Como sincronizar usuários do AD com o EPM ao usar SSO SAML do Azure

Prev Next

Use este documento para configurar o Segura® e o Azure para que os usuários ingeridos do Active Directory (AD) sejam reconhecidos corretamente pelo EPM Windows nas estações de trabalho. O problema ocorre porque o atributo de nome de usuário do AD no Segura® deve corresponder ao valor que o Azure envia como Identificador Exclusivo do Usuário no SAML; quando há divergência, o EPM Windows não consegue vincular os usuários da estação ao Segura®.

Requisitos

  • Acesso de administrador às configurações do Segura®.
  • Acesso de administrador ao portal do Azure (Microsoft Entra ID).
  • Integração com AD já configurada no Segura® (consulte Como gerenciar a sincronização de grupos).
  • Aplicativo Empresarial SAML SSO já configurado no Azure (consulte Como integrar com SAML 2.0).
  • Condicional — Entra ID (sem AD On-Premise): se o seu ambiente usa provisionamento SCIM do Entra ID em vez de um AD On-Premise, você precisa de acesso de administrador de provisionamento no Aplicativo Empresarial do Azure.

Procedimento

Cenário A — AD On-Premise + SSO SAML do Azure

  1. No Segura®, acesse Configurações > Autenticação > Active Directory.

  2. Abra a integração com AD existente.

  3. No campo Atributo de nome de usuário do AD, insira o atributo cujo valor corresponde ao Identificador Exclusivo do Usuário configurado no Azure. Na maioria dos tenants alinhados, esse valor é sAMAccountName, que equivale ao mailnickname no Entra ID.

  4. Salve a integração com AD.

  5. No portal do Azure, abra o Aplicativo Empresarial usado para o SSO SAML do Segura®.

  6. Acesse Logon único > Atributos e Declarações.

  7. Defina o Identificador Exclusivo do Usuário (Name ID) como user.mailnickname.

    Atenção: O valor enviado pelo Azure na asserção SAML como Name ID deve corresponder exatamente ao valor armazenado pelo Segura® como nome de usuário do AD. Uma divergência impede silenciosamente o vínculo do usuário no EPM.

  8. Salve a configuração de declaração.

  9. Execute uma sincronização manual do AD no Segura® ou aguarde a próxima sincronização agendada.

Cenário B — Entra ID (sem AD On-Premise) + SCIM do Azure

  1. No portal do Azure, abra o Aplicativo Empresarial usado para provisionamento do Segura®.
  2. Acesse Provisionamento > Mapeamentos de Atributos.
  3. Localize o mapeamento do atributo userName na coluna do customappsso.
  4. Defina o Atributo do Microsoft Entra ID como mailNickname.
  5. Defina a Precedência de correspondência como 1.
  6. Salve o mapeamento.
  7. Nas configurações de provisionamento do Azure AD no Segura®, confirme que o mesmo valor mailNickname será usado como nome de usuário após o provisionamento.

Confirmar os resultados

  1. No Segura®, acesse Configurações > Autenticação > Active Directory > Usuários sincronizados.
  2. Verifique se os nomes de usuário na coluna Nome de usuário correspondem aos valores mailnickname dos seus usuários no Entra ID.
  3. Em uma estação de trabalho gerenciada com o EPM Windows instalado, faça login como um usuário sincronizado.
  4. Confirme que o EPM Windows reconhece a sessão — o usuário deve aparecer nos logs de auditoria do EPM Windows sem erros de vínculo.

Solução de problemas

  • Problema: Os usuários aparecem em Usuários sincronizados, mas o EPM Windows exibe um erro de vínculo.

    • Solução: Confirme que o valor na coluna Nome de usuário no Segura® corresponde exatamente ao valor que o Azure envia como Name ID no SAML. Registre a próxima asserção SAML (usando as ferramentas de desenvolvedor do navegador no fluxo de SSO) e compare os valores.

  • Problema: Após atualizar o atributo de nome de usuário do AD, usuários existentes aparecem duplicados.

    • Solução: Execute uma ressincronização completa nas configurações de integração com AD. As entradas duplicadas com atributos divergentes podem ser desativadas em Configurações > Gerenciamento de Usuários.

  • Problema: O provisionamento SCIM do Azure remapeia o atributo para userPrincipalName após salvar.

    • Solução: Verifique se nenhuma outra política de provisionamento no tenant do Azure substitui os mapeamentos de atributos para este Aplicativo Empresarial. Salve o mapeamento novamente e confirme que ele persiste antes de iniciar um ciclo de provisionamento.
A Soberania Digital é um direito fundamental para os cidadãos, instituições e sociedade. É por isso que trabalhamos todos os dias.
Conecte-se conosco
SEGURA
LEARN
EXPLORE
Copyright © Segura. Todos os direitos reservados