Gestão do fornecimento de conta de utilizador para aplicações empresariais no portal AzureManaging user account provisioning for enterprise apps in the Azure portal

Este artigo descreve as etapas gerais para a gestão do provisionamento automático da conta de utilizador e de desatentação de aplicações que o suportam.This article describes the general steps for managing automatic user account provisioning and de-provisioning for applications that support it. O fornecimento de conta de utilizador é o ato de criar, atualizar e/ou desativar registos de contas de utilizador na loja de perfis de utilizador local de uma aplicação.User account provisioning is the act of creating, updating, and/or disabling user account records in an application’s local user profile store. A maioria das aplicações em nuvem e SaaS armazenam o papel e permissões dos utilizadores na própria loja de perfis de utilizador local do utilizador, e a presença de tal registo de utilizador na loja local do utilizador é necessária para uma única sessão de acesso e acesso ao trabalho.Most cloud and SaaS applications store the users role and permissions in the user's own local user profile store, and presence of such a user record in the user's local store is required for single sign-on and access to work. Para saber mais sobre o fornecimento automático de conta de utilizador, consulte automatizar o Provisionamento do Utilizador e Deprovisionar para aplicações SaaS com o Azure Ative Directory.To learn more about automatic user account provisioning, see Automate User Provisioning and Deprovisioning to SaaS Applications with Azure Active Directory.

Importante

O Azure Ative Directory (Azure AD) tem uma galeria que contém milhares de aplicações pré-integradas que estão habilitadas para o fornecimento automático com Azure AD.Azure Active Directory (Azure AD) has a gallery that contains thousands of pre-integrated applications that are enabled for automatic provisioning with Azure AD. Deve começar por encontrar o tutorial de configuração de provisionamento específico da sua aplicação na Lista de tutoriais sobre como integrar aplicações SaaS com o Azure Ative Directory.You should start by finding the provisioning setup tutorial specific to your application in the List of tutorials on how to integrate SaaS apps with Azure Active Directory. É provável que encontre orientações passo a passo para configurar tanto a app como o AD Azure para criar a ligação de provisionamento.You'll likely find step-by-step guidance for configuring both the app and Azure AD to create the provisioning connection.

Encontrar as suas apps no portalFinding your apps in the portal

Utilize o portal Azure Ative Directory para visualizar e gerir todas as aplicações configuradas para um único sinal de inscrição num diretório.Use the Azure Active Directory portal to view and manage all applications that are configured for single sign-on in a directory. As aplicações da empresa são aplicações que são implementadas e usadas dentro da sua organização.Enterprise apps are apps that are deployed and used within your organization. Siga estes passos para visualizar e gerir as suas aplicações empresariais:Follow these steps to view and manage your enterprise applications:

  1. Abra o portal Azure Ative Directory.Open the Azure Active Directory portal.

  2. Selecione aplicações Enterprise a partir do painel esquerdo.Select Enterprise applications from the left pane. É mostrada uma lista de todas as aplicações configuradas, incluindo aplicações que foram adicionadas da galeria.A list of all configured apps is shown, including apps that were added from the gallery.

  3. Selecione qualquer aplicação para carregar o painel de recursos, onde pode visualizar relatórios e gerir as definições de aplicações.Select any app to load its resource pane, where you can view reports and manage app settings.

  4. Selecione Provisioning para gerir as definições de provisão de conta de utilizador para a aplicação selecionada.Select Provisioning to manage user account provisioning settings for the selected app.

    Rastreio de provisionamento para gerir as definições de provisionamento de conta de utilizador

Modos de provisionamentoProvisioning modes

O painel de provisionamento começa com um menu Modo, que mostra os modos de provisionamento suportados para uma aplicação da empresa, e permite configurá-los.The Provisioning pane begins with a Mode menu, which shows the provisioning modes supported for an enterprise application, and lets you configure them. As opções disponíveis incluem:The available options include:

  • Automático - Esta opção é mostrada se a Azure AD suporta o fornecimento automático baseado em API ou o desavisionamento de contas de utilizador a esta aplicação.Automatic - This option is shown if Azure AD supports automatic API-based provisioning or de-provisioning of user accounts to this application. Selecione este modo para exibir uma interface que ajuda os administradores:Select this mode to display an interface that helps administrators:

