Planejar uma implantação de provisionamento automático de usuários no Microsoft Entra ID
Muitas organizações dependem de aplicativos SaaS (software como serviço), como ServiceNow, Zscaler e Slack, para a produtividade do usuário final. Historicamente, a equipe de TI confiava em métodos de provisionamento manual, como o upload de arquivos CSV ou o uso de scripts personalizados para gerenciar com segurança as identidades dos usuários em cada aplicativo SaaS. Esses processos são propensos a erros, inseguros e difíceis de gerenciar.
O provisionamento automático de usuários do Microsoft Entra simplifica esse processo automatizando com segurança a criação, manutenção e remoção de identidades de usuário em aplicativos SaaS com base em regras de negócios. Essa automação permite que você dimensione efetivamente seus sistemas de gerenciamento de identidade em ambientes híbridos e somente na nuvem, à medida que você expande sua dependência de soluções baseadas em nuvem.
Consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID para entender melhor a funcionalidade.
Além do provisionamento em aplicativos SaaS, o provisionamento automático de usuários do Microsoft Entra também oferece suporte ao provisionamento em muitos aplicativos locais e de nuvem privada. Para obter mais informações, consulte Arquitetura de provisionamento de identidade de aplicativo local do Microsoft Entra.
Learn
O provisionamento de usuários cria uma base para a governança de identidade contínua e melhora a qualidade dos processos de negócios que dependem de dados de identidade autorizados.
Principais benefícios
Os principais benefícios de habilitar o provisionamento automático de usuários são:
Aumento da produtividade. Você pode gerenciar identidades de usuário em aplicativos SaaS com uma única interface de gerenciamento de provisionamento de usuário. Essa interface tem um único conjunto de políticas de provisionamento.
Gerencie o risco. Você pode aumentar a segurança automatizando as alterações com base no status do funcionário ou nas associações de grupo que definem funções e/ou acesso.
Aborde a conformidade e a governança. O Microsoft Entra ID oferece suporte a logs de provisionamento nativos para cada solicitação de provisionamento de usuário. As solicitações são executadas nos sistemas de origem e de destino. Os logs de provisionamento permitem rastrear quem tem acesso aos aplicativos a partir de uma única tela.
Reduza custos. O provisionamento automático de usuários reduz os custos, evitando ineficiências e erros humanos associados ao provisionamento manual. Ele reduz a necessidade de soluções de provisionamento de usuário desenvolvidas sob medida, scripts e logs de provisionamento.
Licenciamento
O Microsoft Entra ID fornece integração de autoatendimento de qualquer aplicativo usando modelos fornecidos no menu da galeria de aplicativos. Para obter uma lista completa dos requisitos de licença, consulte a página de preços do Microsoft Entra.
Licenciamento de aplicações
Você precisa das licenças apropriadas para o(s) aplicativo(s) que deseja provisionar automaticamente. Discuta com os proprietários do aplicativo se os usuários atribuídos ao aplicativo têm as licenças adequadas para suas funções de aplicativo. Se o Microsoft Entra ID gerencia o provisionamento automático com base em funções, as funções atribuídas no Microsoft Entra ID devem estar alinhadas às licenças do aplicativo. Licenças incorretas de propriedade do aplicativo podem levar a erros durante o provisionamento/atualização de um usuário.
Termos
Este artigo usa os seguintes termos:
Operações CRUD - Ações executadas em contas de usuário: Criar, Ler, Atualizar, Excluir.
Logon único (SSO) - A capacidade de um usuário fazer logon uma vez e acessar todos os aplicativos habilitados para SSO. No contexto do provisionamento de usuários, o SSO é resultado de usuários que têm uma única conta para acessar todos os sistemas que usam o provisionamento automático de usuários.
Sistema de origem - O repositório de usuários a partir do qual o Microsoft Entra ID provisiona. O Microsoft Entra ID é o sistema de origem para a maioria dos conectores de provisionamento pré-integrados. No entanto, há algumas exceções para aplicativos em nuvem, como SAP, Workday e AWS. Por exemplo, consulte Provisionamento de usuários do Workday para o AD.
Sistema de destino - O repositório de usuários para o qual o Microsoft Entra ID provisiona. O sistema Target é normalmente uma aplicação SaaS como ServiceNow, Zscaler e Slack. O sistema de destino também pode ser um sistema local, como o AD.
