Tutorial: Configurar o G Suite para provisionamento automático de usuários
Este tutorial descreve as etapas necessárias para executar no G Suite e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para o G Suite usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Nota
Este tutorial descreve um conector criado sobre o Serviço de Provisionamento de Usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Capacidades suportadas
- Criar utilizadores no G Suite
- Remover utilizadores do G Suite quando já não necessitarem de acesso (nota: remover um utilizador do âmbito de sincronização não resultará na eliminação do objeto no GSuite)
- Manter os atributos do utilizador sincronizados entre o Microsoft Entra ID e o G Suite
- Provisionar grupos e associações de grupos no G Suite
- Início de sessão único no G Suite (recomendado)
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você já tenha os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
- Um locatário do G Suite
- Uma conta de utilizador num G Suite com permissões de administrador.
Etapa 1: Planejar a implantação do provisionamento
- Saiba como funciona o serviço de aprovisionamento.
- Determine quem está no escopo do provisionamento.
- Determine quais dados mapear entre o ID do Microsoft Entra e o G Suite.
Etapa 2: configurar o G Suite para oferecer suporte ao provisionamento com o ID do Microsoft Entra
Antes de configurar o G Suite para o provisionamento automático de utilizadores com o Microsoft Entra ID, tem de ativar o aprovisionamento SCIM no G Suite.
Faça login no Admin Console do G Suite com sua conta de administrador, clique no menu principal e selecione Segurança. Se você não vê-lo, ele pode estar oculto no menu Mostrar Mais .
Navegue até Segurança -> Controle de acesso e dados -> Controles de API . Marque a caixa de seleção Confiar em aplicativos internos de propriedade do domínio e clique em SALVAR
Importante
Para cada utilizador que pretende provisionar para o G Suite, o respetivo nome de utilizador no Microsoft Entra ID tem de estar associado a um domínio personalizado. Por exemplo, os nomes de utilizador semelhantes bob@contoso.onmicrosoft.com não são aceites pelo G Suite. Por outro lado, bob@contoso.com é aceite. Você pode alterar o domínio de um usuário existente seguindo as instruções aqui.
Depois de adicionar e verificar os domínios personalizados desejados com o Microsoft Entra ID, você deve verificá-los novamente com o G Suite. Para verificar domínios no G Suite, consulte os seguintes passos:
No Admin Console do G Suite, navegue até Conta -> Domínios -> Gerenciar domínios.
Na página Gerenciar domínio, clique em Adicionar um domínio.
Na página Adicionar Domínio, digite o nome do domínio que você deseja adicionar.
Selecione ADD DOMAIN & START VERIFICATION. Em seguida, siga as etapas para verificar se você é o proprietário do nome de domínio. Para obter instruções abrangentes sobre como verificar seu domínio com o Google, consulte Verificar a propriedade do seu site.
Repita os passos anteriores para quaisquer outros domínios que pretenda adicionar ao G Suite.
Em seguida, determine qual a conta de administrador que pretende utilizar para gerir o aprovisionamento de utilizadores no G Suite. Navegue até Funções de administrador de >conta.
Para a função Administrador dessa conta, edite os Privilégios dessa função. Certifique-se de habilitar todos os privilégios da API de administrador para que essa conta possa ser usada para provisionamento.
Etapa 3: adicionar o G Suite da galeria de aplicativos do Microsoft Entra
Adicione o G Suite a partir da galeria de aplicações do Microsoft Entra para começar a gerir o aprovisionamento no G Suite. Se já configurou o G Suite para SSO, pode utilizar a mesma aplicação. No entanto, é recomendável que você crie um aplicativo separado ao testar a integração inicialmente. Saiba mais sobre como adicionar uma aplicação a partir da galeria aqui.
Etapa 4: Definir quem está no escopo do provisionamento
O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo e/ou com base nos atributos do usuário/grupo. Se você optar por definir o escopo de quem é provisionado para seu aplicativo com base na atribuição, poderá usar as etapas a seguir para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas nos atributos do usuário ou grupo, poderá usar um filtro de escopo, conforme descrito aqui.
Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o âmbito está definido para todos os utilizadores e grupos, pode especificar um filtro de âmbito baseado em atributos.
Se precisar de mais funções, você pode atualizar o manifesto do aplicativo para adicionar novas funções.
Etapa 5: configurar o provisionamento automático de usuários para o G Suite
Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base em atribuições de usuário e/ou grupo na ID do Microsoft Entra.
Nota
Para saber mais sobre o endpoint da API do diretório do G Suite, consulte a documentação de referência da API do Directory.
Para configurar o provisionamento automático de usuários para o G Suite no Microsoft Entra ID:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Na lista de aplicações, selecione G Suite.
Selecione a guia Provisionamento . Clique em Começar.
Defina o Modo de Aprovisionamento como Automático.