    • Configure AD AZure para ligar à API de gestão de utilizadores da aplicaçãoConfigure Azure AD to connect to the application's user management API
    • Crie mapeamentos de conta e fluxos de trabalho que definam como os dados da conta de utilizador devem fluir entre a Azure AD e a appCreate account mappings and workflows that define how user account data should flow between Azure AD and the app
    • Gerir o serviço de prestação de AD AzureManage the Azure AD provisioning service
  • Manual - Esta opção é mostrada se o Azure AD não suporta o fornecimento automático de contas de utilizador a esta aplicação.Manual - This option is shown if Azure AD doesn't support automatic provisioning of user accounts to this application. Neste caso, os registos de conta de utilizador armazenados na aplicação devem ser geridos utilizando um processo externo, com base na gestão do utilizador e nas capacidades de provisionamento fornecidas por essa aplicação (que pode incluir o provisionamento DAML Just-In-Time).In this case, user account records stored in the application must be managed using an external process, based on the user management and provisioning capabilities provided by that application (which can include SAML Just-In-Time provisioning).

Configuração do provisionamento automático da conta de utilizadorConfiguring automatic user account provisioning

Selecione a opção Automática para especificar definições para credenciais de administração, mapeamentos, início e paragem e sincronização.Select the Automatic option to specify settings for admin credentials, mappings, starting and stopping, and synchronization.

Credenciais de administradorAdmin Credentials

Expandir credenciais de administração para introduzir as credenciais necessárias para que a Azure AD se conecte à API de gestão de utilizadores da aplicação.Expand Admin Credentials to enter the credentials required for Azure AD to connect to the application's user management API. A entrada requerida varia consoante a aplicação.The input required varies depending on the application. Para conhecer os tipos e requisitos credenciais para aplicações específicas, consulte o tutorial de configuração para essa aplicação específica.To learn about the credential types and requirements for specific applications, see the configuration tutorial for that specific application.

Selecione a Ligação de Teste para testar as credenciais, fazendo com que a Azure AD tente ligar-se à aplicação de provisionamento da aplicação utilizando as credenciais fornecidas.Select Test Connection to test the credentials by having Azure AD attempt to connect to the app's provisioning app using the supplied credentials.

MapeamentosMappings

Expandir mapeamentos para visualizar e editar os atributos do utilizador que fluem entre a Azure AD e a aplicação-alvo quando as contas do utilizador são a provisionadas ou atualizadas.Expand Mappings to view and edit the user attributes that flow between Azure AD and the target application when user accounts are provisioned or updated.

Há um conjunto pré-configurado de mapeamentos entre objetos de utilizador AZure AD e objetos de utilizador de cada aplicação SaaS.There's a preconfigured set of mappings between Azure AD user objects and each SaaS app’s user objects. Algumas aplicações gerem outros tipos de objetos, tais como Grupos ou Contactos.Some apps manage other types of objects, such as Groups or Contacts. Selecione um mapeamento na mesa para abrir o editor de mapeamento à direita, onde pode vê-lo e personalizá-lo.Select a mapping in the table to open the mapping editor to the right, where you can view and customize them.

Mostra o ecrã de mapeamento de atributos

As personalizações suportadas incluem:Supported customizations include:

  • Ativar e desativar mapeamentos para objetos específicos, como o objeto do utilizador Azure AD para o objeto do utilizador da aplicação SaaS.Enabling and disabling mappings for specific objects, such as the Azure AD user object to the SaaS app's user object.

  • Editar os atributos que fluem do objeto do utilizador Azure AD para o objeto do utilizador da aplicação.Editing the attributes that flow from the Azure AD user object to the app's user object. Para obter mais informações sobre o mapeamento de atributos, consulte os tipos de mapeamento de atributos Understanding.For more information on attribute mapping, see Understanding attribute mapping types.

  • Filtrar as ações de provisionamento que o Azure AD executa na aplicação visada.Filtering the provisioning actions that Azure AD runs on the targeted application. Em vez de ter o Azure AD a sincronizar totalmente os objetos, pode limitar as ações executadas.Instead of having Azure AD fully synchronize objects, you can limit the actions run.

