Provisionando usuários em aplicativos usando o PowerShell
A documentação a seguir fornece informações de configuração e tutorial. Ele demonstra como o conector PowerShell genérico e o host ECMA (Extensible Connectivity) Connector são usados para integrar o Microsoft Entra ID com sistemas externos que oferecem APIs baseadas no Windows PowerShell.
Para obter informações adicionais, consulte referência técnica do Windows PowerShell Connector
Pré-requisitos para provisionamento via PowerShell
As seções a seguir detalham os pré-requisitos para este tutorial.
Baixe os arquivos de instalação do PowerShell
Baixe os arquivos de instalação do PowerShell em nosso repositório GitHub. Os arquivos de instalação consistem no arquivo de configuração, no arquivo de entrada, no arquivo de esquema e nos scripts usados.
Pré-requisitos no local
O conector fornece uma ponte entre os recursos do ECMA Connector Host e do Windows PowerShell. Antes de usar o conector, verifique se você tem o seguinte no servidor que hospeda o conector
- Um Windows Server 2016 ou uma versão posterior.
- Pelo menos 3 GB de RAM, para hospedar um agente de provisionamento.
- .NET Framework 4.7.2
- Windows PowerShell 2.0, 3.0 ou 4.0
- Conectividade entre o servidor de hospedagem, o conector e o sistema de destino com o qual os scripts do PowerShell interagem.
- A política de execução no servidor deve ser configurada para permitir que o conector execute scripts do Windows PowerShell. A menos que os scripts executados pelo conector sejam assinados digitalmente, configure a política de execução executando este comando:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- A implantação desse conector requer um ou mais scripts do PowerShell. Alguns produtos da Microsoft podem fornecer scripts para uso com esse conector, e a declaração de suporte para esses scripts seria fornecida por esse produto. Se você estiver desenvolvendo seus próprios scripts para uso com esse conector, precisará ter familiaridade com a API do Agente de Gerenciamento de Conectividade Extensível para desenvolver e manter esses scripts. Se você estiver integrando com sistemas de terceiros usando seus próprios scripts em um ambiente de produção, recomendamos que você trabalhe com o fornecedor terceirizado ou um parceiro de implantação para obter ajuda, orientação e suporte para essa integração.
Requisitos da nuvem
- Um locatário do Microsoft Entra com o Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, consulte Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
- A função Administrador de Identidade Híbrida para configurar o agente de provisionamento e as funções de Administrador de Aplicativo ou Administrador de Aplicativo em Nuvem para configurar o provisionamento no portal do Azure.
- Os usuários do Microsoft Entra, para serem provisionados, já devem estar preenchidos com quaisquer atributos exigidos pelo esquema.
Baixar, instalar e configurar o Pacote do Agente de Provisionamento do Microsoft Entra Connect
Se você baixou o agente de provisionamento e o configurou para outro aplicativo local, continue lendo na próxima seção.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
- Navegue até Gerenciamento híbrido de identidade>, Microsoft>>Agents.
Selecione Baixar agente local, revise os termos de serviço e selecione Aceitar termos e download.
Nota
Use diferentes agentes de provisionamento para provisionamento de aplicativos locais e sincronização na nuvem do Microsoft Entra Connect / provisionamento orientado por RH. Os três cenários não devem ser gerenciados no mesmo agente.
Abra o instalador do agente de provisionamento, concorde com os termos de serviço e selecione Instalar.
Quando o assistente de configuração do agente de provisionamento do Microsoft Entra for aberto, continue na guia Selecionar extensão e selecione Provisionamento de aplicativo local quando for solicitada a extensão que você deseja habilitar.
O agente de provisionamento usa o navegador da Web do sistema operacional para exibir uma janela pop-up para você se autenticar na ID do Microsoft Entra e, potencialmente, também no provedor de identidade da sua organização. Se você estiver usando o Internet Explorer como navegador no Windows Server, talvez seja necessário adicionar sites da Microsoft à lista de sites confiáveis do navegador para permitir que o JavaScript seja executado corretamente.