System for Cross-domain Identity Management (SCIM) - Um padrão aberto que permite a automação do provisionamento de usuários. O SCIM comunica dados de identidade do utilizador entre fornecedores de identidade e prestadores de serviços. A Microsoft é um exemplo de um provedor de identidade. O Salesforce é um exemplo de provedor de serviços. Os provedores de serviços exigem informações de identidade do usuário e um provedor de identidade atende a essa necessidade. SCIM é o mecanismo que o provedor de identidade e o provedor de serviços usam para enviar informações de um lado para o outro.
Recursos de formação
Recursos | Link e Descrição |
---|---|
Webinars a pedido | Gerencie seus aplicativos corporativos com o Microsoft Entra ID Saiba como o Microsoft Entra ID pode ajudá-lo a obter SSO para seus aplicativos SaaS corporativos e práticas recomendadas para controlar o acesso. |
Vídeos | O que é o provisionamento de usuários no Ative Azure Directory? Como implantar o provisionamento de usuários no Ative Azure Directory? Integração do Salesforce com o Microsoft Entra ID: como automatizar o provisionamento de usuários |
Cursos online | SkillUp Online: Gerenciando identidades Saiba como integrar o Microsoft Entra ID com muitos aplicativos SaaS e proteger o acesso do usuário a esses aplicativos. |
Livros | Autenticação Moderna com Microsoft Entra ID para Aplicações Web (Referência do Programador) 1ª Edição. Este é um guia detalhado e autorizado para criar soluções de autenticação do Ative Directory para esses novos ambientes. |
Tutoriais | Consulte a lista de tutoriais sobre como integrar aplicativos SaaS com o Microsoft Entra ID. |
FAQ | Perguntas frequentes sobre o provisionamento automatizado de usuários |
Arquiteturas de soluções
O serviço de provisionamento Microsoft Entra provisiona os usuários para aplicativos SaaS e outros sistemas conectando-se a pontos de extremidade da API de gerenciamento de usuários fornecidos por cada fornecedor de aplicativo. Esses pontos de extremidade da API de gerenciamento de usuários permitem que o Microsoft Entra ID crie, atualize e remova usuários programaticamente.
Provisionamento automático de usuários para empresas híbridas
Neste exemplo, os usuários e/ou grupos são criados em um banco de dados HR conectado a um diretório local. O serviço de provisionamento Microsoft Entra gerencia o provisionamento automático de usuários para os aplicativos SaaS de destino.
Descrição do fluxo de trabalho:
Os usuários/grupos são criados em um aplicativo/sistema de RH local, como o SAP.
O agente do Microsoft Entra Connect executa sincronizações agendadas de identidades (usuários e grupos) do AD local para o ID do Microsoft Entra.
O serviço de provisionamento Microsoft Entra inicia um ciclo inicial no sistema de origem e no sistema de destino.
O serviço de provisionamento Microsoft Entra consulta o sistema de origem para todos os usuários e grupos alterados desde o ciclo inicial e envia por push alterações em ciclos incrementais.
Provisionamento automático de usuários para empresas somente na nuvem
Neste exemplo, a criação de usuários ocorre no Microsoft Entra ID e o serviço de provisionamento do Microsoft Entra gerencia o provisionamento automático de usuários para os aplicativos de destino (SaaS).
Descrição do fluxo de trabalho:
Os usuários/grupos são criados no Microsoft Entra ID.
O serviço de provisionamento Microsoft Entra inicia um ciclo inicial no sistema de origem e no sistema de destino.
O serviço de provisionamento Microsoft Entra consulta o sistema de origem para todos os usuários e grupos atualizados desde o ciclo inicial e executa quaisquer ciclos incrementais.
Provisionamento automático de usuários para aplicativos de RH na nuvem
Neste exemplo, os usuários e/ou grupos são criados em um aplicativo de RH na nuvem, como Workday e SuccessFactors. O serviço de provisionamento Microsoft Entra e o agente de provisionamento Microsoft Entra Connect provisionam os dados do usuário do locatário do aplicativo HR na nuvem para o AD. Depois que as contas são atualizadas no AD, ele é sincronizado com o ID do Microsoft Entra por meio do Microsoft Entra Connect e os endereços de email e atributos de nome de usuário podem ser gravados de volta no locatário do aplicativo de RH na nuvem.
- A equipe de RH realiza as transações no locatário do aplicativo de RH na nuvem.
