. Se houver outro atributo adequado para correspondência, atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra e inclua esse atributo na regra de correspondência.
Configurar o provisionamento de entrada de uma fonte de RH para a ID do Microsoft Entra
Idealmente, as organizações que têm provisionado usuários em vários aplicativos de forma independente, devem confiar em identificadores comuns para usuários derivados de uma fonte autoritativa, como um sistema de RH. Muitos sistemas de RH têm propriedades que funcionam bem como identificadores, como employeeId que podem ser tratados como únicos para que não haja duas pessoas com o mesmo ID de funcionário. Se você tiver uma fonte de RH, como Workday ou SuccessFactors, trazer atributos como um employeeId dessa fonte pode muitas vezes fazer uma regra de correspondência adequada.
Para usar um atributo com valores obtidos de uma fonte autorizada para correspondência, execute as etapas a seguir.
- Selecione um atributo de esquema de usuário apropriado do Microsoft Entra ID ou estenda o esquema de usuário do Microsoft Entra com um novo atributo, cujos valores correspondem a uma propriedade equivalente de um usuário no aplicativo.
- Certifique-se de que a propriedade também está presente em uma fonte de RH para todas as pessoas que têm usuários no Microsoft Entra ID e no aplicativo.
- Configure o provisionamento de entrada dessa fonte de RH para o Microsoft Entra ID.
- Aguarde até que os usuários no Microsoft Entra ID sejam atualizados com novos atributos.
- Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos Microsoft Entra e inclua esse atributo na regra de correspondência.
Criar usuários no Windows Server AD para usuários no aplicativo que precisam de acesso contínuo ao aplicativo
Se houver usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autoritativa, mas exigirão acesso a aplicativos baseados no Windows Server AD e aplicativos integrados ao Microsoft Entra ID no futuro, e sua organização estiver usando o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync para provisionar usuários do Windows Server AD para o Microsoft Entra ID, em seguida, você pode criar um usuário no Windows Server AD para cada um desses usuários que ainda não estavam presentes.
Se os usuários não precisarem de acesso a aplicativos baseados no Windows Server AD, crie os usuários no Microsoft Entra ID, conforme descrito na próxima seção.
Criar usuários no Microsoft Entra ID para usuários no aplicativo que precisam de acesso contínuo ao aplicativo
Se houver usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autorizada, mas precisarão de acesso contínuo e serão governados a partir do Microsoft Entra, você poderá criar usuários do Microsoft Entra para eles. Você pode criar usuários em massa usando:
- Um arquivo CSV, conforme descrito em Criar usuários em massa no centro de administração do Microsoft Entra
- O cmdlet New-MgUser
Certifique-se de que esses novos usuários sejam preenchidos com os atributos necessários para que a ID do Microsoft Entra os corresponda posteriormente aos usuários existentes no aplicativo e os atributos exigidos pela ID do Microsoft Entra, incluindo userPrincipalName, mailNicknamee displayName. O userPrincipalName deve ser único entre todos os usuários no diretório.
Criando usuários em massa usando o PowerShell
Esta seção mostra como interagir com o Microsoft Entra ID usando cmdlets do Microsoft Graph PowerShell .
Na primeira vez que sua organização usar esses cmdlets para esse cenário, você precisará estar em uma função de Administrador Global para permitir que o Microsoft Graph PowerShell seja usado em seu locatário. As interações subsequentes podem usar uma função com privilégios inferiores, como Administrador de Usuário.
Se você já tiver uma sessão do PowerShell em que identificou os usuários no aplicativo que não estavam no Microsoft Entra ID, continue na etapa 6 abaixo. Caso contrário, abra o PowerShell.
Se você não tiver os módulos do Microsoft Graph PowerShell já instalados, instale o
Microsoft.Graph.Usersmódulo e outros usando este comando:Install-Module Microsoft.GraphSe já tiver os módulos instalados, certifique-se de que está a utilizar uma versão recente:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applicationsConecte-se ao Microsoft Entra ID:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"Se esta for a primeira vez que você usou esse comando, você precisará consentir para permitir que as ferramentas de linha de comando do Microsoft Graph tenham essas permissões.
Traga para seu ambiente do PowerShell uma matriz de usuários do aplicativo, que também tenha os campos que são atributos obrigatórios do Microsoft Entra ID - o nome principal do usuário, o apelido de email e o nome completo do usuário. Esse script pressupõe que a matriz
$dbu_not_matched_listcontém os usuários do aplicativo que não foram correspondidos.$filename = ".\Users-to-create.csv" $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8Especifique em sua sessão do PowerShell quais colunas na matriz de usuários a serem criados correspondem às propriedades necessárias do ID do Microsoft Entra. Por exemplo, você pode ter usuários em um banco de dados onde o valor na coluna nomeada
EMailé o valor que você deseja usar como o Nome principal do usuário do Microsoft Entra, o valor na colunaAliascontém o apelido de email do ID do Microsoft Entra e o valor na colunaFull namecontém o nome para exibição do usuário:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"Abra o seguinte script em um editor de texto. Talvez seja necessário modificar esse script para adicionar os atributos do Microsoft Entra necessários para seu aplicativo ou, se o
$azuread_match_attr_namenãomailNicknamefor ouuserPrincipalName, para fornecer esse atributo do Microsoft Entra.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }Cole o script resultante do editor de texto na sessão do PowerShell. Se ocorrerem erros, deve corrigi-los antes de prosseguir.
Manter usuários separados e incomparáveis no aplicativo e no ID do Microsoft Entra
Pode haver um usuário superadministrador na fonte de dados do aplicativo que não corresponda a nenhuma pessoa específica no Microsoft Entra ID. Se você não criar usuários do Microsoft Entra para eles, esses usuários não poderão ser gerenciados a partir do Microsoft Entra ID ou da Governança do Microsoft Entra ID. Como esses usuários não poderão entrar com o Microsoft Entra ID, portanto, se você estiver configurando o aplicativo para usar o Microsoft Entra ID como um provedor de identidade, certifique-se de que esses usuários estejam fora do escopo de usar o Microsoft Entra ID para autenticação.
Reexportar utilizadores
Depois de fazer atualizações para usuários do Microsoft Entra, usuários no aplicativo ou as regras de correspondência do aplicativo Microsoft Entra, você deve reexportar e executar o procedimento de correspondência para seu aplicativo novamente, para garantir que todos os usuários estejam correlacionados.
Se você estiver usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services começando na etapa para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos correspondentes necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para fazer a correspondência entre esses usuários e os usuários no Microsoft Entra ID.
Se seu aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento de diretório LDAP começando na etapa para coletar usuários existentes do diretório LDAP.
Para outros aplicativos, incluindo aqueles aplicativos com um banco de dados SQL ou que têm suporte a provisionamento na galeria de aplicativos, siga o tutorial para governar os usuários existentes de um aplicativo começando na etapa para coletar usuários existentes do aplicativo.
Atribuir usuários a funções de aplicativo e habilitar o provisionamento
Depois de concluir as atualizações necessárias e confirmar que todos os usuários do aplicativo correspondem aos usuários no Microsoft Entra ID, você deve atribuir os usuários no Microsoft Entra ID que precisam acessar o aplicativo à função do aplicativo Microsoft Entra e, em seguida, habilitar o provisionamento para o aplicativo.
- Se você estiver usando o SAP Cloud Identity Services, continue o tutorial de provisionamento do SAP Cloud Identity Services começando na etapa para garantir que os usuários existentes do Microsoft Entra tenham os atributos necessários.