Forneça credenciais para um administrador do Microsoft Entra quando você for solicitado a autorizar. O usuário deve ter pelo menos a função de Administrador de Identidade Híbrida .
Selecione Confirmar para confirmar a configuração. Quando a instalação for bem-sucedida, você poderá selecionar Sair e também fechar o instalador do Pacote do Agente de Provisionamento.
Configurar o aplicativo ECMA local
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione Nova aplicação.
- Pesquise o aplicativo ECMA local, dê um nome ao aplicativo e selecione Criar para adicioná-lo ao seu locatário.
- Navegue até a página Provisionamento do seu aplicativo.
- Selecione Introdução.
- Na página Provisionamento, altere o modo para Automático.
- Na seção Conectividade Local, selecione o agente que você acabou de implantar e selecione Atribuir Agente(s).
- Mantenha esta janela do navegador aberta enquanto conclui a próxima etapa de configuração usando o assistente de configuração.
Coloque o arquivo InputFile.txt e Schema.xml em locais
Antes de criar o conector do PowerShell para este tutorial, você precisa copiar o arquivo InputFile.txt e Schema.xml para os locais corretos. Esses arquivos são os que você precisava baixar na seção Baixar os arquivos de instalação do PowerShell.
Ficheiro | localização |
---|---|
InputFile.txt | C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData |
Schema.xml | C:\Program Files\Microsoft ECMA2Host\Service\ECMA |
Configurar o certificado Microsoft Entra ECMA Connector Host
- No Windows Server onde o agente de provisionamento está instalado, selecione com o botão direito do mouse o Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar e execute como administrador. A execução como administrador do Windows é necessária para que o assistente crie os logs de eventos do Windows necessários.
- Depois que a Configuração do Host do Conector ECMA for iniciada, se for a primeira vez que você executar o assistente, ele solicitará que você crie um certificado. Deixe a porta padrão 8585 e selecione Gerar certificado para gerar um certificado. O certificado gerado automaticamente autoassina-se como parte integrante da raiz de confiança. O certificado SAN corresponde ao nome do host.
- Selecione Guardar.
Criar o conector do PowerShell
Ecrã Geral
Inicie o Assistente de Configuração do Microsoft ECMA2Host no menu Iniciar.
Na parte superior, selecione Importar e selecione o arquivo configuration.xml da etapa 1.
O novo conector deve ser criado e aparecer em vermelho. Selecione Editar.
Gere um token secreto usado para autenticar o ID do Microsoft Entra no conector. Deve ter um mínimo de 12 caracteres e ser único para cada aplicação. Se você ainda não tiver um gerador de segredos, poderá usar um comando do PowerShell, como o seguinte, para gerar um exemplo de cadeia de caracteres aleatória.
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
Na página Propriedades, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Property valor Nome O nome escolhido para o conector, que deve ser exclusivo em todos os conectores em seu ambiente. Por exemplo, PowerShell
.Temporizador de sincronização automática (minutos) 120 Token secreto Introduza o seu token secreto aqui. Deve ter no mínimo 12 caracteres. Extensão DLL Para o conector do PowerShell, selecione Microsoft.IAM.Connector.PowerShell.dll.
Conectividade
A guia conectividade permite que você forneça parâmetros de configuração para se conectar a um sistema remoto. Configure a guia conectividade com as informações fornecidas na tabela.