Na seção Credenciais do administrador, clique em Autorizar. Você será redirecionado para uma caixa de diálogo de autorização do Google em uma nova janela do navegador.
Confirme se deseja conceder permissões ao Microsoft Entra para fazer alterações no locatário do G Suite. Selecione Aceitar.
Selecione Testar ligação para garantir que o Microsoft Entra ID pode ligar-se ao G Suite. Se a conexão falhar, verifique se sua conta do G Suite tem permissões de administrador e tente novamente. Em seguida, tente a etapa Autorizar novamente.
No campo E-mail de Notificação, introduza o endereço de e-mail de uma pessoa ou um grupo que deve receber as notificações de erro de aprovisionamento e marque a caixa de verificação Enviar uma notificação de e-mail quando ocorre uma falha.
Selecione Guardar.
Na seção Mapeamentos, selecione Provisionar usuários do Microsoft Entra.
Analise os atributos de usuário sincronizados do ID do Microsoft Entra para o G Suite na seção Mapeamento de atributos. Selecione o botão Salvar para confirmar as alterações.
Nota
Atualmente, o GSuite Provisioning suporta apenas o uso de primaryEmail como o atributo correspondente.
| Atributo | Type |
|---|---|
| primárioE-mail | String |
| relações. [tipo eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| suspenso | String |
| externalIds. [digite eq "personalizado"].value | String |
| externalIds. [tipo eq "organização"].value | String |
| endereços. [tipo eq "trabalho"].país | String |
| endereços. [digite eq "trabalho"].streetEndereço | String |
| endereços. [digite eq "work"].region | String |
| endereços. [tipo eq "trabalho"].localidade | String |
| endereços. [digite eq "trabalho"].postalCode | String |
| e-mails. [digite eq "work"].address | String |
| organizações. [tipo eq "trabalho"].departamento | String |
| organizações. [digite eq "trabalho"].title | String |
| Números de telefone. [tipo eq "trabalho"].value | String |
| Números de telefone. [digite eq "mobile"].value | String |
| Números de telefone. [digite eq "work_fax"].value | String |
| e-mails. [digite eq "work"].address | String |
| organizações. [tipo eq "trabalho"].departamento | String |
| organizações. [digite eq "trabalho"].title | String |
| endereços. [tipo eq "home"].country | String |
| endereços. [digite eq "home"].formatted | String |
| endereços. [digite eq "home"].localidade | String |
| endereços. [digite eq "home"].postalCode | String |
| endereços. [digite eq "home"].region | String |
| endereços. [digite eq "home"].streetEndereço | String |
| endereços. [tipo eq "outro"].país | String |
| endereços. [digite eq "outro"].formatted | String |
| endereços. [digite eq "outro"].localidade | String |
| endereços. [digite eq "outro"].postalCode | String |
| endereços. [digite eq "outro"].region | String |
| endereços. [digite eq "outro"].streetAddress | String |
| endereços. [digite eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| e-mails. [digite eq "home"].address | String |
| e-mails. [digite eq "outro"].address | String |
| externalIds. [digite eq "account"].value | String |
| externalIds. [type eq "custom"].customType | String |
| externalIds. [tipo eq "cliente"].value | String |
| externalIds. [digite eq "login_id"].value | String |
| externalIds. [tipo eq "rede"].value | String |
| género.tipo | String |
| GeneratedImmutableId | String |
| Identificador | String |
| IMS. [tipo eq "home"].protocol | String |
| IMS. [tipo eq "outro"].protocolo | String |
| IMS. [tipo eq "trabalho"].protocolo | String |
| includeInGlobalAddressList | String |
| ipLista de permissões | String |
| organizações. [tipo eq "escola"].costCenter | String |
| organizações. [tipo eq "escola"].departamento | String |
| organizações. [tipo eq "escola"].domínio | String |
| organizações. [digite eq "escola"].fullTimeEquivalent | String |
| organizações. [tipo eq "escola"].localização | String |
| organizações. [tipo eq "escola"].name | String |
| organizações. [digite eq "escola"].symbol | String |
| organizações. [tipo eq "escola"].título | String |
| organizações. [tipo eq "trabalho"].costCenter | String |
| organizações. [digite eq "work"].domain | String |
| organizações. [type eq "work"].fullTimeEquivalent | String |
| organizações. [tipo eq "trabalho"].localização | String |
| organizações. [tipo eq "trabalho"].name | String |
| organizações. [digite eq "trabalho"].symbol | String |
| OrgUnitPath | String |
| Números de telefone. [digite eq "home"].value | String |
| Números de telefone. [digite eq "outro"].value | String |
| sítios Web. [digite eq "home"].value | String |
| sítios Web. [digite eq "outro"].value | String |
| sítios Web. [tipo eq "trabalho"].value | String |
Na seção Mapeamentos, selecione Provisionar grupos do Microsoft Entra.
