Habilite o provisionamento automático de usuários para seu aplicativo multilocatário no Microsoft Entra ID
O provisionamento automático de usuários é o processo de automatização da criação, manutenção e remoção de identidades de usuários em sistemas de destino, como seus aplicativos de software como serviço.
Por que habilitar o provisionamento automático de usuários?
Os aplicativos que exigem que um registro de usuário esteja presente no aplicativo antes do primeiro login de um usuário exigem o provisionamento do usuário. Existem benefícios para si enquanto prestador de serviços e benefícios para os seus clientes.
Vantagens para si enquanto prestador de serviços
Aumente a segurança do seu aplicativo usando a plataforma de identidade da Microsoft.
Reduza o esforço real e percebido do cliente para adotar seu aplicativo.
Reduza seus custos de integração com vários provedores de identidade (IdPs) para provisionamento automático de usuários usando o provisionamento baseado no System for Cross-Domain Identity Management (SCIM).
Reduza os custos de suporte fornecendo logs avançados para ajudar os clientes a solucionar problemas de provisionamento de usuários.
Aumente a visibilidade do seu aplicativo na galeria de aplicativos do Microsoft Entra.
Obtenha uma listagem priorizada na página Tutoriais do aplicativo.
Benefícios para os seus clientes
Aumente a segurança removendo automaticamente o acesso ao seu aplicativo para usuários que alteram funções ou deixam a organização para seu aplicativo.
Simplifique o gerenciamento de usuários para seu aplicativo, evitando erros humanos e trabalho repetitivo associado ao provisionamento manual.
Reduza os custos de hospedagem e manutenção de soluções de provisionamento desenvolvidas sob medida.
Escolher um método de aprovisionamento
O Microsoft Entra ID fornece vários caminhos de integração para habilitar o provisionamento automático de usuários para seu aplicativo.
O serviço de provisionamento do Microsoft Entra gerencia o provisionamento e o desprovisionamento de usuários da ID do Microsoft Entra para seu aplicativo (provisionamento de saída) e do seu aplicativo para o Microsoft Entra ID (provisionamento de entrada). O serviço se conecta aos pontos de extremidade da API de gerenciamento de usuários do System for Cross-Domain Identity Management (SCIM) fornecidos pelo seu aplicativo.
Ao usar o Microsoft Graph, seu aplicativo gerencia o provisionamento de entrada e saída de usuários e grupos do Microsoft Entra ID para seu aplicativo consultando a API do Microsoft Graph.
O provisionamento de usuário do Security Assertion Markup Language Just in Time (SAML JIT) pode ser habilitado se seu aplicativo estiver usando SAML para federação. Ele usa informações de declarações enviadas no token SAML para provisionar usuários.
Para ajudar a determinar qual opção de integração usar para seu aplicativo, consulte a tabela de comparação de alto nível e consulte as informações mais detalhadas sobre cada opção.
Recursos habilitados ou aprimorados pelo provisionamento automático | Serviço de provisionamento Microsoft Entra (SCIM 2.0) | API do Microsoft Graph (OData v4.0) | SAML JIT |
---|---|---|---|
Gerenciamento de usuários e grupos no Microsoft Entra ID | √ | √ | Apenas utilizador |
Gerenciar usuários e grupos sincronizados a partir do Ative Directory local | √* | √* | Apenas utilizador* |
Acessar dados além de usuários e grupos durante o provisionamento Acesso a dados do Microsoft 365 (Teams, SharePoint, Email, Calendário, Documentos e assim por diante) | X+ | √ | X |
Criar, ler e atualizar usuários com base em regras de negócios | √ | √ | √ |
Excluir usuários com base em regras de negócios | √ | √ | X |
Gerencie o provisionamento automático de usuários para todos os aplicativos a partir do centro de administração do Microsoft Entra | √ | X | √ |
Suporte a vários provedores de identidade | √ | X | √ |
Suporte a contas de hóspedes (B2B) | √ | √ | √ |
Suporte a contas não empresariais (B2C) | X | √ | √ |
* – A configuração do Microsoft Entra Connect é necessária para sincronizar usuários do AD para o Microsoft Entra ID.
+– Usar SCIM para provisionamento não impede que você integre seu aplicativo com o Microsoft Graph para outros fins.
Serviço de provisionamento Microsoft Entra (SCIM)
O serviço de provisionamento Microsoft Entra usa SCIM, um padrão do setor para provisionamento suportado por muitos provedores de identidade (IdPs), bem como aplicativos (como Slack, G Suite, Dropbox). Recomendamos que você use o serviço de provisionamento do Microsoft Entra se quiser oferecer suporte a IdPs além do ID do Microsoft Entra, pois qualquer IdP compatível com SCIM pode se conectar ao seu ponto de extremidade SCIM. Criando um ponto de extremidade /User simples, você pode habilitar o provisionamento sem ter que manter seu próprio mecanismo de sincronização.
Para obter mais informações sobre como o SCIM dos usuários do serviço de provisionamento do Microsoft Entra, consulte:
Microsoft Graph para provisionamento
Ao usar o Microsoft Graph para provisionamento, você tem acesso a todos os dados avançados do usuário disponíveis no Graph. Além dos detalhes de usuários e grupos, você também pode obter informações adicionais, como funções do usuário, gerentes e subordinados diretos, dispositivos próprios e registrados e centenas de outras partes de dados disponíveis no Microsoft Graph.
Mais de 15 milhões de organizações e 90% das empresas da fortune 500 usam o Microsoft Entra ID ao assinar serviços de nuvem da Microsoft, como Microsoft 365, Microsoft Azure ou Enterprise Mobility Suite. Você pode usar o Microsoft Graph para integrar seu aplicativo a fluxos de trabalho administrativos, como integração (e encerramento) de funcionários, manutenção de perfil e muito mais.
Saiba mais sobre como usar o Microsoft Graph para provisionamento:
Usando o SAML JIT para provisionamento
Se você quiser provisionar usuários somente após o primeiro login em seu aplicativo e não precisar desprovisionar usuários automaticamente, o SAML JIT é uma opção. Seu aplicativo deve suportar SAML 2.0 como um protocolo de federação para usar SAML JIT.
SAML JIT usa as informações de declarações no token SAML para criar e atualizar informações do usuário no aplicativo. Os clientes podem configurar essas declarações necessárias no aplicativo Microsoft Entra conforme necessário. Às vezes, o provisionamento JIT precisa ser habilitado do lado do aplicativo para que o cliente possa usar esse recurso. SAML JIT é útil para criar e atualizar usuários, mas não pode excluir ou desativar os usuários no aplicativo.
Passos Seguintes
Envie sua listagem de aplicativos e faça parceria com a Microsoft para criar documentação no site da Microsoft.
Adira ao Microsoft Partner Network (gratuito) e crie o seu plano de entrada no mercado.