- Na página Conectividade, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Parâmetro | valor | Propósito |
---|---|---|
Servidor | <Blank> | Nome do servidor ao qual o conector deve se conectar. |
Domínio | <Blank> | Domínio da credencial a ser armazenada para uso quando o conector for executado. |
User | <Blank> | Nome de usuário da credencial a ser armazenada para uso quando o conector for executado. |
Palavra-passe | <Blank> | Senha da credencial a ser armazenada para uso quando o conector for executado. |
Representar conta do conector | Desselecionado | Quando verdadeiro, o serviço de sincronização executa os scripts do Windows PowerShell no contexto das credenciais fornecidas. Recomenda-se, sempre que possível, que o parâmetro $Credentials seja passado para cada script em vez de usar representação. |
Carregar perfil de usuário ao representar | Desselecionado | Instrui o Windows a carregar o perfil de usuário das credenciais do conector durante a representação. Se o utilizador representado tiver um perfil itinerante, o conector não carregará o perfil itinerante. |
Tipo de logon ao representar | Nenhuma | Tipo de logon durante a representação. Para obter mais informações, consulte a documentação dwLogonType. |
Somente scripts assinados | Desselecionado | Se verdadeiro, o conector do Windows PowerShell valida que cada script tem uma assinatura digital válida. Se false, verifique se a política de execução do Windows PowerShell do servidor do Serviço de Sincronização é RemoteSigned ou Unrestricted. |
Common Module Script Name (com extensão) | xADSyncPSConnectorModule.psm1 | O conector permite armazenar um módulo compartilhado do Windows PowerShell na configuração. Quando o conector executa um script, ele extrai o módulo do Windows PowerShell para o sistema de arquivos para que cada script possa importá-lo. |
Script de módulo comum | Código do Módulo do Conector PowerShell de Sincronização do AD como valor. Este módulo será criado automaticamente pelo ECMA2Host quando o conector estiver em execução. | |
Script de validação | <Blank> | O Script de Validação é um script opcional do Windows PowerShell que pode ser usado para garantir que os parâmetros de configuração do conector fornecidos pelo administrador sejam válidos. |
Script do esquema | GetSchema código como valor. | |
Nomes de parâmetros de configuração adicionais | FileName,Delimitador,Codificação | Além das definições de configuração padrão, você pode definir definições de configuração personalizadas adicionais que são específicas para a instância do conector. Esses parâmetros podem ser especificados nos níveis de conector, partição ou etapa de execução e acessados a partir do script relevante do Windows PowerShell. |
Nomes de parâmetros de configuração criptografados adicionais | <Blank> |
Capacidades
A guia recursos define o comportamento e a funcionalidade do conector. As seleções feitas neste separador não podem ser modificadas quando o conector é criado. Configure a guia de recursos com as informações fornecidas na tabela.
- Na página Recursos, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Parâmetro | valor | Propósito |
---|---|---|
Estilo de nome distinto | Nenhuma | Indica se o conector suporta nomes distintos e, em caso afirmativo, qual o estilo. |
Tipo de exportação | ObjectReplace | Determina o tipo de objetos que são apresentados ao script Exportar. |
Normalização de dados | Nenhuma | Instrui o Serviço de Sincronização a normalizar atributos âncora antes que eles sejam fornecidos aos scripts. |
Confirmação do objeto | Normal | Isso é ignorado. |
Usar DN como âncora | Desselecionado | Se o Estilo de Nome Distinto estiver definido como LDAP, o atributo de âncora para o espaço do conector também será o nome distinto. |
Operações simultâneas de vários conectores | Selecionado | Quando marcada, vários conectores do Windows PowerShell podem ser executados simultaneamente. |
Partições | Desselecionado | Quando marcado, o conector suporta várias partições e descoberta de partição. |
Hierarquia | Desselecionado | Quando marcado, o conector suporta uma estrutura hierárquica no estilo LDAP. |
Ativar importação | Selecionado | Quando marcado, o conector importa dados por meio de scripts de importação. |
Ativar importação delta | Desselecionado | Quando marcado, o conector pode solicitar deltas dos scripts de importação. |
Ativar exportação | Selecionado | Quando marcado, o conector exporta dados por meio de scripts de exportação. |
Ativar exportação completa | Selecionado | Não suportado. Isso será ignorado. |
Sem valores de referência no primeiro passo de exportação | Desselecionado | Quando marcada, os atributos de referência são exportados em uma segunda passagem de exportação. |
Ativar renomeação de objeto | Desselecionado | Quando marcados, os nomes distintos podem ser modificados. |
Excluir-Adicionar como substituir | Selecionado | Não suportado. Isso será ignorado. |
Ativar senha de exportação na primeira passagem | Desselecionado | Não suportado. Isso será ignorado. |
Parâmetros de Globais
A guia Parâmetros Globais permite configurar os scripts do Windows PowerShell executados pelo conector. Você também pode configurar valores globais para definições de configuração personalizadas definidas na guia Conectividade. Configure a guia de parâmetros globais com as informações fornecidas na tabela.
