Tutorial: configurar o Workplace by Facebook para provisionamento automático de usuáriosTutorial: Configure Workplace by Facebook for automatic user provisioning

O objetivo deste tutorial é mostrar as etapas que precisam ser realizadas no Workplace by Facebook e no Azure AD para provisionar e desprovisionar automaticamente as contas de usuário do Azure AD para o Workplace by Facebook.The objective of this tutorial is to show you the steps you need to perform in Workplace by Facebook and Azure AD to automatically provision and de-provision user accounts from Azure AD to Workplace by Facebook.

Pré-requisitosPrerequisites

Para configurar a integração do Azure AD com o Workplace by Facebook, são necessários os seguintes itens:To configure Azure AD integration with Workplace by Facebook, you need the following items:

  • Uma assinatura do AD do AzureAn Azure AD subscription
  • Uma assinatura do Workplace by Facebook habilitada para logon únicoA Workplace by Facebook single-sign on enabled subscription

Observação

Para testar as etapas deste tutorial, nós não recomendamos o uso de um ambiente de produção.To test the steps in this tutorial, we do not recommend using a production environment.

Para testar as etapas deste tutorial, você deve seguir estas recomendações:To test the steps in this tutorial, you should follow these recommendations:

  • Não use o ambiente de produção, a menos que seja necessário.Do not use your production environment, unless it is necessary.
  • Se não tiver um ambiente de avaliação do AD do Azure, você pode obter uma versão de avaliação de um mês aqui.If you don't have an Azure AD trial environment, you can get a one-month trial here.

Atribuição de usuários ao Workplace by FacebookAssigning users to Workplace by Facebook

O Azure Active Directory usa um conceito chamado "atribuições" para determinar quais usuários devem receber acesso aos aplicativos selecionados.Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. No contexto do provisionamento automático de conta de usuário, somente os usuários e os grupos que foram "atribuídos" a um aplicativo no Azure AD serão sincronizados.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD is synchronized.

Antes de configurar e habilitar o serviço de provisionamento, você precisa decidir quais usuários e/ou grupos no Azure AD representam os usuários que precisam de acesso ao aplicativo Workplace by Facebook.Before configuring and enabling the provisioning service, you need to decide what users and/or groups in Azure AD represent the users who need access to your Workplace by Facebook app. Depois de decidir, atribua esses usuários ao seu aplicativo Workplace by Facebook seguindo estas instruções:Once decided, you can assign these users to your Workplace by Facebook app by following the instructions here:

Atribuir um usuário ou um grupo a um aplicativo empresarialAssign a user or group to an enterprise app

Dicas importantes para atribuir usuários ao Workplace by FacebookImportant tips for assigning users to Workplace by Facebook

  • Recomendamos a atribuição de um único usuário do Azure AD ao Workplace by Facebook para testar a configuração de provisionamento.It is recommended that a single Azure AD user is assigned to Workplace by Facebook to test the provisioning configuration. Outros usuários e/ou grupos podem ser atribuídos mais tarde.Additional users and/or groups may be assigned later.

  • Ao atribuir um usuário ao Workplace by Facebook, você deve selecionar uma função de usuário válida.When assigning a user to Workplace by Facebook, you must select a valid user role. A função de "Acesso Padrão" não funciona para provisionamento.The "Default Access" role does not work for provisioning.

Habilitar o provisionamento de usuárioEnable User Provisioning

Esta seção explica como conectar o Azure AD à API de provisionamento de conta de usuário do Workplace by Facebook e como configurar o serviço de provisionamento para criar, atualizar e desabilitar contas de usuário atribuídas no Workplace by Facebook, com base na atribuição de usuário e de grupo do Azure AD.This section guides you through connecting your Azure AD to Workplace by Facebook's user account provisioning API, and configuring the provisioning service to create, update, and disable assigned user accounts in Workplace by Facebook based on user and group assignment in Azure AD.

Dica

Você também pode optar por habilitar o Logon Único baseado em SAML no Workplace by Facebook, seguindo as instruções fornecidas no Portal do Azure.You may also choose to enable SAML-based Single Sign-On for Workplace by Facebook, following the instructions provided in Azure portal. O logon único pode ser configurado independentemente do provisionamento automático, embora esses dois recursos sejam complementares.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Para configurar o provisionamento de conta de usuário para o Workplace by Facebook no Azure AD:To configure user account provisioning to Workplace by Facebook in Azure AD:

O objetivo desta seção é descrever como habilitar o provisionamento de contas de usuário do Active Directory no Workplace by Facebook.The objective of this section is to outline how to enable provisioning of Active Directory user accounts to Workplace by Facebook.

