Como configurar o provisionamento de identidades do Azure AD na Segura®

  • 5 minuto(s) lido(s)
Prev Next

Este documento fornece informações sobre como configurar a integração e o provisionamento de identidades do Azure Active Directory (Azure AD) na Segura® utilizando o protocolo SCIM.

Para realizar o provisionamento de identidades do Azure AD na Segura®, a Segura® precisa estar aberta à Internet. Caso não deseje abrir a Segura® à Internet, pode permitir somente os IPs do Azure AD que realizam a comunicação. Mais informações sobre o range de IPs em Azure IP Ranges and Service Tags – Public Cloud e IP Ranges.

Requisitos

  • Acesso administrativo a Segura® para criar um provedor de acesso.
  • Conexão de rede estabelecida entre o Azure e a Segura® para requisição do token e provisionamento de usuários na API do SCIM.
  • Um aplicativo empresarial configurado no Azure.
  • Os grupos criados no Azure devem ter o mesmo nome que os grupos de usuários existentes na Segura®. Evite espaços no nome dos grupos.
  • As funções criadas no Azure devem ter o mesmo nome que os papéis (ou roles) existentes na Segura®. Evite espaços no nome das funções.
  • A Segura® deve ter um DNS com certificado válido.
  • A URL do sistema na Segura® deve estar configurada corretamente.

Crie um provedor no Segura®

  1. Na Segura®, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Configurações.
  2. No menu lateral, selecione Provisionamento > Gerenciamento de identidade (IGA) > Provedores.
  3. Clique em Adicionar.
  4. No campo Nome *, insira um nome para o provedor.
  5. No campo Protocolo *, selecione o protocolo SCIM.
  6. No campo Sincronizar com Domum? *, selecione o tipo de sincronização com o Domum.
  7. No campo Ativo *, selecione se deseja ativar o provedor ou não.
  8. Opcional: No campo Descrição, insira uma descrição para o provedor.
  9. Opcional: No campo Tags, insira tags para identificar o provedor.
  10. No campo Método de autenticação *, selecione OAuth 2.0 como método de autenticação do provedor.
  11. No campo Data/Hora Validade, insira a data e hora da validade da autenticação.
  12. Na tabela IPs Permitidos (Coloque * para permitir qualquer IP), clique em + Adicionar para adicionar os IPs permitidos.
  13. Na tabela Referers permitidos (Lista vazia para qualquer origem), clique em + Adicionar para adicionar os referers permitidos.
  14. Clique em Salvar.

Após criar o provedor, salve o Client ID e o Secret. Estas informações serão utilizadas posteriormente.

Crie um aplicativo empresarial no Azure

  1. Acesse a plataforma Azure.
  2. Faça login na sua conta Azure.
  3. Localize o serviço Microsoft Entra ID.
  4. No menu lateral, clique em Gerenciar > Aplicativos empresariais.
  5. Clique em Novo aplicativo.
  6. Clique em Crie seu próprio aplicativo.
  7. Insira um nome para o seu aplicativo, e selecione Integrar qualquer outro aplicativo que você não encontre na galeria (Que não seja da galeria).
  8. Na sua aplicação empresarial, clique em Gerenciar > Provisionamento.
  9. Na tela da visão geral da sua aplicação empresarial, clique em Gerenciar > Provisionamento.
  10. No campo Modo de Provisionamento, selecione Automático.
  11. Na aba Credenciais de Administrador, preencha os seguintes campos:
    1. No campo Método de Autenticação, selecione Autenticação do Portador.
    2. No campo URL do Locatário *, insira o valor do campo Base URL obtido ao visualizar os detalhes do provedor cadastrado na Segura®.
    3. No campo Token Secreto, insira o access token. Para obter o access token, utilize uma ferramenta como o Postman, informando o Client ID e o Client Secret coletados na seção Crie um provedor no Segura®. Copie o access token gerado.
    4. Após preencher os campos, clique em Testar Conexão para testar a conexão com a Segura®. O Azure enviará uma requisição para a Segura® para validar a comunicação.
  12. Continue a configuração na seção Configure o mapeamento de usuários.
Atenção

O token gerado só é válido por uma hora. Assim que o tempo estimado finalizar, repita o processo. A Segura® oferece uma automação para realizar a geração de token, caso tenha interesse, entre em contato com o nosso time de suporte.

Configure o mapeamento de usuários

  1. Após criar um aplicativo empresarial, clique em Provision Microsoft Entra ID Users.
  2. Na seção Mapeamento de Atributos, exclua o parâmetro entitlements.value.
  3. Marque a caixa de seleção Mostrar opções avançadas e clique em Editar lista de atributos para customappsso.
  4. Na nova janela, crie os seguintes atributos:
    1. No atributo userName, marque a caixa de seleção da coluna Obrigatório?.
    2. No atributo email, não marque nenhuma caixa de seleção.
    3. No atributo displayName, não marque nenhuma caixa de seleção.
    4. No atributo name.givenName, não marque nenhuma caixa de seleção.
    5. No atributo name.formatted, não marque nenhuma caixa de seleção.
    6. No atributo active, não marque nenhuma caixa de seleção.
    7. Um novo atributo com o nome entitlements, do tipo String, e marque a caixa de seleção da coluna Valores Múltiplos?.
  5. Clique em Salvar.
  6. Retornando à seção Mapeamento de Atributos, clique em Adicionar Novo Mapeamento, e adicione os seguintes atributos como mapeamentos:
    1. Atributo userName:
      1. No campo Tipo de mapeamento, selecione Direto.
      2. No campo Atributo de origem *, selecione userPrincipalName.
      3. No campo Atributo de destino *, selecione userName.
    2. Atributo email:
      1. No campo Tipo de mapeamento, selecione Direto.
      2. No campo Atributo de origem *, selecione mail.
      3. No campo Atributo de destino *, selecione email.
    3. Atributo displayName:
      1. No campo Tipo de mapeamento, selecione Direto.
      2. No campo Atributo de origem *, selecione displayName.
      3. No campo Atributo de destino *, selecione displayName.
    4. Atributo name.givenName:
      1. No campo Tipo de mapeamento, selecione Direto.
      2. No campo Atributo de origem *, selecione givenName.
      3. No campo Atributo de destino *, selecione name.givenName.
    5. Atributo name.formatted:
      1. No campo Tipo de mapeamento, selecione Expressão.
      2. No campo Expressão, insira a expressão Join(“ “, [givenName], [surname]).
      3. No campo Atributo de destino *, selecione nameFormatted.
    6. Atributo active:
      1. No campo Tipo de mapeamento, selecione Expressão.
      2. No campo Expressão, insira a expressão Switch([IsSoftDeleted], , “False”, “True”, “True”, “False”).
      3. No campo Atributo de destino *, selecione nameFormatted.
    7. Atributo entitlements:
      1. No campo Tipo de mapeamento, selecione Expressão.
      2. No campo Expressão, insira a expressão AssertiveAppRoleAssignmentsComplex([appRoleAssignments]).
      3. No campo Atributo de destino *, selecione entitlements.
  7. Clique em Salvar e retorne para a tela inicial de provisionamento informada no passo 9. da seção Crie um aplicativo empresarial no Azure.

Habilite o provisionamento

Na tela inicial de configuração do provisionamento, habilite o campo Status do provisionamento.

A partir deste ponto, o provisionamento será executado, sincronizando os usuários do Azure AD com a Segura®.