Tutorial: configurar o G Suite para provisionamento automático de usuários
Este tutorial descreve as etapas que você precisa executar no G Suite e no Microsoft Entra ID para configurar o provisionamento automático de usuário. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para G Suite usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Observação
Este tutorial descreve um conector criado sobre o serviço de provisionamento de usuário do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Funcionalidades com suporte
- Criar usuários no G Suite
- Remover usuários no G Suite quando eles não precisarem mais de acesso (observação: remover um usuário do escopo de sincronização não resultará na exclusão do objeto no GSuite)
- Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e o G Suite
- Provisionar grupos e associações a um grupo no G Suite
- Logon único no G Suite (recomendado)
Pré-requisitos
O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:
- Um locatário do Microsoft Entra
- Uma conta de usuário no Microsoft Entra ID com permissão para configurar o provisionamento (por exemplo, Administrador de Aplicativos, Administrador de Aplicativos em Nuvem, Proprietário de Aplicativos ou Administrador Global).
- Um locatário do G Suite
- Uma conta de usuário no G Suite com permissões de Administrador.
Etapa 1: Planeje a implantação do provisionamento
- Saiba mais sobre como funciona o serviço de provisionamento.
- Determine quem está no escopo do provisionamento.
- Determine quais dados devem ser mapeados entre o Microsoft Entra ID e o G Suite.
Etapa 2: Configurar o G Suite para dar suporte ao provisionamento com o Microsoft Entra ID
Antes de configurar o G Suite para o provisionamento automático de usuário com o Microsoft Entra ID, você precisará habilitar o provisionamento do SCIM no G Suite.
Entre no Console de Administração do G Suite com a sua conta de administrado, clique em Menu principal e selecione Segurança. Se você não vê-lo, ele pode estar escondido sob o menu Mostrar mais.
Navegue até Segurança- > Controle de acesso e dados - >Controles de API. Marque a caixa de seleçãoConfiar em aplicativos internos, de propriedade do domínio e, em seguida, clique em Salvar
Importante
Todo usuário que você pretende provisionar no G Suite precisa ter o nome de usuário no Microsoft Entra ID vinculado a um domínio personalizado. Por exemplo, nomes de usuários do tipo bob@contoso.onmicrosoft.com não são aceitos pelo G Suite. Por outro lado, bob@contoso.com é aceito. Altere o domínio de um usuário existente seguindo as instruções descritas aqui.
Depois de adicionar e verificar os domínios personalizados desejados com o Microsoft Entra ID, você deverá verificá-los novamente com o G Suite. Para verificar os domínios no G Suite, veja as seguintes etapas:
No Console de administração do G Suite, navegue até Conta- >Domínios- > Gerenciar Domínios.
Na página Gerenciar Domínio, clique em Adicionar um domínio.
Na página Adicionar domínio, digite o nome do domínio que você deseja adicionar.
Selecione ADICIONAR DOMÍNIO E INICIAR VERIFICAÇÃO. Em seguida, siga as etapas para verificar se você possui o nome de domínio. Para obter instruções completas sobre como confirmar seu domínio no Google, confira Confirmar sua propriedade do site.
Repita as etapas anteriores para os domínios adicionais que você pretende adicionar ao G Suite.
Depois, determine a conta do administrador que deseja usar para gerenciar o provisionamento de usuário no G Suite. Navegue até Conta- >Funções de Administrador.
Para a função Administrador dessa conta, edite os Privilégios da função. Verifique se você habilitou todos os Privilégios de API de Administrador, de modo que essa conta possa ser usada para o provisionamento.
Etapa 3: Adicionar o G Suite por meio da galeria de aplicativos do Microsoft Entra
Adicione o G Suite por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no G Suite. Se você já configurou o G Suite para SSO, use o mesmo aplicativo. No entanto, recomendamos que criar um aplicativo diferente ao testar a integração no início. Saiba mais sobre como adicionar um aplicativo da galeria aqui.
Etapa 4: Definir quem está no escopo de provisionamento
O serviço de provisionamento do Microsoft Entra permite definir quem estará no escopo de provisionamento com base na atribuição ao aplicativo e/ou nos atributos do usuário/do grupo. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas a seguir para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos do usuário ou do grupo, poderá usar um filtro de escopo, conforme descrito aqui.
Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Quando o escopo de provisionamento é definido para usuários e grupos atribuídos, é possível controlar isso atribuindo um ou dois usuários ou grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, é possível especificar um atributo com base no filtro de escopo.
