Como habilitar o provisionamento automatizado de usuários do Microsoft Entra com SCIM para a Azion

Habilitar o Provisionamento Automatizado de Usuários simplifica a gestão de identidade e acesso ao criar, atualizar e excluir automaticamente contas de usuário em aplicações com base nas mudanças no Microsoft Entra ID. Essas mudanças são refletidas nos usuários e equipes da plataforma da Azion, uma vez que o recurso é habilitado. A automação utiliza o protocolo SCIM, tornando o processo de provisionamento escalável e seguro.

Isso reduz o trabalho manual e melhora a conformidade e segurança, garantindo que os usuários tenham acesso apropriado aos recursos conforme necessário.

Este guia abordará como habilitar o provisionamento automatizado de usuários do Microsoft Entra para a plataforma da Azion usando o protocolo SCIM (System for Cross-domain Identity Management).

Ative o uso do protocolo SCIM

  1. Vá para a sua ferramenta preferida de desenvolvimento e teste de API. Por exemplo, Postman ou Swagger.
  2. Execute a seguinte requisição GET, substituindo [Token value] pelo seu token pessoal da Azion, para obter o status atual do seu IdP e seu identificador na Azion.
Terminal window
curl --location 'https://api.azionapi.net/iam/identity_providers' \
--header 'Accept: application/json' \
--header 'Authorization: Token [Token value]'
  1. Você receberá uma resposta semelhante a esta:
Terminal window
{
  "name": "Microsoft Entra IdP",
"is_active": true,
"protocol": "SAML",
  "uuid": "1234abc4567",
  "login_url": "https://api.azion.com/v4/users/scim/<idp_uuid>/login",
"scim_integration": false,
"scim_url": null
}
  • is_active é um booleano que confirma se o IdP está ativo e uuid é o identificador do IdP na Azion.
  • Copie o uuid para usá-lo nos próximos passos.
  1. Execute a seguinte requisição GET, substituindo [Token value] pelo seu token pessoal da Azion e o uuid pelo identificador que você obteve nos passos anteriores, para obter mais informações sobre a integração do IdP na Azion.
Terminal window
curl --location 'https://api.azionapi.net/iam/identity_providers/saml2/<uuid>' \
--header 'Accept: application/json' \
--header 'Authorization: Token [Token value]'
  1. Você receberá uma resposta semelhante a esta:
Terminal window
{
 "uuid": "1234abc4567",
  "name": "Microsoft Entra IdP",
"is_active": true,
 "sign_in_url": "https://login.microsoftonline/123abc/saml2",
 "entity_id_url": "https://sts.windows.net/123abc/saml2",
  "login_url": "https://sso.azion.com/api/saml2v4/users/scim/<idp_uuid>/login",
  "acs_url": "https://sso.azion.com/api/saml2v4/users/scim/<idp_uuid>/login",
"signature_algorithm": "sha-256",
"scim_integration": false,
"scim_url": null
}
  • scim_integration refere-se ao status atual da ativação do protocolo SCIM. Neste caso, false indica que o protocolo ainda não está ativo para funcionar com o IdP.
  1. Execute a seguinte requisição PATCH, substituindo [Token value] pelo seu token pessoal da Azion e o uuid pelo identificador que você obteve nos passos anteriores, para atualizar o status da sua integração SCIM do IdP.
Terminal window
curl --location 'https://api.azionapi.net/iam/identity_providers/saml2/<uuid>' \
--header 'Accept: application/json' \
--header 'Authorization: Token [Token value]'
--data '{
    "scim_integration": true
}'
  1. Você receberá uma resposta semelhante a esta:
Terminal window
{
 "uuid": "1234abc4567",
  "name": "Microsoft Entra IdP",
"is_active": true,
 "sign_in_url": "https://login.microsoftonline/123abc/saml2",
 "entity_id_url": "https://sts.windows.net/123abc/saml2",
  "login_url": "https://sso.azion.com/api/saml2v4/users/scim/<idp_uuid>/login",
  "acs_url": "https://sso.azion.com/api/saml2v4/users/scim/<idp_uuid>/login",
"signature_algorithm": "sha-256",
"scim_integration": true,
  "scim_url": "https://api.azion.com/v4/users/scim/<idp_uuid>/Users"
}

Habilite o provisionamento

  1. Acesse Microsoft Entra admin center.
  2. Selecione o card do registro que você criou para usar o Microsoft Entra como IdP para a Azion.
  3. No menu à esquerda, selecione Provisioning na seção Manage.
  4. No campo Provisioning mode, selecione Automatic.
  5. Na seção Admin Credentials:
    • No campo Tenant URL, copie o link no campo “scim_url” que você obteve na etapa anterior.
    • Em Secret Token, insira um token pessoal de Account Owner ou um token para um usuário com permissões de integração do protocolo SCIM.
  6. Clique em Test Connection para testar se está funcionando. Você receberá uma mensagem indicando que o teste foi bem-sucedido.
  7. Clique no botão Save.

Agora, você deve mapear os usuários e grupos que deseja provisionar entre as contas, conforme explicado na seção seguinte.

Mapeie usuários

Ainda na página de configuração do provisionamento:

  1. Abra a seção Mappings.
  2. Selecione “Provision Microsoft Entra ID Users”.
  3. Em Attribute Mappings, deixe apenas os seguintes campos: userName, active, name.givenName e name.familyName.
  4. Exclua os demais atributos.
  1. Garanta que o interruptor Enable esteja na opção Yes.
  2. Clique em Save.

Mapeie grupos

Ainda na página de configuração do provisionamento:

  1. Abra a seção Mappings.
  2. Selecione “Provision Microsoft Entra ID Groups”.
  3. Garanta que o interruptor Enable esteja na opção Yes.
  4. Clique em Save.

Provisione usuários entre Microsoft Entra e Azion

Uma vez que você tenha criado sua configuração de provisionamento e mapeado usuários e grupos, você pode iniciar o processo de provisionamento. Para fazer isso:

  1. Acesse Microsoft Entra admin center.
  2. Selecione o card do registro que você criou para usar o Microsoft Entra como IdP para a Azion.
  3. Selecione a opção Overview no menu.

Nesta seção, você pode verificar os detalhes do provisionamento sobre as configurações padrão para o provisionamento. Neste caso, o Microsoft Entra tem um intervalo fixo de 40 minutos para executar um novo ciclo de provisionamento.

Provisione manualmente usuários

Alternativamente, você pode executar um provisionamento manual, se necessário. Para executá-lo manualmente, ainda na página de configuração do provisionamento:

  1. Vá para a opção Provision on demand no menu à esquerda.
  2. Selecione o usuário ou grupo que você deseja provisionar.
  3. Clique no botão Provision.

Para verificar se o provisionamento foi bem-sucedido:

  1. Acesse Real-Time Manager (RTM).
  2. No canto superior direito da página, selecione o menu do avatar. Este é o Account menu.
  3. Selecione Users Management para verificar se sua lista de usuários foi atualizada.

Contribuidores