Analise os atributos de grupo sincronizados do ID do Microsoft Entra para o G Suite na seção Mapeamento de atributos. Os atributos selecionados como Propriedades correspondentes são usados para corresponder aos grupos no G Suite para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Type Correio eletrónico String Membros String nome Cadeia (de carateres) descrição String Para configurar filtros de âmbito, veja as instruções seguintes disponibilizadas no Tutorial de filtro de âmbito.
Para ativar o serviço de aprovisionamento Microsoft Entra para o G Suite, altere o Estado de aprovisionamento para Ativado na secção Definições.
Defina os utilizadores e/ou grupos que pretende provisionar para o G Suite escolhendo os valores pretendidos em Âmbito na secção Definições.
Quando estiver pronto para provisionar, clique em Salvar.
Esta operação inicia o ciclo de sincronização inicial de todos os utilizadores e grupos definidos no Âmbito na secção Definições. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço de provisionamento do Microsoft Entra estiver em execução.
Nota
Se os usuários já tiverem uma conta pessoal/de consumidor existente usando o endereço de e-mail do usuário do Microsoft Entra, isso pode causar algum problema que pode ser resolvido usando a Ferramenta de Transferência do Google antes de executar a sincronização de diretórios.
Etapa 6: Monitorar sua implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Utilize os registos de aprovisionamento para determinar quais os utilizadores que foram aprovisionados com ou sem êxito
- Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está de ser concluído
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena aqui.
Dicas para resolução de problemas
- A remoção de um utilizador do âmbito de sincronização desativa-o no GSuite, mas não resulta na eliminação do utilizador no G Suite
Acesso a aplicativos just-in-time (JIT) com PIM para grupos
Com o PIM for Groups, você pode fornecer acesso just-in-time a grupos no Google Cloud / Google Workspace e reduzir o número de usuários que têm acesso permanente a grupos privilegiados no Google Cloud / Google Workspace.
Configure seu aplicativo corporativo para SSO e provisionamento
- Adicione o Google Cloud / Google Workspace ao seu locatário, configure-o para provisionamento conforme descrito neste tutorial e inicie o provisionamento.
- Configure o logon único para o Google Cloud / Google Workspace.
- Crie um grupo que forneça a todos os usuários acesso ao aplicativo.
- Atribua o grupo ao aplicativo Google Cloud / Google Workspace.
- Atribua seu usuário de teste como um membro direto do grupo criado na etapa anterior ou forneça-lhes acesso ao grupo por meio de um pacote de acesso. Este grupo pode ser usado para acesso persistente e não administrativo no Google Cloud / Google Workspace.
Habilitar o PIM para grupos
- Crie um segundo grupo no Microsoft Entra ID. Este grupo fornece acesso a permissões de administrador no Google Cloud / Google Workspace.
- Coloque o grupo sob gerenciamento no Microsoft Entra PIM.
- Atribua seu usuário de teste como elegível para o grupo no PIM com a função definida como membro.
- Atribua o segundo grupo ao aplicativo Google Cloud / Google Workspace.
- Use o provisionamento sob demanda para criar o grupo no Google Cloud / Google Workspace.
- Faça login no Google Cloud / Google Workspace e atribua ao segundo grupo as permissões necessárias para executar tarefas administrativas.
Agora, qualquer usuário final que se tornou elegível para o grupo no PIM pode obter acesso JIT ao grupo no Google Cloud / Google Workspace ativando sua associação ao grupo. Quando a atribuição expira, o usuário é removido do grupo no Google Cloud / Google Workspace. Durante o próximo ciclo incremental, o serviço de provisionamento tenta remover o usuário do grupo novamente. Isso pode resultar em um erro nos logs de provisionamento. Este erro é esperado porque a associação ao grupo já foi removida. A mensagem de erro pode ser ignorada.
- Quanto tempo leva para ter um usuário provisionado para o aplicativo?
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
- Quando um usuário ativa sua associação de grupo no Microsoft Entra ID PIM:
- A participação no grupo é provisionada em 2 a 10 minutos. Quando há uma alta taxa de solicitações ao mesmo tempo, as solicitações são limitadas a uma taxa de cinco solicitações a cada 10 segundos.
- Para os primeiros cinco usuários dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada no aplicativo dentro de 2-10 minutos.
- Para o sexto usuário e superior dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os limites de limitação são por aplicativo corporativo.
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- Se o usuário não conseguir acessar o grupo necessário no Google Cloud/Google Workspace, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo foi atualizada com êxito. Dependendo de como o aplicativo de destino é arquitetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
- Você pode criar alertas para falhas usando o Azure Monitor.
Registo de alterações
- 17/10/2020 - Adicionado suporte para mais atributos de usuário e grupo do G Suite.
- 17/10/2020 - Nomes de atributos de destino do G Suite atualizados para corresponder ao que está definido aqui.
- 17/10/2020 - Mapeamentos de atributos padrão atualizados.
Mais recursos
- Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?