- O serviço de provisionamento Microsoft Entra executa os ciclos agendados a partir do locatário do aplicativo HR na nuvem e identifica as alterações que precisam ser processadas para sincronização com o AD.
- O serviço de provisionamento Microsoft Entra invoca o agente de provisionamento do Microsoft Entra Connect com uma carga útil de solicitação contendo operações de criação/atualização/habilitação/desabilitação da conta do AD.
- O agente de provisionamento do Microsoft Entra Connect usa uma conta de serviço para gerenciar dados de conta do AD.
- O Microsoft Entra Connect executa a sincronização delta para receber atualizações no AD.
- As atualizações do AD são sincronizadas com o Microsoft Entra ID.
- O serviço de provisionamento Microsoft Entra writebacks de e-mail, atributo e nome de usuário do Microsoft Entra ID para o locatário do aplicativo HR na nuvem.
Planejar o projeto de implantação
Considere suas necessidades organizacionais para determinar a estratégia de implantação do provisionamento de usuários em seu ambiente.
Envolva as partes interessadas certas
Quando os projetos de tecnologia falham, geralmente é devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de envolver as partes interessadas certas e que os papéis das partes interessadas no projeto sejam bem compreendidos, documentando as partes interessadas e suas contribuições e responsabilidades no projeto.
Planejar comunicações
A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunique proativamente aos seus usuários sobre a experiência deles, como a experiência está mudando, quando esperar qualquer mudança e como obter suporte se eles tiverem problemas.
Planeie um piloto
Recomendamos que a configuração inicial do provisionamento automático de usuários esteja em um ambiente de teste com um pequeno subconjunto de usuários antes de dimensioná-lo para todos os usuários em produção. Consulte as práticas recomendadas para executar um piloto.
Melhores práticas para um piloto
Um piloto permite que você teste com um pequeno grupo antes de implantar um recurso para todos. Certifique-se de que, como parte de seus testes, cada caso de uso dentro de sua organização seja exaustivamente testado.
Na sua primeira onda, segmente TI, usabilidade e outros usuários apropriados que possam testar e fornecer feedback. Use esse feedback para desenvolver ainda mais as comunicações e instruções que você envia aos usuários e para fornecer informações sobre os tipos de problemas que sua equipe de suporte pode ver.
Amplie a distribuição para grupos maiores de usuários, aumentando o escopo do(s) grupo(s) visado(s). O aumento do escopo do(s) grupo(s) é feito por meio de grupos dinâmicos de associação ou adicionando manualmente usuários ao(s) grupo(s) alvo(s).
Planejar conexões e administração de aplicativos
Use o centro de administração do Microsoft Entra para exibir e gerenciar todos os aplicativos que oferecem suporte ao provisionamento. Consulte Encontrar as suas aplicações no portal.
Determinar o tipo de conector a ser usado
As etapas reais necessárias para habilitar e configurar o provisionamento automático variam dependendo do aplicativo. Se o aplicativo que você deseja provisionar automaticamente estiver listado na galeria de aplicativos SaaS do Microsoft Entra, selecione o tutorial de integração específico do aplicativo para configurar seu conector de provisionamento de usuário pré-integrado.
Caso contrário, siga os passos:
Crie uma solicitação para um conector de provisionamento de usuário pré-integrado. A nossa equipa trabalha consigo e com o programador de aplicações para integrar a sua aplicação na nossa plataforma, caso esta suporte SCIM.
Use o suporte de provisionamento de usuário genérico BYOA SCIM para o aplicativo. O uso do SCIM é um requisito para que o Microsoft Entra ID provisione usuários para o aplicativo sem um conector de provisionamento pré-integrado.
Se o aplicativo for capaz de utilizar o conector BYOA SCIM, consulte o tutorial de integração BYOA SCIM para configurar o conector BYOA SCIM para o aplicativo.
Para obter mais informações, consulte Quais aplicativos e sistemas posso usar com o provisionamento automático de usuários do Microsoft Entra?
Coletar informações para autorizar o acesso ao aplicativo
A configuração do provisionamento automático de usuários é um processo por aplicativo. Para cada aplicativo, você precisa fornecer credenciais de administrador para se conectar ao ponto de extremidade de gerenciamento de usuários do sistema de destino.
A imagem mostra uma versão das credenciais de administrador necessárias:
Enquanto alguns aplicativos exigem o nome de usuário e a senha do administrador, outros podem exigir um token de portador.
