Provisionamento com o conector de serviços Web

  • Artigo

A documentação a seguir fornece informações sobre o conector de serviços Web genérico. A Governança do Microsoft Entra ID dá suporte ao provisionamento de contas em vários aplicativos, como SAP ECC, Oracle eBusiness Suite e aplicativos de linha de negócios que expõem APIs REST ou SOAP. Os clientes que já implantaram o MIM para se conectar a esses aplicativos podem facilmente alternar para o uso do agente de provisionamento de Microsoft Entra leve, ao mesmo tempo em que reutilizam o mesmo conector de serviços Web criado para o MIM.

Funcionalidades com suporte

  • Criar usuários em seu aplicativo.
  • Remover usuários do seu aplicativo quando eles não precisam mais de acesso.
  • Mantenha os atributos do usuário sincronizados entre o Microsoft Entra ID e seu aplicativo.
  • Descobrir o esquema para seu aplicativo.

O conector de serviços Web implementa as seguintes funcionalidades:

  • Descoberta SOAP: permite que o administrador insira o caminho WSDL exposto pelo serviço Web de destino. A descoberta produz uma estrutura em árvore dos serviços web hospedados do aplicativo com seus terminais ou operações internas, juntamente com a descrição de metadados da operação. Não há limite para o número de operações de descoberta que podem ser feitas (passo a passo). As operações descobertas são usadas posteriormente para configurar o fluxo de operações que implementam as operações do conector na fonte de dados (como Importação/Exportação).

  • Descoberta REST: permite que o administrador insira detalhes do serviço REST, incluindo detalhes de ponto final de serviço, caminho de recurso, método e parâmetro. As informações dos serviços REST serão armazenadas no arquivo discovery.xml do projeto wsconfig. Elas serão usados posteriormente pelo administrador para configurar a atividade de Serviço Web Rest no fluxo de trabalho.

  • Configuração do esquema: permite que o administrador configure o esquema. A configuração do esquema incluirá uma listagem de Tipos de Objeto e atributos para um aplicativo específico. O administrador poderá escolher os atributos que farão parte do esquema.

  • Configuração do fluxo de operação: UI do designer de fluxo de trabalho para configurar a implementação de operações de importação e exportação por tipo de objeto por meio de funções de operações de serviço web expostas, incluindo a atribuição de parâmetros do usuário que está sendo provisionado para funções de serviço web.

Pré-requisitos para provisionamento

Pré-requisitos do local

O computador que executa o agente de provisionamento deve ter:

  • Conectividade com pontos de extremidade REST ou SOAP do aplicativo, bem como conectividade de saída para login.microsoftonline.com, outros Microsoft Online Services e domínios do Azure. Um exemplo é uma máquina virtual do Windows Server 2016 hospedada na IaaS do Azure ou por trás de um proxy.
  • Pelo menos 3 GB de RAM para hospedar um agente de provisionamento.
  • .NET Framework 4.7.2
  • Um Windows Server 2016 ou uma versão posterior.

Antes de configurar o provisionamento, verifique se você:

  • Exponha as APIs SOAP ou REST necessárias em seu aplicativo para criar, atualizar e excluir usuários.

Requisitos de nuvem

  • Um locatário do Microsoft Entra com Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5).

    O uso desse recurso requer licenças de P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

  • A função Administrador de Identidade Híbrida para configuração do agente de provisionamento e as funções Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem para configuração do provisionamento no portal do Azure.

  • Os usuários do Microsoft Entra a serem provisionados para seu aplicativo já devem estar preenchidos com quaisquer atributos que serão exigidos pelo seu aplicativo.

Instalar e configurar o agente de provisionamento do Microsoft Entra Connect

  1. Entre no portal do Azure.
  2. Acesse Aplicativos empresariais e selecione Novo aplicativo.
  3. Pesquise o aplicativo ECMA local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
  4. Do menu, navegue até a página de Provisionamento do seu aplicativo.
  5. Selecione Introdução.
  6. Na página Provisionamento, altere o modo para Automático.

Captura de tela da seleção Automática.