- Na página Parâmetros Globais, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Parâmetro | valor |
---|---|
Script de partição | <Blank> |
Script de hierarquia | <Blank> |
Iniciar script de importação | <Blank> |
Importar script | Cole o script de importação como o valor |
Script de importação final | <Blank> |
Iniciar script de exportação | <Blank> |
Script de exportação | Cole o script de importação como o valor |
Script de exportação final | <Blank> |
Iniciar script de senha | <Blank> |
Script de extensão de senha | <Blank> |
Script de senha final | <Blank> |
FileName_Global | InputFile.txt |
Delimiter_Global | ; |
Encoding_Global | <Em branco> (o padrão é UTF8) |
Partições, Executar Perfis, Exportar, FullImport
Mantenha os padrões e selecione seguido de.
Tipos de objeto
Configure a guia Tipos de objeto com as informações fornecidas na tabela.
- Na página Tipos de objeto, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Parâmetro | valor |
---|---|
Objeto de destino | Pessoa |
Âncora | AzureObjectID |
Atributo de consulta | AzureObjectID |
DN | AzureObjectID |
Selecionar Atributos
Certifique-se de que os seguintes atributos estão selecionados:
Na página Selecionar Atributos, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
AzureObjectID
IsActive
DisplayName
EmployeeId
Título
Nome de utilizador
E-mail
Desprovisionamento
Na página Desprovisionamento, você pode especificar se deseja que o Microsoft Entra ID remova os usuários do diretório quando eles saírem do escopo do aplicativo. Em caso afirmativo, em Desativar fluxo, selecione Excluir e, em Excluir fluxo, selecione Excluir. Se Definir valor de atributo for escolhido, os atributos selecionados na página anterior não estarão disponíveis para seleção na página Desprovisionamento.
- Na página Desprovisionamento, todas as informações devem ser preenchidas. A tabela é fornecida como referência. Selecione Avançar.
Verifique se o serviço ECMA2Host está em execução e pode ler do arquivo via PowerShell
Siga estas etapas para confirmar se o host do conector foi iniciado e identificou todos os usuários existentes do sistema de destino.
- No servidor que executa o Microsoft Entra ECMA Connector Host, selecione Iniciar.
- Selecione Executar , se necessário, e digite services.msc na caixa.
- Na lista Serviços, verifique se o Microsoft ECMA2Host está presente e em execução. Se não estiver em execução, selecione Iniciar.
- No servidor que executa o Microsoft Entra ECMA Connector Host, inicie o PowerShell.
- Mude para a pasta onde o host ECMA foi instalado, como
C:\Program Files\Microsoft ECMA2Host
. - Mude para o subdiretório
Troubleshooting
. - Execute o script
TestECMA2HostConnection.ps1
no diretório conforme mostrado e forneça como argumentos o nome do conector e oObjectTypePath
valorcache
. Se o host do conector não estiver escutando na porta TCP 8585, talvez você também precise fornecer o-Port
argumento. Quando solicitado, digite o token secreto configurado para esse conector.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- Se o script exibir uma mensagem de erro ou aviso, verifique se o serviço está em execução e se o nome do conector e o token secreto correspondem aos valores configurados no assistente de configuração.
- Se o script exibir a saída
False
, o conector não viu nenhuma entrada no sistema de destino de origem para usuários existentes. Se esta for uma nova instalação do sistema de destino, esse comportamento é esperado e você pode continuar na próxima seção. - No entanto, se o sistema de destino já contiver um ou mais utilizadores, mas o script apresentar
False
, este estado indica que o conector não conseguiu ler do sistema de destino. Se você tentar provisionar, o Microsoft Entra ID pode não corresponder corretamente os usuários nesse diretório de origem com os usuários no Microsoft Entra ID. Aguarde alguns minutos para que o host do conector termine de ler objetos do sistema de destino existente e, em seguida, execute novamente o script. Se a saída continuar a serFalse
, verifique a configuração do seu conector e as permissões no sistema de destino estão permitindo que o conector leia os usuários existentes.
