Configurar aplicativo de provisionamento de entrada controlado por API
Introdução
Este tutorial descreve como configurar o provisionamento de usuário de entrada controlado por API.
Esse recurso está disponível somente quando você configura os seguintes aplicativos da Galeria Empresarial:
- Provisionamento de usuário de entrada orientado por API para o Microsoft Entra ID
- Provisionamento de usuário de entrada orientado por API para AD local
Pré-requisitos
Para concluir as etapas neste tutorial, você precisa acessar o centro de administração do Microsoft Entra com as seguintes funções:
- Administrador de aplicativos (se você estiver configurando o provisionamento de usuários de entrada para o Microsoft Entra ID) OU
- Administrador de aplicativos + Administrador de identidade híbrida (se você estiver configurando o provisionamento de usuário de entrada para o Ative Directory local)
Se você estiver configurando o provisionamento de usuários de entrada para o Ative Directory local, precisará acessar um Windows Server onde poderá instalar o agente de provisionamento para se conectar ao controlador de domínio do Ative Directory.
Crie seu aplicativo de provisionamento controlado por API
Inicie sessão no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Clique em Novo aplicativo para criar um novo aplicativo de provisionamento.
Introduza API driven no campo de pesquisa e, em seguida, selecione a aplicação para a sua configuração:
- Provisionamento controlado por API para o Ative Directory local: selecione este aplicativo se estiver provisionando identidades híbridas (identidades que precisam do AD local e da conta do Microsoft Entra) do seu sistema de registro. Depois que essas contas são provisionadas no AD local, elas são sincronizadas automaticamente com seu locatário do Microsoft Entra usando o Microsoft Entra Connect Sync ou a sincronização na nuvem do Microsoft Entra Connect.
- Provisionamento controlado por API para ID do Microsoft Entra: selecione este aplicativo se estiver provisionando identidades somente na nuvem (identidades que não exigem contas do AD local e só precisam da conta do Microsoft Entra) do seu sistema de registro.
No campo Nome, renomeie o aplicativo para atender aos requisitos de nomenclatura e clique em Criar.
Nota
Se você planeja ingerir dados de várias fontes, cada uma com suas próprias regras de sincronização, poderá criar vários aplicativos e dar a cada aplicativo um nome descritivo, como
Provision-Employees-From-CSV-to-ADouProvision-Contractors-From-SQL-to-AD.Quando a criação do aplicativo for bem-sucedida, vá para a folha Provisionamento e clique em Introdução.
Mude o modo de provisionamento de Manual para Automático.
Dependendo do aplicativo selecionado, use uma das seguintes seções para concluir a configuração:
- Configurar o provisionamento de entrada controlado por API para o AD local
- Configurar o provisionamento de entrada controlado por API para o ID do Microsoft Entra
Configurar o provisionamento de entrada controlado por API para o AD local
- Depois de definir o Modo de provisionamento como Automático, clique em Salvar para criar a configuração inicial do trabalho de provisionamento.
- Clique no banner de informações sobre o Agente de provisionamento do Microsoft Entra.
- Clique em Aceitar termos & download para baixar o Agente de provisionamento do Microsoft Entra.
- Consulte as etapas documentadas aqui para instalar e configurar o agente de provisionamento. Esta etapa registra seus domínios locais do Ative Directory com seu locatário do Microsoft Entra.
- Quando o registro do agente for bem-sucedido , selecione seu domínio no domínio suspenso do Ative Directory e especifique o nome distinto da UO onde novas contas de usuário são criadas por padrão.
Nota
Se o domínio do AD não estiver visível na lista suspensa Domínio do Ative Directory, recarregue o aplicativo de provisionamento no navegador. Clique em Exibir agentes locais do seu domínio para garantir que o status do agente esteja íntegro.
- Clique em Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao agente de provisionamento.
- Clique em Salvar para salvar suas alterações.
- Quando a operação de salvamento for bem-sucedida, você verá mais dois painéis de expansão – um para Mapeamentos e outro para Configurações. Antes de prosseguir para a próxima etapa, forneça um ID de e-mail de notificação válido e salve a configuração novamente.
Nota
É obrigatório fornecer o e-mail de notificação nas configurações . Se o Email de notificação for deixado vazio, o provisionamento entrará em quarentena quando você iniciar a execução.
- Clique no hiperlink no painel de expansão Mapeamentos para visualizar os mapeamentos de atributos padrão.
Nota
A configuração padrão na página Mapeamentos de Atributos mapeia os atributos SCIM Core User e Enterprise User para atributos do AD locais. Recomendamos usar os mapeamentos padrão para começar e personalizar esses mapeamentos mais tarde, à medida que você se familiariza com o fluxo geral de dados.
- Conclua a configuração seguindo as etapas na seção Começar a aceitar solicitações de provisionamento.
Configurar o provisionamento de entrada controlado por API para o ID do Microsoft Entra
Depois de definir o Modo de provisionamento como Automático, clique em Salvar para criar a configuração inicial do trabalho de provisionamento.
Quando a operação de salvamento for bem-sucedida, você verá mais dois painéis de expansão – um para Mapeamentos e outro para Configurações. Antes de prosseguir para a próxima etapa, certifique-se de fornecer um ID de e-mail de notificação válido e salvar a configuração mais uma vez.
Nota
É obrigatório fornecer o e-mail de notificação nas configurações . Se o Email de notificação for deixado vazio, o provisionamento entrará em quarentena quando você iniciar a execução.
Clique no hiperlink no painel de expansão Mapeamentos para visualizar os mapeamentos de atributos padrão.
Nota
A configuração padrão na página Mapeamentos de Atributos mapeia os atributos SCIM Core User e Enterprise User para atributos do AD locais. Recomendamos usar os mapeamentos padrão para começar e personalizar esses mapeamentos mais tarde, à medida que você se familiariza com o fluxo geral de dados.
Conclua a configuração seguindo as etapas na seção Começar a aceitar solicitações de provisionamento.
Comece a aceitar solicitações de provisionamento
- Abra a página Visão geral do provisionamento do aplicativo de provisionamento>.
- Nesta página, você pode executar as seguintes ações:
- Botão Iniciar controle de provisionamento – Clique neste botão para colocar o trabalho de provisionamento no modo de escuta para processar cargas úteis de solicitação de upload em massa de entrada.
- Botão Parar controle de provisionamento – Use esta opção para pausar/parar o trabalho de provisionamento.
- Botão Reiniciar controle de provisionamento – Use esta opção para limpar quaisquer cargas úteis de solicitação existentes pendentes de processamento e iniciar um novo ciclo de provisionamento.
- Botão Editar controle de provisionamento – Use esta opção para editar as configurações de trabalho, mapeamentos de atributos e personalizar o esquema de provisionamento.
- Botão de controle de provisionamento sob demanda – Este recurso não é suportado para provisionamento de entrada controlado por API.
- Texto da URL do Ponto de Extremidade da API de Provisionamento – Copie o valor da URL HTTPS mostrado e salve-o em um Bloco de Notas ou no OneNote para uso posterior com o cliente da API.
- Expanda o painel Estatísticas até a data>Exibir informações técnicas e copie a URL do ponto de extremidade da API de provisionamento. Compartilhe essa URL com seu desenvolvedor de API depois de conceder permissão de acesso para invocar a API.