    Por exemplo, apenas selecione Update e Azure AD apenas atualiza as contas de utilizador existentes numa aplicação, mas não cria novas.For example, only select Update and Azure AD only updates existing user accounts in an application but doesn't create new ones. Apenas selecione Criar e Azure apenas cria novas contas de utilizador, mas não atualiza as existentes.Only select Create and Azure only creates new user accounts but doesn't update existing ones. Esta funcionalidade permite que os administradores criem diferentes mapeamentos para a criação de conta e atualizar fluxos de trabalho.This feature lets admins create different mappings for account creation and update workflows.

  • Adicionando um novo mapeamento de atributos.Adding a new attribute mapping. Selecione Adicionar Novo Mapeamento na parte inferior do painel de mapeamento do atributo.Select Add New Mapping at the bottom of the Attribute Mapping pane. Preencha o formulário EditAr Atributo e selecione Ok para adicionar o novo mapeamento à lista.Fill out the Edit Attribute form and select Ok to add the new mapping to the list.

DefiniçõesSettings

Pode iniciar e parar o serviço de prestação de Ad Azure para a aplicação selecionada na área de Definições do ecrã de Provisionamento.You can start and stop the Azure AD provisioning service for the selected application in the Settings area of the Provisioning screen. Também pode optar por limpar a cache de provisionamento e reiniciar o serviço.You can also choose to clear the provisioning cache and restart the service.

Se o provisionamento estiver a ser habilitado pela primeira vez para uma aplicação, ligue o serviço alterando o Estado de Provisionamento para On.If provisioning is being enabled for the first time for an application, turn on the service by changing the Provisioning Status to On. Esta alteração faz com que o serviço de fornecimento de Ad Azure execute um ciclo inicial.This change causes the Azure AD provisioning service to run an initial cycle. Lê os utilizadores designados na secção Utilizadores e grupos, consulta a aplicação-alvo para os mesmos e, em seguida, executa as ações de provisionamento definidas na secção Azure AD Mappings.It reads the users assigned in the Users and groups section, queries the target application for them, and then runs the provisioning actions defined in the Azure AD Mappings section. Durante este processo, o serviço de fornecimento armazena dados em cache sobre que contas de utilizador está a gerir, pelo que contas não geridas dentro das aplicações-alvo que nunca estiveram em âmbito de atribuição não são afetadas por operações de desavisionamento.During this process, the provisioning service stores cached data about what user accounts it's managing, so non-managed accounts inside the target applications that were never in scope for assignment aren't affected by de-provisioning operations. Após o ciclo inicial, o serviço de fornecimento sincroniza automaticamente os objetos do utilizador e do grupo num intervalo de 40 minutos.After the initial cycle, the provisioning service automatically synchronizes user and group objects on a forty-minute interval.

Altere o Estado de Provisionamento para Off para interromper o serviço de prestação.Change the Provisioning Status to Off to pause the provisioning service. Neste estado, o Azure não cria, atualiza ou remove qualquer utilizador ou objetos de grupo na aplicação.In this state, Azure doesn't create, update, or remove any user or group objects in the app. Mude o estado de volta para On e o serviço retoma onde deixou de lado.Change the state back to On and the service picks up where it left off.

Limpar o estado atual e reiniciar a sincronização desencadeia um ciclo inicial.Clear current state and restart synchronization triggers an initial cycle. O serviço irá então avaliar todos os utilizadores do sistema de origem novamente e determinar se eles estão em possibilidade de provisão.The service will then evaluate all the users in the source system again and determine if they are in scope for provisioning. Isto pode ser útil quando a sua aplicação está em quarentena ou precisa de fazer uma alteração nos mapeamentos do seu atributo.This can be useful when your application is currently in quarantine or you need to make a change to your attribute mappings. Note que o ciclo inicial demora mais tempo a ser concluído do que o ciclo incremental típico devido ao número de objetos que precisam de ser avaliados.Note that the initial cycle takes longer to complete than the typical incremental cycle due to the number of objects that need to be evaluated. Pode aprender mais sobre o desempenho dos ciclos iniciais e incrementais aqui.You can learn more about the performance of initial and incremental cycles here.