Planejar o provisionamento de usuários e grupos
Se você habilitar o provisionamento de usuários para aplicativos corporativos, o centro de administração do Microsoft Entra controlará seus valores de atributos por meio do mapeamento de atributos.
Determinar operações para cada aplicativo SaaS
Cada aplicativo pode ter atributos exclusivos de usuário ou grupo que devem ser mapeados para os atributos em sua ID do Microsoft Entra. O aplicativo pode ter apenas um subconjunto de operações CRUD disponíveis.
Para cada candidatura, documente as seguintes informações:
Operações de provisionamento CRUD a serem executadas nos objetos de usuário e/ou grupo para os sistemas de destino. Por exemplo, cada proprietário de empresa de aplicativo SaaS pode não querer todas as operações possíveis.
Atributos disponíveis no sistema de origem
Atributos disponíveis no sistema de destino
Mapeamento de atributos entre sistemas.
Escolha quais usuários e grupos provisionar
Antes de implementar o provisionamento automático de usuários, você deve determinar os usuários e grupos a serem provisionados para seu aplicativo.
Use filtros de escopo para definir regras baseadas em atributos que determinam quais usuários são provisionados para um aplicativo.
Em seguida, use atribuições de usuário e grupo conforme necessário para obter mais filtragem.
Definir mapeamento de atributos de usuário e grupo
Para implementar o provisionamento automático de usuários, você precisa definir os atributos de usuário e grupo necessários para o aplicativo. Há um conjunto pré-configurado de atributos e mapeamentos de atributos entre objetos de usuário do Microsoft Entra e os objetos de usuário de cada aplicativo SaaS. Nem todos os aplicativos SaaS habilitam atributos de grupo.
O Microsoft Entra ID oferece suporte ao mapeamento direto de atributo para atributo, fornecendo valores constantes ou escrevendo expressões para mapeamentos de atributo. Essa flexibilidade lhe dá um bom controle sobre o que é preenchido no atributo do sistema de destino. Você pode usar a API do Microsoft Graph e o Graph Explorer para exportar seus mapeamentos de atributos de provisionamento de usuário e esquema para um arquivo JSON e importá-lo de volta para o Microsoft Entra ID.
Para obter mais informações, consulte Personalizando mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID.
Considerações especiais para provisionamento de usuários
Considere o seguinte para reduzir os problemas pós-implantação:
Certifique-se de que os atributos usados para mapear objetos de usuário/grupo entre aplicativos de origem e de destino sejam resilientes. Eles não devem fazer com que usuários/grupos sejam provisionados incorretamente se os atributos forem alterados (por exemplo, um usuário se move para uma parte diferente da empresa).
Os aplicativos podem ter restrições e/ou requisitos específicos que precisam ser atendidos para que o provisionamento do usuário funcione corretamente. Por exemplo, o Slack trunca valores para determinados atributos. Consulte os tutoriais de provisionamento automático de usuários específicos para cada aplicativo.
Confirme a consistência do esquema entre os sistemas de origem e de destino. Problemas comuns incluem atributos como UPN ou email não correspondendo. Por exemplo, UPN no Microsoft Entra ID definido como john_smith@contoso.com e no aplicativo, é jsmith@contoso.com. Para obter mais informações, consulte A referência de esquema de usuário e grupo.
Planejar testes e segurança
Em cada estágio da implantação, certifique-se de que você está testando se os resultados estão conforme o esperado e auditando os ciclos de provisionamento.
Planejar testes
Primeiro, configure o provisionamento automático de usuários para o aplicativo. Em seguida, execute casos de teste para verificar se a solução atende aos requisitos da sua organização.
Cenários | Resultados esperados |
---|---|
O usuário é adicionado a um grupo atribuído ao sistema de destino. | O objeto de usuário é provisionado no sistema de destino. O usuário pode entrar no sistema de destino e executar as ações desejadas. |
O usuário é removido de um grupo atribuído ao sistema de destino. | O objeto de usuário é desprovisionado no sistema de destino. O usuário não pode entrar no sistema de destino. |
As informações do usuário são atualizadas no Microsoft Entra ID por qualquer método. | Os atributos de usuário atualizados refletem no sistema de destino após um ciclo incremental. |
O usuário está fora do escopo. | O objeto de usuário está desativado ou excluído. Observação: esse comportamento é substituído para provisionamento de dia de trabalho. |
Planejar a segurança
É comum que uma revisão de segurança seja necessária como parte de uma implantação. Se você precisar de uma revisão de segurança, consulte os muitos whitepapers do Microsoft Entra ID que fornecem uma visão geral da identidade como um serviço.
