Gerenciamento de provisionamento de conta de usuário para aplicativos empresariais no centro de administração do Microsoft Entra

Este artigo descreve as etapas gerais para gerenciar o provisionamento e o desprovisionamento automáticos de conta de usuário para aplicativos com suporte. Provisionamento de contas de usuário é o ato de criar, atualizar e/ou desabilitar os registros de conta de usuário no armazenamento de perfil do usuário local do aplicativo. A maioria dos aplicativos de nuvem e SaaS, bem como muitos aplicativos locais, armazenam a função e as permissões no próprio armazenamento de perfil de usuário local do aplicativo. A presença desse registro de usuário no armazenamento local do aplicativo é necessária para o logon único e o acesso ao trabalho. Para saber mais sobre o provisionamento de contas de usuário automático, confira Automatizar o provisionamento e o desprovisionamento de usuário para aplicativos SaaS com o Microsoft Entra ID.

Importante

O Microsoft Entra ID tem uma galeria que contém milhares de aplicativos pré-integrados habilitados para provisionamento automático com o Microsoft Entra ID. Comece localizando o tutorial de configuração de provisionamento específico de seu aplicativo na Lista de tutoriais sobre como integrar aplicativos SaaS com o Microsoft Entra ID. Provavelmente, você encontrará diretrizes passo a passo para configurar o aplicativo e o Microsoft Entra ID para criar a conexão de provisionamento.

Localizar seus aplicativos no portal

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Use o centro de administração do Microsoft Entra para exibir e gerenciar todos os aplicativos configurados para logon único em um diretório. Aplicativos empresariais são aplicativos que são implantados e usados dentro da sua organização. Siga estas etapas para exibir e gerenciar seus aplicativos empresariais:

  1. Entre no Centro de administração do Microsoft Entra pelo menos como um Administrador de Aplicativo.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  3. É mostrada uma lista com todos os aplicativos configurados, incluindo aplicativos que foram adicionados da galeria.

  4. Selecione qualquer aplicativo para carregar o painel de recursos dele, no qual é possível ver relatórios e gerenciar configurações do aplicativo.

  5. Selecione Provisionamento para gerenciar as configurações de provisionamento de conta do usuário no aplicativo selecionado.

    Tela Provisionamento para gerenciar as configurações de provisionamento de conta do usuário

Modos de provisionamento

O painel Provisionamento começa com um menu Modo, que mostra os modos de provisionamento com suporte para um aplicativo empresarial e permite configurá-los. As opções disponíveis incluem:

  • Automático – essa opção será exibida se o Microsoft Entra ID der suporte ao provisionamento ou desprovisionamento automático baseado em API das contas de usuário desse aplicativo. Selecione este modo para exibir uma interface que ajuda os administradores a:

    • Configurar o Microsoft Entra ID para conexão à API de gerenciamento de usuários do aplicativo
    • Criar mapeamentos de conta e fluxos de trabalho que definem como os dados de conta de usuário devem fluir entre o Microsoft Entra ID e o aplicativo
    • Gerenciar o serviço de provisionamento do Microsoft Entra
  • Manual – essa opção será mostrada se o Microsoft Entra ID não der suporte ao provisionamento automático de contas de usuário para o aplicativo. Nesse caso, os registros de conta de usuário armazenados no aplicativo devem ser gerenciados usando um processo externo, com base nos recursos de gerenciamento e provisionamento do usuário fornecidos pelo aplicativo (o que pode incluir o provisionamento de SAML Just-In-Time).

Configurar o provisionamento de contas de usuário automático

Selecione a opção Automático para especificar as configurações das credenciais de administrador, mapeamentos, início e parada e sincronização.

Credenciais de administrador

Expanda Credenciais de Administrador para inserir as credenciais necessárias para o Microsoft Entra ID se conectar à API de gerenciamento de usuários do aplicativo. A entrada necessária varia dependendo do aplicativo. Para saber mais sobre os tipos de credencial e os requisitos para aplicativos específicos, confira o tutorial de configuração para o aplicativo específico.

Selecione Testar Conexão para testar as credenciais, fazendo com que o Microsoft Entra ID tente se conectar ao aplicativo de provisionamento do aplicativo usando as credenciais fornecidas.

Mapeamentos

Expanda Mapeamentos para exibir e editar os atributos de usuário que fluem entre o Microsoft Entra ID e o aplicativo de destino quando as contas de usuário são provisionadas ou atualizadas.

Há um conjunto predefinido de mapeamentos entre os objetos de usuário do Microsoft Entra e os objetos de usuário de cada aplicativo SaaS. Alguns aplicativos também gerenciam objetos de grupo. Selecione um mapeamento na tabela para abrir o editor de mapeamento, onde é possível exibi-los e personalizá-los.

As personalizações com suporte incluem:

  • Habilitar e desabilitar mapeamentos para objetos específicos, como o objeto de usuário do Microsoft Entra para o objeto de usuário do aplicativo SaaS.

  • Editar os atributos que fluem do objeto de usuário do Microsoft Entra para o objeto de usuário do aplicativo. Para obter mais informações sobre mapeamento de atributos, confira Noções básicas sobre tipos de mapeamento de atributos.

  • Filtrar as ações de provisionamento que o Microsoft Entra executa no aplicativo de destino. Em vez de fazer com que o Microsoft Entra ID sincronize totalmente os objetos, você pode limitar as ações executadas.

    Por exemplo, selecione apenas Atualizar e o Microsoft Entra apenas atualizará as contas de usuário existentes, sem criar outras. Selecione Criar e o Azure apenas criará contas de usuário, sem atualizar as existentes. Esse recurso permite que os administradores criem mapeamentos diferentes para criar contas e atualizar os fluxos de trabalho.

  • Adicionar um novo mapeamento de atributos. Selecione Adicionar Novo Mapeamento na parte inferior do painel Mapeamento de Atributos. Preencha o formulário Editar Atributo e selecione Ok para adicionar o novo mapeamento à lista.

Configurações

Expanda Configurações para definir um endereço de email para receber notificações e se deve receber ou não alertas sobre erros. Também pode selecionar o escopo dos usuários para sincronizar. Escolha sincronizar todos os usuários e grupos ou apenas os usuários atribuídos.

Status de provisionamento

Se o provisionamento estiver sendo habilitado pela primeira vez para um aplicativo, ative o serviço alterando o Status de Provisionamento para Ativado. Essa alteração faz com que o serviço de provisionamento do Microsoft Entra execute um ciclo inicial. Ele lê os usuários atribuídos na seção Usuários e grupos, consulta o aplicativo de destino para eles e executa as ações de provisionamento definidas na seção Mapeamentos do Microsoft Entra ID. Durante esse processo, o serviço de provisionamento armazena dados armazenados em cache sobre quais contas de usuário ele está gerenciando. O serviço armazena dados em cache para que as contas não gerenciadas dentro dos aplicativos de destino que nunca estiveram no escopo da atribuição não sejam afetadas nas operações de desprovisionamento. Após o ciclo inicial, o serviço de provisionamento sincroniza automaticamente objetos de usuário e grupo em um intervalo de quarenta minutos.

Altere o Status de Provisionamento para Desativado para pausar o serviço de provisionamento. Nesse estado, o Azure não cria, atualiza nem remove objetos de usuário ou grupo no aplicativo. Altere o estado de volta para Ativado e o serviço continuará de onde parou.