  1. Em Conectividade local, selecione Baixar e instalar e selecione Aceitar termos e baixar.

  2. Saia do portal e execute o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.

  3. Aguarde o assistente de configuração do agente de provisionamento do Microsoft Entra e selecione Avançar.

  4. Na etapa Selecionar Extensão, selecione Provisionamento de aplicativo local e, em seguida, selecione Avançar.

  5. O agente de provisionamento usará o navegador da Web do sistema operacional para exibir uma janela pop-up para você e potencialmente se autenticar no Microsoft Entra ID e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar os sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.

  6. Forneça credencial para um administrador do Microsoft Entra quando solicitado a autorizar. O usuário deve ter a função de Administrador de Identidade Híbrida ou de Administrador Global.

  7. Selecione Confirmar para confirmar a configuração. Depois que a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do pacote do agente de provisionamento.

Configurar o dispositivo ECMA local

  1. No portal, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agente(s).

    Captura de tela que mostra como selecionar e atribuir um agente.

  2. Mantenha essa janela do navegador aberta, conforme você conclui a próxima etapa de configuração usando o assistente de configuração.

Configurar o certificado de host do conector ECMA do Microsoft Entra

  1. No Windows Server em que o agente de provisionamento está instalado, clique com o botão direito do mouse no Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar e execute como administrador. A execução como administrador do Windows é necessária para que o assistente crie os logs de eventos do Windows necessários.

  2. Depois que a Configuração de Host do Conector do ECMA for iniciada, se for a primeira vez que você executa o assistente, ele solicitará que você crie um certificado. Deixe a porta padrão 8585 e selecione Gerar certificado para gerar um certificado. O certificado gerado automaticamente será autoassinado como parte da raiz de confiança. O certificado SAN corresponde ao nome do host.

    Captura de tela que mostra a definição de suas configurações.

  3. Selecione Salvar.

Crie um modelo de conector de serviços Web

Antes de criar a configuração do conector de serviços Web, você precisará criar um modelo de conector de serviços Web e personalizar o modelo para atender às necessidades de seu ambiente específico. Verifique se ServiceName, EndpointName e OperationName estão corretos.

Você pode encontrar modelos de exemplo e orientações sobre como integrar com aplicativos populares, como SAP ECC 7.0 e Oracle eBusiness Suite, no pacote de download de conectores. Você pode aprender a criar um novo projeto para sua fonte de dados na Ferramenta de Configuração de Serviço Web usando o guia de fluxo de trabalho para SOAP.

Para obter mais informações sobre como configurar um modelo para se conectar à API REST ou SOAP do seu próprio aplicativo, consulte Visão geral do conector genérico do serviço Web na biblioteca de documentação do MIM.

Configurar o conector de serviços Web genéricos

Nessa seção, você criará a configuração do conector para seu aplicativo.

Conectar o agente de provisionamento ao seu aplicativo

Para conectar o agente de provisionamento do Microsoft Entra ao seu aplicativo, siga estas etapas:

  1. Copie o arquivo de modelo do conector de .wsconfigserviço da WebC:\Program Files\Microsoft ECMA2Host\Service\ECMA para a pasta.

  2. Gere um token secreto que será usado para autenticar o Microsoft Entra ID no conector. Ele deve ter 12 caracteres mínimos e exclusivos para cada aplicativo.

  3. Se você ainda não fez isso, inicialize o Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar.

  4. Selecione Novo Conector.

    Captura de tela que mostra a escolha de um Novo Conector.

  5. Na página Propriedades, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.

    Captura de tela que mostra a inserção das propriedades.

    Propriedade Valor
    Nome O nome escolhido para o conector, que deve ser exclusivo em todos os conectores em seu ambiente.
    Temporizador de sincronização síncrona (minutos) 120
    Token secreto Insira o token secreto gerado para esse conector. A chave deve ter no mínimo 12 caracteres.
    DLL de extensão Para o conector de serviços Web, selecione Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Na página Conectividade, preencha as caixas com os valores especificados na tabela que segue a imagem e selecione Avançar.

    Captura de tela que mostra a página Conectividade.