Planejar a reversão
Se a implementação de provisionamento automático de usuários não funcionar como desejado no ambiente de produção, as seguintes etapas de reversão poderão ajudá-lo a reverter para um estado anterior em boas condições:
Revise os logs de provisionamento para determinar quais operações incorretas ocorreram nos usuários e/ou grupos afetados.
Use logs de provisionamento para determinar o último estado válido conhecido dos usuários e/ou grupos afetados. Analise também os sistemas de origem (Microsoft Entra ID ou AD).
Trabalhe com o proprietário do aplicativo para atualizar os usuários e/ou grupos afetados diretamente no aplicativo usando os últimos valores de estado válidos conhecidos.
Implantar o serviço de provisionamento automático de usuários
Escolha as etapas que se alinham aos requisitos da solução.
Preparar-se para o ciclo inicial
Quando o serviço de provisionamento do Microsoft Entra é executado pela primeira vez, o ciclo inicial no sistema de origem e nos sistemas de destino cria um instantâneo de todos os objetos de usuário para cada sistema de destino.
Quando você habilita o provisionamento automático para um aplicativo, o ciclo inicial leva de 20 minutos a várias horas. A duração depende do tamanho do diretório do Microsoft Entra e do número de usuários no escopo do provisionamento.
O serviço de provisionamento armazena o estado de ambos os sistemas após o ciclo inicial, melhorando o desempenho dos ciclos incrementais subsequentes.
Configurar o aprovisionamento automático de utilizadores
Use o centro de administração do Microsoft Entra para gerenciar o provisionamento e o desprovisionamento automático de contas de usuário para aplicativos que oferecem suporte a ele. Siga as etapas em Como configurar o provisionamento automático para um aplicativo?
O serviço de provisionamento de usuário do Microsoft Entra também pode ser configurado e gerenciado usando a API do Microsoft Graph.
Gerenciar o provisionamento automático de usuários
Agora que você implantou, precisa gerenciar a solução.
Monitorar a integridade da operação de provisionamento do usuário
Após um ciclo inicial bem-sucedido, o serviço de provisionamento do Microsoft Entra executará atualizações incrementais indefinidamente, em intervalos específicos de cada aplicativo, até que ocorra um dos seguintes eventos:
O serviço é interrompido manualmente e um novo ciclo inicial é acionado usando o centro de administração do Microsoft Entra ou usando o comando apropriado da API do Microsoft Graph.
Um novo ciclo inicial dispara uma alteração nos mapeamentos de atributos ou filtros de escopo.
O processo de provisionamento entra em quarentena devido a uma alta taxa de erro e permanece em quarentena por mais de quatro semanas, depois é automaticamente desativado.
Para revisar esses eventos e todas as outras atividades realizadas pelo serviço de provisionamento, consulte Logs de provisionamento do Microsoft Entra.
Para entender quanto tempo os ciclos de provisionamento levam e monitorar o progresso do trabalho de provisionamento, você pode verificar o status do provisionamento do usuário.
Obtenha informações dos relatórios
O Microsoft Entra ID pode fornecer mais informações sobre o uso do provisionamento de usuários e a integridade operacional da sua organização por meio de logs e relatórios de provisionamento. Para saber mais sobre informações do usuário, consulte Verificar o status do provisionamento do usuário.
Os administradores devem verificar o relatório de resumo de provisionamento para monitorar a integridade operacional do trabalho de provisionamento. Todas as atividades realizadas pelo serviço de provisionamento são registradas nos logs de provisionamento do Microsoft Entra. Consulte Tutorial: Relatórios sobre o provisionamento automático de contas de usuário.
Recomendamos que você assuma a propriedade e consuma esses relatórios em uma cadência que atenda aos requisitos da sua organização. O Microsoft Entra ID retém a maioria dos dados de auditoria por 30 dias.
Resolver problemas
Consulte os links a seguir para solucionar quaisquer problemas que possam surgir durante o provisionamento:
Problema ao configurar o provisionamento de usuários para um aplicativo Microsoft Entra Gallery
Nenhum usuário está sendo provisionado para um aplicativo Microsoft Entra Gallery
Conjunto errado de usuários está sendo provisionado para um aplicativo Microsoft Entra Gallery