Testar a conexão do ID do Microsoft Entra com o host do conector
Retorne à janela do navegador da Web onde você estava configurando o provisionamento do aplicativo no portal.
Nota
Se a janela tiver expirado, você precisará selecionar novamente o agente.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione o aplicativo ECMA local.
- Selecione Provisionamento.
- Se Introdução for exibido, altere o modo para Automático, na seção Conectividade Local , selecione o agente que você acabou de implantar e selecione Atribuir Agente(s) e aguarde 10 minutos. Caso contrário, vá para Editar provisionamento.
Na secção Credenciais de administrador, introduza o seguinte URL. Substitua a
connectorName
parte pelo nome do conector no host ECMA, comoPowerShell
. Se você forneceu um certificado de sua autoridade de certificação para o host ECMA, substitualocalhost
pelo nome do host do servidor onde o host ECMA está instalado.Property valor URL do locatário https://localhost:8585/ecma2host_connectorName/scim Insira o valor de Token secreto que você definiu quando criou o conector.
Nota
Se você acabou de atribuir o agente para o aplicativo, aguarde 10 minutos para que o registro seja concluído. O teste de conectividade não funcionará até que o registro seja concluído. Forçar a conclusão do registro do agente reiniciando o agente de provisionamento no servidor pode acelerar o processo de registro. Vá para o servidor, procure por serviços na barra de pesquisa do Windows, identifique o serviço Microsoft Entra Connect Provisioning Agent, selecione o serviço com o botão direito e reinicie.
Selecione Testar conexão e aguarde um minuto.
Depois que o teste de conexão for bem-sucedido e indicar que as credenciais fornecidas estão autorizadas a habilitar o provisionamento, selecione Salvar.
Configurar a conexão do aplicativo
Retorne à janela do navegador da Web onde você estava configurando o provisionamento do aplicativo.
Nota
Se a janela tiver expirado, você precisará selecionar novamente o agente.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Selecione o aplicativo ECMA local.
Selecione Provisionamento.
Se Introdução for exibido, altere o modo para Automático, na seção Conectividade Local, selecione o agente implantado e selecione Atribuir Agente(s). Caso contrário, vá para Editar provisionamento.
Na secção Credenciais de administrador, introduza o seguinte URL. Substitua a
{connectorName}
parte pelo nome do conector no host do conector ECMA, como CSV. O nome do conector diferencia maiúsculas de minúsculas e deve ser o mesmo caso que foi configurado no assistente. Você também pode substituirlocalhost
pelo nome do host da máquina.Property valor URL do locatário https://localhost:8585/ecma2host_CSV/scim
Insira o valor de Token secreto que você definiu quando criou o conector.
Nota
Se você acabou de atribuir o agente para o aplicativo, aguarde 10 minutos para que o registro seja concluído. O teste de conectividade não funcionará até que o registro seja concluído. Forçar a conclusão do registro do agente reiniciando o agente de provisionamento no servidor pode acelerar o processo de registro. Vá para o servidor, procure serviços na barra de pesquisa do Windows, identifique o do Microsoft Entra Connect Provisioning Agent Service, selecione com o botão direito do mouse o serviço e reinicie.
Selecione Testar conexão e aguarde um minuto.
Depois que o teste de conexão for bem-sucedido e indicar que as credenciais fornecidas estão autorizadas a habilitar o provisionamento, selecione Salvar.
Configurar mapeamentos de atributos
Agora você precisa mapear atributos entre a representação do usuário no Microsoft Entra ID e a representação de um usuário no InputFile.txt local.
Você usará o portal do Azure para configurar o mapeamento entre os atributos do usuário do Microsoft Entra e os atributos que você selecionou anteriormente no assistente de configuração do Host ECMA.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Selecione o aplicativo ECMA local.
