Provisionamento de aplicativo local do Microsoft Entra para aplicativos habilitados para SCIM

  • Artigo

O serviço de provisionamento do Microsoft Entra dá suporte a um cliente do SCIM 2.0 que pode ser usado para provisionar automaticamente os usuários em aplicativos locais ou na nuvem. Este artigo descreve como você pode usar o serviço de provisionamento do Microsoft Entra para provisionar usuários em um aplicativo local que está habilitado para SCIM. Se você quiser provisionar usuários em aplicativos locais não SCIM que usam o SQL como um armazenamento de dados, consulte o Tutorial do conector SQL genérico do host do conector ECMA do Microsoft Entra. Se você quiser provisionar usuários em aplicativos de nuvem, como o Dropbox e o Atlassian, examine os tutoriais específicos do aplicativo.

Diagram that shows SCIM architecture.

Pré-requisitos

  • Um locatário do Microsoft Entra com Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). O uso desse recurso requer licenças de P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
  • Função de administrador para instalar o agente. Essa tarefa é um esforço único e deve ser uma conta do Azure que seja um Administrador de Identidade Híbrido ou um administrador global.
  • Função de administrador para configurar o aplicativo na nuvem (administrador de aplicativos, administrador de aplicativos de nuvem, administrador global ou uma função personalizada com permissões).
  • Um computador com pelo menos 3 GB de RAM para hospedar um agente de provisionamento. O computador deve ter o Windows Server 2016 ou uma versão posterior do Windows Server, com conectividade com o aplicativo de destino e conectividade de saída com login.microsoftonline.com, outros Serviços Online da Microsoft e domínios do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada na IaaS do Azure ou por trás de um proxy.
  • Verifique se a sua implementação do SCIM atende aos requisitos do SCIM do Microsoft Entra. O Microsoft Entra ID oferece um código de referência de código aberto que os desenvolvedores podem usar para inicializar a implementação do SCIM, conforme descrito em Tutorial: Desenvolver um ponto de extremidade de exemplo do SCIM no Microsoft Entra ID.
  • Suporte ao ponto de extremidade /schemas para reduzir a configuração necessária no portal do Microsoft Azure.

Instalar e configurar o agente de provisionamento do Microsoft Entra Connect

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.
  3. Pesquise o aplicativo SCIM local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
  4. Do menu, navegue até a página de Provisionamento do seu aplicativo.
  5. Selecione Introdução.
  6. Na página Provisionamento, altere o modo para Automático.

Screenshot of selecting Automatic.

  1. Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos e baixar.

Screenshot of download location for agent.

  1. Saia do portal e abra o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.
  2. Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.
  3. Na etapa Selecionar Extensão, selecione Provisionamento de aplicativo local e, em seguida, selecione Avançar.
  4. O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você e potencialmente se autenticar no Microsoft Entra ID e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar os sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
  5. Forneça credencial para um administrador do Microsoft Entra quando solicitado a autorizar. O usuário deve ter a função de Administrador de Identidade Híbrida ou de Administrador Global.
  6. Selecione Confirmar para confirmar a configuração. Depois que a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do pacote do agente de provisionamento.

Configurar a conexão por meio do agente de provisionamento

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de aAplicativos.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais.

  3. Procure o aplicativo criado anteriormente.

  4. Do menu, navegue até a página de Provisionamento do seu aplicativo.

  5. No portal, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agente(s).

    Screenshot that shows how to select and assign an agent.

  6. Reinicie o serviço do agente de provisionamento ou aguarde 10 minutos antes de testar a conexão.

  7. No campo URL do locatário , insira a URL do ponto de extremidade do SCIM do aplicativo. Exemplo: https://api.contoso.com/scim/

  8. Copie o token de portador OAuth necessário para o ponto de extremidade SCIM no campo Token Secreto.

  9. Selecione Testar Conectividade para fazer com que o Microsoft Entra ID tente se conectar ao ponto de extremidade do SCIM. Se a tentativas falhar, informações de erro serão exibidas.

  10. Quando a tentativa de conexão ao aplicativo for bem-sucedida, selecione Salvar para salvar as credenciais de administrador.

  11. Mantenha essa janela do navegador aberta, conforme você conclui a próxima etapa de configuração usando o assistente de configuração.

Provisionamento para aplicativo habilitado para SCIM

Depois que o agente é instalado, nenhuma configuração adicional é necessária localmente e todas as configurações de provisionamento são gerenciadas no portal. Repita as etapas abaixo para cada aplicativo local provisionado por meio do SCIM.

  1. Configure os mapeamentos de atributo ou as regras de escopo necessárias para seu aplicativo.
  2. Adicione usuários ao escopo atribuindo usuários e grupos ao aplicativo.
  3. Teste o provisionamento de alguns usuários sob demanda.
  4. Adicione mais usuários ao escopo atribuindo-os ao aplicativo.
  5. Acesse o painel Provisionamento e selecione Iniciar o provisionamento.
  6. Monitore-o usando os logs de provisionamento.

O vídeo a seguir fornece uma visão geral do provisionamento local.

Próximas etapas