Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as etapas que você precisa executar no Google (Google Cloud ou Google Workspace) e na ID do Microsoft Entra para configurar o provisionamento automático de usuário. Quando configurada, a ID do Microsoft Entra provisiona e desprovisiona automaticamente usuários e grupos no Google Workspace usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Observação
Este artigo descreve um conector desenvolvido com base no serviço de provisionamento de usuários do Microsoft Entra para o Google G Suite, que era o nome anterior do Google Workspace. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Funcionalidades com suporte
- Criar usuários no G Suite
- Remova os usuários no G Suite quando eles não precisarem mais de acesso (observação: remover um usuário do escopo de sincronização não resulta na exclusão do objeto no G Suite)
- Manter os atributos de usuário sincronizados entre o Microsoft Entra ID e o G Suite
- Provisionar grupos e associações de grupo no G Suite
- Logon único no G Suite (recomendado)
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
- Uma das seguintes funções:
- Um locatário do G Suite
- Uma conta de usuário no G Suite com permissões de Administrador.
Etapa 1: planejar a implantação de provisionamento
- Saiba mais sobre como funciona o serviço de provisionamento.
- Determine quem está no escopo do provisionamento.
- Determine quais dados devem ser mapeados entre o Microsoft Entra ID e o G Suite.
Etapa 2: Configurar o G Suite para dar suporte ao provisionamento com o Microsoft Entra ID
Antes de configurar o G Suite para o provisionamento automático de usuário com o Microsoft Entra ID, você precisará habilitar o provisionamento do SCIM no G Suite.
Entre no console do Administrador do G Suite com sua conta de administrador, selecione o menu Principal e selecione Segurança. Se você não vê-lo, ele pode estar escondido sob o menu Mostrar mais.
Navegue até Segurança –> Acesso e controle de dados –> Controles de API . Marque a caixa de seleção Confiar em aplicativos internos, de propriedade do domínio e, em seguida, selecione SALVAR
Importante
Todo usuário que você pretende provisionar no G Suite precisa ter o nome de usuário no Microsoft Entra ID vinculado a um domínio personalizado. Por exemplo, nomes de usuário com aparência bob@contoso.onmicrosoft.com não são aceitos pelo G Suite. Por outro lado, bob@contoso.com é aceito. Altere o domínio de um usuário existente seguindo as instruções descritas aqui.
Depois de adicionar e verificar os domínios personalizados desejados com o Microsoft Entra ID, você deverá verificá-los novamente com o G Suite. Para verificar os domínios no G Suite, veja as seguintes etapas:
No Console de administração do G Suite, navegue até Conta- >Domínios- > Gerenciar Domínios.
Na página Gerenciar Domínio, selecione Adicionar um domínio.
Na página Adicionar domínio, digite o nome do domínio que você deseja adicionar.
Selecione Adicionar Domínio & Iniciar Verificação. Em seguida, siga as etapas para verificar se você possui o nome de domínio. Para obter instruções completas sobre como confirmar seu domínio no Google, confira Confirmar sua propriedade do site.
Repita as etapas anteriores para os domínios adicionais que você pretende adicionar ao G Suite.
Depois, determine a conta do administrador que deseja usar para gerenciar o provisionamento de usuário no G Suite. Acesse Conta- >Funções de administrador.
Para a função Administrador dessa conta, edite os Privilégios da função. Verifique se você habilitou todos os Privilégios de API de Administrador, de modo que essa conta possa ser usada para o provisionamento.
Etapa 3: Adicionar o G Suite por meio da galeria de aplicativos do Microsoft Entra
Adicione o G Suite por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no G Suite. Se você já configurou o G Suite para SSO, use o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo separado ao testar a integração inicialmente. Saiba mais sobre como adicionar um aplicativo da galeria aqui.
Etapa 4: Definir quem está no escopo de provisionamento
O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo ou com base em atributos do usuário ou do grupo. Se você optar por determinar quem será provisionado para seu aplicativo com base em atribuições, poderá seguir as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas em atributos do usuário ou grupo, poderá usar um filtro de escopo.
Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Quando o escopo de provisionamento é definido para usuários e grupos atribuídos, é possível controlar isso atribuindo um ou dois usuários ou grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, é possível especificar um atributo com base no filtro de escopo.
Se precisar de funções extras, você poderá atualizar o manifesto do aplicativo para adicionar novas funções.
Etapa 5: Configurar o provisionamento automático de usuário no G Suite
Essa seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base nas atribuições de usuário e/ou de grupo do Microsoft Entra ID.
Observação
Para saber mais sobre o ponto de extremidade da API do Diretório do G Suite, confira a documentação de referência da API do Diretório.
Para configurar o provisionamento automático de usuário para o G Suite no Microsoft Entra ID:
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue para Entra ID>Aplicativos corporativos.
Na lista de aplicativos, selecione G Suite.
Selecione a guia Provisionamento . Selecione Introdução.