Selecione Provisionamento.
Selecione Editar provisionamento e aguarde 10 segundos.
Expanda Mapeamentos e selecione Provisionar usuários do Microsoft Entra. Se esta for a primeira vez que você configurou os mapeamentos de atributos para este aplicativo, haverá apenas um mapeamento presente, para um espaço reservado.
Para confirmar que o esquema está disponível no Microsoft Entra ID, marque a caixa de seleção Mostrar opções avançadas e selecione Editar lista de atributos para ScimOnPremises. Certifique-se de que todos os atributos selecionados no assistente de configuração estejam listados. Caso contrário, aguarde alguns minutos até que o esquema seja atualizado e, em seguida, recarregue a página. Depois de ver os atributos listados, cancele esta página para retornar à lista de mapeamentos.
Agora, ao selecionar o mapeamento userPrincipalName PLACEHOLDER. Esse mapeamento é adicionado por padrão quando você configura o provisionamento local pela primeira vez. Altere o valor para corresponder ao seguinte:
Tipo de mapeamento Atributo Source Atributo de destino Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Agora selecione Adicionar Novo Mapeamento e repita a próxima etapa para cada mapeamento.
Especifique os atributos de origem e destino para cada um dos mapeamentos na tabela a seguir.
Tipo de mapeamento Atributo Source Atributo de destino Direct objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Direct displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName Direct Identificação do empregado urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId Direct jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title Direct correio urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email Expression Switch([IsSoftDeleted],, "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive Depois que todos os mapeamentos tiverem sido adicionados, selecione Salvar.
Atribuir utilizadores a uma aplicação
Agora que você tem o Microsoft Entra ECMA Connector Host conversando com o Microsoft Entra ID e o mapeamento de atributos configurado, você pode passar para configurar quem está no escopo para provisionamento.
Importante
Se iniciou sessão usando o cargo de Administrador de Identidade Híbrida, precisará terminar sessão e iniciar sessão com uma conta com pelo menos o cargo de Administrador de Aplicações para esta secção. A função Administrador de Identidade Híbrida não tem permissões para atribuir usuários a aplicativos.
Se houver usuários existentes no InputFile.txt, você deverá criar atribuições de função de aplicativo para esses usuários existentes. Para saber mais sobre como criar atribuições de função de aplicativo em massa, consulte Governando os usuários existentes de um aplicativo no Microsoft Entra ID.
Caso contrário, se não houver usuários atuais do aplicativo, selecione um usuário de teste do Microsoft Entra que será provisionado para o aplicativo.
- Verifique se o usuário selecionado tem todas as propriedades, mapeadas para os atributos necessários do esquema.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione o aplicativo ECMA local.
- À esquerda, em Gerir, selecione Utilizadores e grupos.
- Selecione Adicionar usuário/grupo.
- Em Usuários, selecione Nenhum selecionado.
- Selecione os usuários à direita e selecione o botão Selecionar .
- Agora selecione Atribuir.
Provisionamento de teste
Agora que seus atributos estão mapeados e os usuários são atribuídos, você pode testar o provisionamento sob demanda com um de seus usuários.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione o aplicativo ECMA local.
- Selecione Provisionamento.
- Selecione Provisão sob demanda.
- Procure um dos seus usuários de teste e selecione Provisionar.
- Após alguns segundos, aparece a mensagem Usuário criado com êxito no sistema de destino, com uma lista dos atributos do usuário.
Comece a provisionar usuários
- Depois que o provisionamento sob demanda for bem-sucedido, volte para a página de configuração de provisionamento. Verifique se o escopo está definido apenas para usuários e grupos atribuídos, ative o provisionamento e selecione Salvar.
- Aguarde alguns minutos para que o provisionamento seja iniciado. Pode demorar até 40 minutos. Após a conclusão do trabalho de provisionamento, conforme descrito na próxima seção, se o teste tiver terminado, você poderá alterar o status de provisionamento para Desativadoe selecionar Salvar. Essa ação impede que o serviço de provisionamento seja executado no futuro.