    Propriedade Descrição
    Projeto de serviços Web O nome do modelo de serviços Web.
    Host Nome do host do ponto de extremidade SOAP do seu aplicativo, por exemplo, vhcalnplci.dummy.nodomain
    Porta A porta de ponto de extremidade SOAP do seu aplicativo, por exemplo, 8000

  7. Na página Funcionalidades, preencha as caixas com os valores especificados na tabela acima e selecione Avançar.

    Propriedade Valor
    Estilo de Nome Diferenciado Genérico
    Tipo de Exportação ObjectReplace
    Normalização de Dados Nenhum
    Confirmação do Objeto Normal
    Habilitar Importação Verificado
    Importação delta habilitada Desmarcado
    Habilitar Exportação Verificado
    Habilitar Exportação Completa Desmarcado
    Habilitar Exportar Senha na Primeira Passagem Verificado
    Nenhum Valor de Referência na Primeira Passagem de Exportação Desmarcado
    Habilitar Renomeação do Objeto Desmarcado
    Excluir-Adicionar como Substituição Desmarcado

Observação

Se o modelo do conector de serviços Web estiver aberto para edição na Ferramenta de Configuração de Serviço Web, você receberá um erro.

  1. Na página Global, preencha as caixas e selecione Avançar.

  2. Na página Partições, selecione Avançar.

  3. Na página Perfis de Execução, mantenha a caixa de seleção Exportar marcada. Marque a caixa de seleção Importação completa e selecione Avançar. O perfil de execução Exportação será usado quando o host do Conector do ECMA precisar enviar alterações do Microsoft Entra ID ao aplicativo para inserir, atualizar e excluir registros. O perfil de execução de Importação Completa será usado quando o serviço host do Conector ECMA iniciar para ler o conteúdo atual do seu aplicativo.

    Propriedade Valor
    Export Executar perfil que exportará dados para seu aplicativo Este perfil de execução é necessário.
    Importação completa Execute o perfil que importará todos os dados do seu aplicativo.
    Importação delta Perfil de execução que importará apenas as alterações do seu aplicativo desde a última importação completa ou delta.

  4. Na página Tipos de Objeto, marque as caixas e selecione Avançar. Use a tabela abaixo da imagem para obter diretrizes sobre as caixas individuais.

    • Âncora: o valor deste atributo deve ser exclusivo para cada objeto no banco de dados do sistema. O serviço de provisionamento do Microsoft Entra consultará o host do conector ECMA usando esse atributo após o ciclo inicial. Esse valor é definido no modelo de conector de serviços Web.

    • DN: a opção Gerado automaticamente deve ser selecionada na maioria dos casos. Se essa opção não estiver marcada, verifique se o atributo de DN está mapeado para um atributo no Microsoft Entra ID que armazena o DN neste formato: CN = anchorValue, Object = objectType. Para obter mais informações sobre âncoras e o DN, confira Sobre atributos de âncora e nomes distintos.

      Propriedade Valor
      Objeto de destino Usuário
      Âncora userName
      DN userName
      Gerado automaticamente Verificado

  5. O host do conector ECMA descobre os atributos com suporte pelo seu aplicativo. Em seguida, você pode escolher quais dos atributos descobertos deseja expor ao Microsoft Entra ID. Em seguida, esses atributos podem ser configurados no portal do Azure para provisionamento. Na página Selecionar Atributos, adicione todos os atributos na lista suspensa, um de cada vez. A lista de seleção Atributo mostra qualquer atributo que foi descoberto no seu aplicativo e não foi escolhido na página Selecionar atributos anterior. Depois que todos os atributos relevantes forem adicionados, selecione Avançar.

    Captura de tela que mostra a página Selecionar Atributos.

  6. Na página Desprovisionamento, em Desabilitar fluxo, selecione Excluir. Os atributos selecionados na página anterior não estarão disponíveis para seleção na página Desprovisionamento. Selecione Concluir.

Observação

Se usar o valor do atributo Set, lembre-se de que somente valores boolianos são permitidos.

Na página Desprovisionamento, em Desabilitar fluxo, selecione Nenhum se você controlar o status da conta de usuário com uma propriedade como expirationTime. Em Excluir fluxo, selecione Nenhum se você não quiser excluir usuários do seu aplicativo ou Excluir se desejar. Selecione Concluir.