Defina o Modo de Provisionamento como Automático.
Na seção Credenciais de Administrador , selecione Autorizar. Você é redirecionado para uma caixa de diálogo de autorização do Google em uma nova janela do navegador.
Confirme que deseja dar permissão ao Microsoft Entra para fazer alterações no seu locatário do G Suite. Selecione Aceitar.
Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao G Suite. Se a conexão falhar, verifique se a sua conta do G Suite tem permissões de Administrador e tente novamente. Em seguida, tente a etapa Autorizar novamente.
No campo Notificação por Email, insira o endereço de email de uma pessoa ou grupo que deverá receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.
Clique em Salvar.
Na seção Mapeamentos, selecione Provisionar usuários do Microsoft Entra.
Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID com o G Suite na seção Mapeamento de Atributos. Selecione o botão Salvar para confirmar as alterações.
Observação
Atualmente, o Provisionamento do G Suite dá suporte apenas ao uso do primaryEmail como o atributo correspondente.
| Atributo | Tipo |
|---|---|
| primaryEmail | fio |
| Relações. [type eq "manager"].value | fio |
| name.familyName | fio |
| name.givenName | fio |
| suspenso | fio |
| externalIds. [type eq "custom"].value | fio |
| externalIds.[type eq "organization"].value | fio |
| Endereços. [type eq "work"].país | fio |
| Endereços.[tipo eq "work"].streetAddress | fio |
| Endereços. [type eq "work"].região | fio |
| endereços.[tipo eq "trabalho"].localidade | fio |
| Endereços. [digite eq "work"].postalCode | fio |
| E-mails. [type eq "work"].address | fio |
| Organizações.[type eq "work"].departamento | fio |
| Organizações. [type eq "work"].title | fio |
| phoneNumbers.[type eq "trabalho"].value | fio |
| phoneNumbers.[type eq "mobile"].value | fio |
| numerosDeTelefone.[type eq "work_fax"].value | fio |
| e-mails.[type eq "work"].endereço | fio |
| Organizações.[type eq "work"].departamento | fio |
| Organizações. [type eq "work"].title | fio |
| endereços.[tipo eq "home"].país | fio |
| Endereços. [tipo eq "home"].formatado | fio |
| Endereços. [digite eq "home"].localidade | fio |
| Endereços. [tipo igual a "home"].códigoPostal | fio |
| Endereços.[type eq "home"].região | fio |
| Endereços. [type eq "home"].streetAddress | fio |
| endereços.[type eq "other"].país | fio |
| Endereços.[tipo eq "outro"].formatado | fio |
| endereços.[type eq "other"].localidade | fio |
| Endereços. [digite eq "other"].postalCode | fio |
| Endereços. [type eq "other"].região | fio |
| Endereços.[tipo eq "outro"].endereçoRua | fio |
| endereços.[tipo eq "trabalho"].formatado | fio |
| changePasswordAtNextLogin | fio |
| emails.[tipo eq "residencial"].address | fio |
| E-mails. [type eq "other"].address | fio |
| externalIds.[type eq "account"].value | fio |
| externalIds.[type eq "custom"].customType | fio |
| externalIds.[tipo eq "customer"].value | fio |
| externalIds.[type eq "login_id"].value | fio |
| externalIds.[tipo eq "network"].value | fio |
| gender.type | fio |
| GeneratedImmutableId | fio |
| Identificador | fio |
| ims.[type eq "home"].protocolo | fio |
| ims. [type eq "other"].protocol | fio |
| Ims.[type eq "work"].protocol | fio |
| includeInGlobalAddressList | fio |
| ipWhitelisted | fio |
| Organizações.[type eq "escola"].centroDeCusto | fio |
| organizações.[tipo eq "escola"].departamento | fio |
| Organizações.[tipo eq "school"].domínio | fio |
| Organizações. [type eq "school"].fullTimeEquivalent | fio |
| organizações.[tipo eq "escola"].localização | fio |
| Organizações.[tipo eq "escola"].nome | fio |
| organizações.[tipo eq "school"].symbol | fio |
| Organizações. [type eq "school"].title | fio |
| Organizações. [type eq "work"].costCenter | fio |
| organizações.[type eq "work"].domínio | fio |
| Organizações. [type eq "work"].fullTimeEquivalent | fio |
| Organizações. [type eq "trabalho"].localização | fio |
| Nome de organizações.[tipo eq "work"] | fio |
| Organizações.[type eq "work"].símbolo | fio |
| OrgUnitPath | fio |
| phoneNumbers.[type eq "home"].value | fio |
| númerosDeTelefone.[type eq "other"].value | fio |
| Sites. [type eq "home"].value | fio |
| sites.[type eq "other"].value | fio |
| sites.[type eq "work"].value | fio |
Na seção Mapeamentos, selecione Provisionar grupos do Microsoft Entra.
Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID com o G Suite na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazerem a correspondência dos grupos no G Suite nas operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo email fio Membros fio nome fio descrição fio Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo de filtro de escopo .
Para habilitar o serviço de provisionamento do Microsoft Entra para o G Suite, altere o Status de provisionamento para Ativado na seção Configurações.
Defina os usuários e/ou os grupos que deseja provisionar no G Suite escolhendo os valores desejados em Escopo na seção Configurações.
Quando estiver pronto para provisionar, selecione Salvar.
Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.
Observação
Se os usuários já tiverem uma conta pessoal/consumidor existente usando o endereço de email do usuário do Microsoft Entra, isso poderá causar algum problema, que pode ser resolvido usando a Ferramenta de Transferência do Google antes de executar a sincronização de diretório.
Etapa 6: Monitorar a implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Utilize os logs de provisionamento para determinar quais usuários foram provisionados com sucesso ou sem sucesso.
- Confira a barra de progresso para ver o status do ciclo de provisionamento e quanto falta para a conclusão
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena no artigo estado de quarentena de provisionamento de aplicativos.
Dicas de solução de problemas
- Remover um usuário do escopo de sincronização o desabilita no GSuite, mas não resulta na exclusão do usuário no G Suite
Acesso aos aplicativos Just-In-Time (JIT) com PIM para grupos
Com o PIM para Grupos, você pode fornecer acesso just-in-time a grupos no Google Cloud/Google Workspace e reduzir o número de usuários que têm acesso permanente a grupos privilegiados no Google Cloud/Google Workspace.
Configurar seu aplicativo empresarial para SSO e provisionamento
- Adicione o Google Cloud/Google Workspace ao seu locatário, configure-o para provisionamento conforme descrito neste artigo e inicie o provisionamento.
- Configure o logon único para o Google Cloud/Google Workspace.
- Crie um grupo que fornecerá a todos os usuários acesso ao aplicativo.
- Atribua o grupo ao aplicativo do Google Cloud/Google Workspace.
- Atribua o usuário de teste como um membro direto do grupo criado na etapa anterior ou forneça-lhes acesso ao grupo por meio de um pacote de acesso. Esse grupo pode ser usado para acesso persistente e não administrador no Google Cloud/Google Workspace.
Habilitar o PIM para grupos
- Crie um segundo grupo no Microsoft Entra ID. Esse grupo fornece acesso a permissões de administrador no Google Cloud/Google Workspace.
- Colocar o grupo no gerenciamento no PIM do Microsoft Entra.
- Atribua o usuário de teste como qualificado para o grupo no PIM com a função definida como membro.
- Atribua o segundo grupo ao aplicativo do Google Cloud/Google Workspace.
- Use o provisionamento sob demanda para criar o grupo no Google Cloud/Google Workspace.
- Entre no Google Cloud/Google Workspace e atribua ao segundo grupo as permissões necessárias para executar tarefas de administrador.
Agora, qualquer usuário final que se tornou qualificado para o grupo no PIM pode obter acesso JIT ao grupo no Google Cloud/Google Workspace ativando sua associação de grupo. Quando a atribuição expirar, o usuário será removido do grupo no Google Cloud/Google Workspace. Durante o próximo ciclo incremental, o serviço de provisionamento tentará remover o usuário do grupo novamente. Isso pode resultar em um erro nos logs de provisionamento. Esse erro é esperado porque a associação de grupo já foi removida. A mensagem de erro pode ser ignorada.
- Quanto tempo leva para que um usuário seja provisionado para o aplicativo?
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação da sua associação ao grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
- Quando um usuário ativa a associação ao grupo no PIM do Microsoft Entra ID:
- A associação ao grupo é provisionada em dois a dez minutos. Quando há uma alta taxa de solicitações ao mesmo tempo, as solicitações são limitadas a uma taxa de cinco solicitações por 10 segundos.
- Para os primeiros cinco usuários em um período de dez segundos que ativam a associação ao grupo para um aplicativo específico, a associação ao grupo é provisionada no aplicativo dentro de dois a dez minutos.
- Para os usuários a partir do sexto que ativam sua associação ao grupo para um aplicativo específico dentro de um período de 10 segundos, a associação ao grupo é atribuída ao aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os parâmetros de limitação são por aplicativo empresarial.
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação da sua associação ao grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- Se o usuário não conseguir acessar o grupo necessário no Google Cloud/Google Workspace, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo foi atualizada com êxito. Dependendo de como o aplicativo de destino é projetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
- Você pode criar alertas para falhas usando o Azure Monitor.
Log de alterações
- 17/10/2020 – Adição de suporte a mais atributos de usuário e grupo do G Suite.
- 17/10/2020 – Atualização dos nomes de atributos de destino do G Suite para que correspondam ao que está definido aqui.
- 17/10/2020 – Atualização dos mapeamentos de atributo padrão.
Mais recursos
- Gerenciamento do provisionamento de contas de usuário para Aplicativos Empresariais
- O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?