O Azure AD dá suporte à capacidade de sincronizar automaticamente os detalhes da conta de usuários atribuídos ao Workplace by Facebook.Azure AD supports the ability to automatically synchronize the account details of assigned users to Workplace by Facebook. Essa sincronização automática permite que o Workplace by Facebook obtenha os dados necessários para autorizar o acesso aos usuários, antes que eles tentem se conectar pela primeira vez.This automatic synchronization enables Workplace by Facebook to get the data it needs to authorize users for access, before them attempting to sign in for the first time. Ele também desprovisiona os usuários do Workplace by Facebook quando o acesso tiver sido revogado no Azure AD.It also de-provisions users from Workplace by Facebook when access has been revoked in Azure AD.

  1. No Portal do Azure, navegue até a seção Azure Active Directory > Aplicativos Empresariais > Todos os aplicativos.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  2. Se você já tiver configurado o Workplace by Facebook para logon único, pesquise a instância do Workplace by Facebook usando o campo de pesquisa.If you have already configured Workplace by Facebook for single sign-on, search for your instance of Workplace by Facebook using the search field. Caso contrário, selecione Adicionar e pesquise Workplace by Facebook na galeria de aplicativos.Otherwise, select Add and search for Workplace by Facebook in the application gallery. Selecione o Workplace by Facebook nos resultados da pesquisa e adicione-o à lista de aplicativos.Select Workplace by Facebook from the search results, and add it to your list of applications.

  3. Selecione a instância do Workplace by Facebook e, depois, a guia Provisionamento.Select your instance of Workplace by Facebook, then select the Provisioning tab.

  4. Defina o Modo de Provisionamento como Automático.Set the Provisioning Mode to Automatic.

    provisionamento

  5. Na seção Credenciais de Administrador, insira o Token de Acesso do administrador do Workplace by Facebook e defina o valor da URL de locatário como https://www.facebook.com/scim/v1/ .Under the Admin Credentials section, enter the Access Token from your Workplace by Facebook administrator and set the Tenant URL value to https://www.facebook.com/scim/v1/ . Consulte essas instruções sobre como criar um Token de Acesso para o Workplace.See these instructions on creating an Access Token for Workplace.

  6. No Portal do Azure, clique em Testar conectividade para garantir que o Azure AD possa se conectar ao aplicativo Workplace by Facebook.In the Azure portal, click Test Connection to ensure Azure AD can connect to your Workplace by Facebook app. Se a conexão falhar, verifique se sua conta do Workplace by Facebook tem permissões de Administrador de Equipe.If the connection fails, ensure your Workplace by Facebook account has Team Admin permissions.

  7. Insira o endereço de email de uma pessoa ou um grupo que deve receber notificações de erro de provisionamento no campo Email de Notificação e marque a caixa de seleção.Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field, and check the checkbox.

  8. Clique em Salvar.Click Save.

  9. Na seção Mapeamentos, selecione Sincronizar Usuários do Azure Active Directory com o Workplace by Facebook.Under the Mappings section, select Synchronize Azure Active Directory Users to Workplace by Facebook.

  10. Na seção Mapeamentos de Atributo, examine os atributos de usuário que são sincronizados do Azure AD para o Workplace by Facebook.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to Workplace by Facebook. Os atributos selecionados como propriedades Correspondentes são usados para corresponder as contas de usuário do Workplace by Facebook em operações de atualização.The attributes selected as Matching properties are used to match the user accounts in Workplace by Facebook for update operations. Selecione o botão Salvar para confirmar as alterações.Select the Save button to commit any changes.

  11. Para habilitar o serviço de provisionamento do Azure AD no Workplace by Facebook, altere o Status de Provisionamento para Ativado na seção ConfiguraçõesTo enable the Azure AD provisioning service for Workplace by Facebook, change the Provisioning Status to On in the Settings section

  12. Clique em Salvar.Click Save.

Para obter mais informações sobre como configurar o provisionamento automático, consulte https://developers.facebook.com/docs/facebook-at-work/provisioning/cloud-providersFor more information on how to configure automatic provisioning, see https://developers.facebook.com/docs/facebook-at-work/provisioning/cloud-providers

Agora você pode criar uma conta de teste.You can now create a test account. Aguarde até 20 minutos para verificar se a conta foi sincronizada com o Workplace by Facebook.Wait for up to 20 minutes to verify that the account has been synchronized to Workplace by Facebook.

Observação

Estamos trabalhando junto com a equipe do workplace by Facebook para garantir que o aplicativo do Azure AD seja aprovado e atenda às suas novas diretrizes.We are working closely with the Workplace by Facebook team to ensure that the Azure AD application is approved and meets their new guidelines. O local de trabalho dos prazos do Facebook é 16 de dezembro e esperamos atendê-lo.The Workplace by Facebook deadlines is December 16th and we expect to meet that. Nenhum trabalho é esperado para os clientes nesse momento.No work is expected of customers at that time. Em 28 de fevereiro de 2020, os clientes precisarão fazer a transição para a nova integração.By 28-February-2020, customers will need to transition to the new integration. Postaremos aqui assim que o caminho de migração estiver disponível.We will post here as soon as the migration path is available.

Recursos adicionaisAdditional resources