Este documento fornece informações sobre como configurar a integração e o provisionamento de identidades do Azure Active Directory (Azure AD) na Segura® utilizando o protocolo SCIM.
Para realizar o provisionamento de identidades do Azure AD na Segura®, a Segura® precisa estar aberta à Internet. Caso não deseje abrir a Segura® à Internet, pode permitir somente os IPs do Azure AD que realizam a comunicação. Mais informações sobre o range de IPs em Azure IP Ranges and Service Tags – Public Cloud e IP Ranges.
Requisitos
- Acesso administrativo a Segura® para criar um provedor de acesso.
- Conexão de rede estabelecida entre o Azure e a Segura® para requisição do token e provisionamento de usuários na API do SCIM.
- Um aplicativo empresarial configurado no Azure.
- Os grupos criados no Azure devem ter o mesmo nome que os grupos de usuários existentes na Segura®. Evite espaços no nome dos grupos.
- As funções criadas no Azure devem ter o mesmo nome que os papéis (ou roles) existentes na Segura®. Evite espaços no nome das funções.
- A Segura® deve ter um DNS com certificado válido.
- A URL do sistema na Segura® deve estar configurada corretamente.
Crie um provedor no Segura®
- Na Segura®, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Configurações.
- No menu lateral, selecione Provisionamento > Gerenciamento de identidade (IGA) > Provedores.
- Clique em Adicionar.
- No campo Nome *, insira um nome para o provedor.
- No campo Protocolo *, selecione o protocolo SCIM.
- No campo Sincronizar com Domum? *, selecione o tipo de sincronização com o Domum.
- No campo Ativo *, selecione se deseja ativar o provedor ou não.
- Opcional: No campo Descrição, insira uma descrição para o provedor.
- Opcional: No campo Tags, insira tags para identificar o provedor.
- No campo Método de autenticação *, selecione OAuth 2.0 como método de autenticação do provedor.
- No campo Data/Hora Validade, insira a data e hora da validade da autenticação.
- Na tabela IPs Permitidos (Coloque * para permitir qualquer IP), clique em + Adicionar para adicionar os IPs permitidos.
- Na tabela Referers permitidos (Lista vazia para qualquer origem), clique em + Adicionar para adicionar os referers permitidos.
- Clique em Salvar.
Após criar o provedor, salve o Client ID e o Secret. Estas informações serão utilizadas posteriormente.
Crie um aplicativo empresarial no Azure
- Acesse a plataforma Azure.
- Faça login na sua conta Azure.
- Localize o serviço Microsoft Entra ID.
- No menu lateral, clique em Gerenciar > Aplicativos empresariais.
- Clique em Novo aplicativo.
- Clique em Crie seu próprio aplicativo.
- Insira um nome para o seu aplicativo, e selecione Integrar qualquer outro aplicativo que você não encontre na galeria (Que não seja da galeria).
- Na sua aplicação empresarial, clique em Gerenciar > Provisionamento.
- Na tela da visão geral da sua aplicação empresarial, clique em Gerenciar > Provisionamento.
- No campo Modo de Provisionamento, selecione Automático.
- Na aba Credenciais de Administrador, preencha os seguintes campos:
- No campo Método de Autenticação, selecione Autenticação do Portador.
- No campo URL do Locatário *, insira o valor do campo Base URL obtido ao visualizar os detalhes do provedor cadastrado na Segura®.
- No campo Token Secreto, insira o access token. Para obter o access token, utilize uma ferramenta como o Postman, informando o Client ID e o Client Secret coletados na seção Crie um provedor no Segura®. Copie o access token gerado.
- Após preencher os campos, clique em Testar Conexão para testar a conexão com a Segura®. O Azure enviará uma requisição para a Segura® para validar a comunicação.
- Continue a configuração na seção Configure o mapeamento de usuários.
O token gerado só é válido por uma hora. Assim que o tempo estimado finalizar, repita o processo. A Segura® oferece uma automação para realizar a geração de token, caso tenha interesse, entre em contato com o nosso time de suporte.
Configure o mapeamento de usuários
- Após criar um aplicativo empresarial, clique em Provision Microsoft Entra ID Users.
- Na seção Mapeamento de Atributos, exclua o parâmetro
entitlements.value
. - Marque a caixa de seleção Mostrar opções avançadas e clique em Editar lista de atributos para customappsso.
- Na nova janela, crie os seguintes atributos:
- No atributo
userName
, marque a caixa de seleção da coluna Obrigatório?. - No atributo
email
, não marque nenhuma caixa de seleção. - No atributo
displayName
, não marque nenhuma caixa de seleção. - No atributo
name.givenName
, não marque nenhuma caixa de seleção. - No atributo
name.formatted
, não marque nenhuma caixa de seleção. - No atributo
active
, não marque nenhuma caixa de seleção. - Um novo atributo com o nome
entitlements
, do tipo String, e marque a caixa de seleção da coluna Valores Múltiplos?.
- No atributo
- Clique em Salvar.
- Retornando à seção Mapeamento de Atributos, clique em Adicionar Novo Mapeamento, e adicione os seguintes atributos como mapeamentos:
- Atributo
userName
:- No campo Tipo de mapeamento, selecione Direto.
- No campo Atributo de origem *, selecione
userPrincipalName
. - No campo Atributo de destino *, selecione
userName
.
- Atributo
email
:- No campo Tipo de mapeamento, selecione Direto.
- No campo Atributo de origem *, selecione
mail
. - No campo Atributo de destino *, selecione
email
.
- Atributo
displayName
:- No campo Tipo de mapeamento, selecione Direto.
- No campo Atributo de origem *, selecione
displayName
. - No campo Atributo de destino *, selecione
displayName
.
- Atributo
name.givenName
:- No campo Tipo de mapeamento, selecione Direto.
- No campo Atributo de origem *, selecione
givenName
. - No campo Atributo de destino *, selecione
name.givenName
.
- Atributo
name.formatted
:- No campo Tipo de mapeamento, selecione Expressão.
- No campo Expressão, insira a expressão
Join(“ “, [givenName], [surname])
. - No campo Atributo de destino *, selecione
nameFormatted
.
- Atributo
active
:- No campo Tipo de mapeamento, selecione Expressão.
- No campo Expressão, insira a expressão
Switch([IsSoftDeleted], , “False”, “True”, “True”, “False”)
. - No campo Atributo de destino *, selecione
nameFormatted
.
- Atributo
entitlements
:- No campo Tipo de mapeamento, selecione Expressão.
- No campo Expressão, insira a expressão
AssertiveAppRoleAssignmentsComplex([appRoleAssignments])
. - No campo Atributo de destino *, selecione
entitlements
.
- Atributo
- Clique em Salvar e retorne para a tela inicial de provisionamento informada no passo 9. da seção Crie um aplicativo empresarial no Azure.
Habilite o provisionamento
Na tela inicial de configuração do provisionamento, habilite o campo Status do provisionamento.
A partir deste ponto, o provisionamento será executado, sincronizando os usuários do Azure AD com a Segura®.