Certifique-se de que o serviço ECMA2Host esteja em execução

  1. No servidor que executa o host do conector ECMA do Microsoft Entra, clique em Iniciar.

  2. Insira run e depois services.msc na caixa.

  3. Na lista Serviços, verifique se Microsoft ECMA2Host está presente e em execução. Caso não esteja, selecione Iniciar.

    Captura de tela que mostra que o serviço está em execução.

  4. Se você iniciou recentemente o serviço e tem muitos objetos de usuário em seu aplicativo, aguarde alguns minutos para que o conector estabeleça uma conexão com seu aplicativo e execute a importação completa inicial.

Configurar a conexão do aplicativo no portal do Azure

  1. Retorne à janela do navegador da Web em que você estava configurando o provisionamento de aplicativos.

    Observação

    Se a janela tiver atingido o tempo limite, você precisará selecionar novamente o agente.

    1. Entre no portal do Azure.
    2. Acesse Aplicativos empresariais e o selecione Aplicativo ECMA local.
    3. Selecione Provisionamento.
    4. Selecione Introdução e altere o modo para Automático, na seção Conectividade Local, selecione o agente que você implantou e selecione Atribuir Agentes. Caso contrário, acesse Editar Provisionamento.

  2. Na seção Credenciais de administrador, insira a URL a seguir. Substitua a parte {connectorName} pelo nome do conector no host do conector ECMA. O nome do conector diferencia maiúsculas de minúsculas e deve ser o mesmo que foi configurado no assistente. Você também pode substituir localhost pelo nome do host do computador.

    Propriedade Valor
    URL do Locatário https://localhost:8585/ecma2host_APP1/scim

  3. Insira o valor do Token Secreto que você definiu quando criou o conector.

    Observação

    Se você acabou de atribuir o agente para o aplicativo, aguarde 10 minutos para que o registro seja concluído. O teste de conectividade não funcionará até a conclusão do registro. Forçar a conclusão do registro do agente reiniciando o agente de provisionamento no servidor pode acelerar o processo de registro. Vá para o servidor, pesquise por serviços na barra de pesquisa do Windows, identifique o serviço Agente de provisionamento do Microsoft Entra Connect, clique com o botão direito do mouse no serviço e reinicie.

  4. Selecione Testar Conexão e aguarde um minuto.

  5. Depois que o teste de conexão for bem-sucedido e indicar que as credenciais fornecidas estão autorizadas para habilitar o provisionamento, selecione Salvar.

    Captura de tela que mostra o teste de um agente.

Configurar mapeamentos de atributos

Agora você mapeará os atributos entre a representação do usuário no Microsoft Entra ID e a representação de um usuário no seu aplicativo.

Você usará o portal do Azure para configurar o mapeamento entre os atributos do usuário do Microsoft Entra e os atributos selecionados anteriormente no assistente de configuração do Host do ECMA.

  1. Verifique se o esquema do Microsoft Entra inclui os atributos exigidos pelo seu aplicativo. Se ele exigir que os usuários tenham um atributo, e esse atributo ainda não fizer parte do esquema do Microsoft Entra para um usuário, você precisará usar o recurso de extensão de diretório para adicionar esse atributo como uma extensão.

  2. No centro de administração do Microsoft Entra, em Aplicativos empresariais, selecione o aplicativo ECMA local e a página Provisionamento.

  3. Selecione Editar provisionamento e aguarde 10 segundos.

  4. Expanda Mapeamentos e selecione Provisionar usuários do Microsoft Entra. Se essa for a primeira vez que você configurou os mapeamentos de atributo para esse aplicativo, haverá apenas um mapeamento presente, para um espaço reservado.

    Captura de tela que mostra o provisionamento de um usuário.

  5. Para confirmar se o esquema do seu aplicativo está disponível no Microsoft Entra ID, marque a caixa de seleção Mostrar opções avançadas e selecione Editar lista de atributos para ScimOnPremises. Verifique se todos os atributos selecionados no assistente de configuração estão listados. Caso contrário, aguarde vários minutos para que o esquema seja atualizado e recarregue a página. Depois de ver os atributos listados, cancele essa página para retornar à lista de mapeamentos.