Caso você precise de mais funções, atualize o manifesto do aplicativo para adicionar novas funções.
Etapa 5: Configurar o provisionamento automático de usuário no G Suite
Essa seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base nas atribuições de usuário e/ou de grupo do Microsoft Entra ID.
Observação
Para saber mais sobre o ponto de extremidade da API do Diretório do G Suite, confira a documentação de referência da API do Diretório.
Para configurar o provisionamento automático de usuário para o G Suite no Microsoft Entra ID:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais.
Na lista de aplicativos, selecione G Suite.
Selecione a guia Provisionamento. Clique em Introdução.
Defina o Modo de Provisionamento como Automático.
Na seção Credenciais de Administrador, clique em Autorizar. Você será redirecionado para uma caixa de diálogo de autorização do Google em uma nova janela do navegador.
Confirme que deseja dar permissão ao Microsoft Entra para fazer alterações no seu locatário do G Suite. Selecione Aceitar.
Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao G Suite. Se a conexão falhar, verifique se a sua conta do G Suite tem permissões de Administrador e tente novamente. Em seguida, tente a etapa Autorizar novamente.
No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.
Selecione Salvar.
Na seção Mapeamentos, selecione Provisionar usuários do Microsoft Entra.
Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o G Suite na seção Mapeamento de Atributos. Selecione o botão Salvar para confirmar as alterações.
Observação
Atualmente, o Provisionamento de GSuite dá suporte apenas ao uso do primaryEmail como o atributo correspondente.
| Atributo | Type |
|---|---|
| primaryEmail | String |
| relations.[type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| suspenso | String |
| externalIds.[type eq "custom"].value | String |
| externalIds.[type eq "organization"].value | String |
| addresses.[type eq "work"].country | String |
| addresses.[type eq "work"].streetAddress | String |
| addresses.[type eq "work"].region | String |
| addresses.[type eq "work"].locality | String |
| addresses.[type eq "work"].postalCode | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| phoneNumbers.[type eq "work"].value | String |
| phoneNumbers.[type eq "mobile"].value | String |
| phoneNumbers.[type eq "work_fax"].value | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| addresses.[type eq "home"].country | String |
| addresses.[type eq "home"].formatted | String |
| addresses.[type eq "home"].locality | String |
| addresses.[type eq "home"].postalCode | String |
| addresses.[type eq "home"].region | String |
| addresses.[type eq "home"].streetAddress | String |
| addresses.[type eq "other"].country | String |
| addresses.[type eq "other"].formatted | String |
| addresses.[type eq "other"].locality | String |
| addresses.[type eq "other"].postalCode | String |
| addresses.[type eq "other"].region | String |
| addresses.[type eq "other"].streetAddress | String |
| addresses.[type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| emails.[type eq "home"].address | String |
| emails.[type eq "other"].address | String |
| externalIds.[type eq "account"].value | String |
| externalIds.[type eq "custom"].customType | String |
| externalIds.[type eq "customer"].value | String |
| externalIds.[type eq "login_id"].value | String |
| externalIds.[type eq "network"].value | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Identificador | String |
| ims.[type eq "home"].protocol | String |
| ims.[type eq "other"].protocol | String |
| ims.[type eq "work"].protocol | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| organizations.[type eq "school"].costCenter | String |
| organizations.[type eq "school"].department | String |
| organizations.[type eq "school"].domain | String |
| organizations.[type eq "school"].fullTimeEquivalent | String |
| organizations.[type eq "school"].location | String |
| organizations.[type eq "school"].name | String |
| organizations.[type eq "school"].symbol | String |
| organizations.[type eq "school"].title | String |
| organizations.[type eq "work"].costCenter | String |
| organizations.[type eq "work"].domain | String |
| organizations.[type eq "work"].fullTimeEquivalent | String |
| organizations.[type eq "work"].location | String |
| organizations.[type eq "work"].name | String |
| organizations.[type eq "work"].symbol | String |
| OrgUnitPath | String |
| phoneNumbers.[type eq "home"].value | String |
| phoneNumbers.[type eq "other"].value | String |
| websites.[type eq "home"].value | String |
| websites.[type eq "other"].value | String |
| websites.[type eq "work"].value | String |
Na seção Mapeamentos, selecione Provisionar grupos do Microsoft Entra.
Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o G Suite na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no G Suite em operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Type email String Membros String name String descrição String Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.
Para habilitar o serviço de provisionamento do Microsoft Entra para o G Suite, altere o Status de provisionamento para Ativado na seção Configurações.
Defina os usuários e/ou os grupos que deseja provisionar no G Suite escolhendo os valores desejados em Escopo na seção Configurações.
Quando você estiver pronto para provisionar, clique em Salvar.
Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.
Observação
Se os usuários já tiverem uma conta pessoal/de consumidor existente que usa o endereço de email do usuário do Microsoft Entra, isso poderá causar algum problema que pode ser resolvido por meio da Google Transfer Tool antes da execução da sincronização de diretório.
Etapa 6: Monitorar a implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Use os logs de provisionamento para determinar quais usuários foram provisionados com êxito ou não
- Confira a barra de progresso para ver o status do ciclo de provisionamento e quanto falta para a conclusão
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena aqui.
Dicas de solução de problemas
- Remover um usuário do escopo de sincronização o desabilita no GSuite, mas não resulta na exclusão do usuário no G Suite
Acesso a aplicativos just-in-time (JIT) com o PIM para grupos
Com o PIM para Grupos, você pode fornecer acesso just-in-time a grupos no Google Cloud/Google Workspace e reduzir o número de usuários que têm acesso permanente a grupos privilegiados no Google Cloud/Google Workspace.
Configurar seu aplicativo empresarial para SSO e provisionamento
- Adicione o Google Cloud / Google Workspace ao seu locatário, configure-o para provisionamento conforme descrito neste tutorial e inicie o provisionamento.
- Configure o logon único para o Google Cloud/Google Workspace.
- Crie um grupo que fornecerá a todos os usuários acesso ao aplicativo.
- Atribua o grupo ao aplicativo do Google Cloud/Google Workspace.
- Atribua o usuário de teste como um membro direto do grupo criado na etapa anterior ou forneça-lhes acesso ao grupo por meio de um pacote de acesso. Esse grupo pode ser usado para acesso persistente e não administrador no Google Cloud/Google Workspace.
Habilitar o PIM para grupos
- Crie um segundo grupo no Microsoft Entra ID. Esse grupo fornece acesso a permissões de administrador no Google Cloud/Google Workspace.
- Coloque o grupo sob gerenciamento no PIM do Microsoft Entra.
- Atribua o usuário de teste como qualificado para o grupo no PIM com a função definida como membro.
- Atribua o segundo grupo ao aplicativo do Google Cloud/Google Workspace.
- Use o provisionamento sob demanda para criar o grupo no Google Cloud/Google Workspace.
- Entre no Google Cloud/Google Workspace e atribua ao segundo grupo as permissões necessárias para executar tarefas de administrador.
Agora, qualquer usuário final que se tornou qualificado para o grupo no PIM pode obter acesso JIT ao grupo no Google Cloud/Google Workspace ativando sua associação de grupo.
- Quanto tempo leva para que um usuário seja provisionado para o aplicativo?
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação da sua associação ao grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
- Quando um usuário ativa sua associação ao grupo no PIM do Microsoft Entra ID:
- A associação ao grupo é provisionada em 2 a 10 minutos. Quando há uma alta taxa de solicitações ao mesmo tempo, as solicitações são limitadas a uma taxa de cinco solicitações por 10 segundos.
- Para os primeiros cinco usuários em um período de 10 segundos que ativam a associação ao grupo para um aplicativo específico, a associação ao grupo é provisionada no aplicativo dentro de 2 a 10 minutos.
- Para o sexto usuário ou mais, dentro de um período de dez segundos, que ativar a associação ao grupo para um aplicativo específico, a associação ao grupo será provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os empresarial da limitação são por aplicativo corporativo.
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação da sua associação ao grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- Se o usuário não conseguir acessar o grupo necessário no Google Cloud/Google Workspace, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo foi atualizada com êxito. Dependendo de como o aplicativo de destino foi arquitetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
- Você pode criar alertas para falhas usando o Azure Monitor.
Log de alterações
- 17/10/2020 – Adição de suporte a mais atributos de usuário e grupo do G Suite.
- 17/10/2020 – Atualização dos nomes de atributos de destino do G Suite para que correspondam ao que está definido aqui.
- 17/10/2020 – Atualização dos mapeamentos de atributo padrão.
Mais recursos
- Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
- O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?