  6. Agora, clique no mapeamento do ESPAÇO RESERVADO userPrincipalName. Esse mapeamento é adicionado por padrão quando você configura o provisionamento local pela primeira vez.

Captura de tela do espaço reservado.

Altere o valor para corresponder ao seguinte:

Tipo de mapeamento Atributo de origem Atributo de destino
Direto userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. Agora, selecione Adicionar Novo Mapeamento e repita a próxima etapa para cada mapeamento.

  2. Especifique os atributos de origem e destino para cada um dos atributos que seu aplicativo requer. Por exemplo,

    Atributo do Microsoft Entra Atributo ScimOnPremises Precedência de correspondência Aplicar esse mapeamento
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Somente durante a criação de objeto
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Somente durante a criação de objeto
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Sempre
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Sempre
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Sempre
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Sempre
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Sempre
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Sempre
    sobrenome urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Sempre
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Sempre
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Sempre

  3. Após todos os mapeamentos serem adicionados, selecione Salvar.

Atribuir usuários ao aplicativo

Agora que o host do conector ECMA do Microsoft Entra está se comunicando com o Microsoft Entra ID e o mapeamento do atributo foi configurado, é possível passar para a configuração de quem está no escopo do provisionamento.

Importante

Se você se conectou pela função Administrador de Identidade Híbrida, saia do serviço e entre com uma conta que tenha a função de Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou Administrador Global para esta seção. A função Administrador de Identidade Híbrida não tem permissões para atribuir usuários a aplicativos.

Se houver usuários existentes no seu aplicativo, será necessário criar atribuições de função de aplicativo para esses usuários. Para saber mais sobre como criar atribuições de função de aplicativo em massa, consulte como controlar os usuários existentes de um aplicativo no Microsoft Entra ID.

Se não houver usuários atuais do aplicativo, selecione um usuário de teste do Microsoft Entra que será provisionado para o aplicativo.

  1. Verifique se o usuário selecionado tem todas as propriedades que serão mapeadas para os atributos necessários do seu aplicativo.

  2. No portal do Azure, selecione Aplicativos Empresariais.

  3. Selecione o aplicativo ECMA local.

  4. À esquerda, em Gerenciar, selecione Usuários e grupos.

  5. Selecione Adicionar usuário/grupo.

    Captura de tela que mostra a adição de um usuário.

  6. Em Usuários, selecione Nenhum Selecionado.

    Captura de tela que mostra Nenhum Selecionado.

  7. Selecione usuários à direita e selecione o botão Selecionar.

    Captura de tela que mostra Selecionar usuários.

  8. Selecione Atribuir.

    Captura de tela que mostra Atribuir usuários.

Testar o provisionamento

Agora que seus atributos estão mapeados e os usuários atribuídos, você pode testar o provisionamento sob demanda com um de seus usuários.

  1. No portal do Azure, selecione Aplicativos Empresariais.

  2. Selecione o aplicativo ECMA local.

  3. À esquerda, selecione Provisionamento.

  4. Selecionar Provisionar sob demanda.

  5. Pesquise um de seus usuários de teste e selecione Provisionamento.

    Captura de tela que mostra o provisionamento de teste.

  6. Após vários segundos, a mensagem Êxito ao criar o usuário no sistema de destino será exibida, com uma lista dos atributos do usuário.

Iniciar o provisionamento de usuários

  1. Depois que o provisionamento sob demanda for bem-sucedido, volte à página de configuração de provisionamento. Verifique se o escopo está definido apenas para usuários e grupos atribuídos, ative o provisionamento e clique em Salvar.

    Captura de tela que mostra o Início do provisionamento.

  2. Aguarde até 40 minutos para que o serviço de provisionamento seja iniciado. Após a conclusão do trabalho de provisionamento, conforme descrito na próxima seção, se o teste tiver sido finalizado, é possível alterar o status de provisionamento para Desabilitado e selecionar Salvar. Isso impedirá a execução do serviço de provisionamento no futuro.

Erros ao solucionar problemas de provisionamento

Se um erro for exibido, selecione Exibir logs de provisionamento. Procure no registro uma linha na qual o Status é Falha e selecione essa linha.

Para obter mais informações, mude para a guia Solução de problemas e Recomendações.

Próximas etapas