Skip to main content
O provisionamento SCIM mantém a associação ao seu workspace empresarial da Base44 sincronizada com o Microsoft Entra ID (anteriormente Azure AD). Você cria um aplicativo empresarial separado, conecta-o à Base44, mapeia funções e ativa a sincronização automática para que os membros sejam adicionados, atualizados e removidos por você. Para permitir que sua equipe faça login, configure o SSO para Microsoft Entra ID separadamente.
O provisionamento SCIM está disponível apenas em workspaces empresariais. Se você não vir esta opção, entre em contato com sua equipe de conta da Base44.

Antes de começar

Certifique-se de ter:
  • Acesso de proprietário ou administrador ao seu workspace empresarial da Base44.
  • Acesso de administrador ao Microsoft Entra admin center.
  • Sua SCIM Base URL, encontrada em Settings > Auth and security.
  • Uma Workspace API key, encontrada em Settings > Secrets.
Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted

Configurar o provisionamento SCIM

Crie um aplicativo empresarial Entra dedicado, conecte-o à Base44, mapeie suas funções e atributos, depois ative a sincronização automática.

Passo 1: Criar o aplicativo SCIM

Crie um aplicativo empresarial separado, sem galeria, para provisionamento. Para criar o aplicativo SCIM:
  1. No Microsoft Entra admin center, vá para Identity > Applications > Enterprise applications.
  2. Clique em New application, depois em Create your own application.
  3. Digite um nome (por exemplo, Base44 SCIM Provisioning) e selecione Integrate any other application you don’t find in the gallery.
  4. Clique em Create.

Passo 2: Conectar à Base44

Aponte o Entra para o seu workspace da Base44 usando sua SCIM Base URL e uma Workspace API key. Se você ainda não tem uma chave de API, crie uma primeiro. Para criar uma Workspace API key:
  1. Nas Settings do seu workspace, clique em Secrets.
  2. Clique em Create API Key.
  3. Digite um nome (por exemplo, Entra SCIM), adicione uma descrição opcional e clique em Create Key.
Base44 Create API Key dialog with a name entered
A Base44 mostra a chave completa apenas uma vez. Copie-a antes de fechar o diálogo e armazene-a em um lugar seguro, pois você a usa como o Secret Token abaixo.
Base44 API Key Created dialog showing the generated key
Para configurar o provisionamento:
  1. Abra o aplicativo e vá para Provisioning, depois clique em Get started.
  2. Defina Provisioning Mode como Automatic.
  3. Em Admin Credentials, defina:
    • Tenant URL: Sua SCIM Base URL com ?aadOptscim062020 adicionado ao final. O resultado parece com https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020.
    • Secret Token: Sua Workspace API key.
  4. Clique em Test Connection para confirmar uma conexão bem-sucedida.
  5. Clique em Save.
Antes de continuar, execute Test Connection e confirme que teve sucesso. Um teste com falha geralmente significa que a Tenant URL ou o Secret Token está errado.
Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token
O Entra requer o sufixo ?aadOptscim062020 na Tenant URL. Sem ele, o teste de conexão ou provisionamento pode falhar. Este sufixo é específico do Entra, portanto não o adicione para outros provedores de identidade.

Passo 3: Mapear externalId

Por padrão, o Entra corresponde aos usuários em um valor que pode mudar. Mapear externalId para objectId, um identificador único estável, permite que a Base44 corresponda de forma confiável cada usuário para atualizações e desativação. Para atualizar o mapeamento:
  1. Em Mappings, clique em Provision Microsoft Entra ID Users.
  2. Na tabela de mapeamento, encontre a linha onde o Target attribute é exatamente externalId.
  3. Clique nessa linha e altere o Source attribute para objectId.
  4. Clique em Ok, depois em Save.
Entra Edit Attribute panel with the source attribute set to objectId
Depois de salvar, o mapeamento atualizado aparece na tabela de atributos, com externalId mapeado para objectId.
Entra attribute mappings table with externalId mapped to objectId

Passo 4: Adicionar atributos personalizados

Os campos de função e limite de crédito da Base44 não estão na lista de destino padrão do Entra, então adicione-os antes de poder mapeá-los. Para adicionar os atributos:
  1. Na tela de mapeamento Provision Microsoft Entra ID Users, role até a parte inferior e marque Show advanced options.
  2. Clique em Edit attribute list for seu aplicativo.
  3. Na parte inferior da lista, adicione:
    • Role: urn:base44:params:scim:schemas:extension:user:2.0:role, com Type definido como String.
    • Credit limit (opcional): urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, com Type definido como Integer.
  4. Clique em Save e confirme a alteração.
Entra Edit attribute list with the Base44 role URN added as a String

Passo 5: Criar funções de aplicativo

Você cria funções em App registrations, não em Enterprise applications. Os aplicativos empresariais são apenas onde você as atribui. Para criar funções de aplicativo:
  1. No Microsoft Entra admin center, vá para App registrations e abra a aba All applications.
  2. Selecione seu aplicativo SCIM.
  3. Clique em App roles, depois em Create app role.
  4. Crie uma função separada para cada nível de permissão da Base44: admin, editor e viewer.
  5. No campo Value, digite a string exata em minúsculas que a Base44 espera (admin, editor ou viewer).
  6. Clique em Apply.
Entra Create app role panel
Crie uma função para cada nível de permissão. Uma vez criadas, todas as 3 aparecem na lista App roles do aplicativo.
Entra App roles list showing the admin, editor, and viewer roles

Passo 6: Mapear função e limite de crédito

O Entra armazena funções como uma matriz, mas a Base44 espera um único valor de texto, então a função deve ser mapeada com uma expressão em vez de um mapeamento direto. Para mapear a função:
  1. Vá para Enterprise applications > seu aplicativo SCIM > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
  2. Clique em Add New Mapping, ou edite a linha de função existente.
  3. Defina Mapping type como Expression.
  4. No campo Expression, insira: SingleAppRoleAssignment([appRoleAssignments])
  5. Defina Target attribute como urn:base44:params:scim:schemas:extension:user:2.0:role.
  6. Defina Match objects using this attribute como No, e Apply this mapping como Always.
  7. Clique em Ok.
Entra expression mapping for the role field using SingleAppRoleAssignment
Definir um limite de crédito é opcional. Sem um, o membro consome do pool compartilhado de créditos do workspace sem limite individual. Adicione um limite de crédito apenas se você quiser limitar quantos créditos um membro específico pode usar por mês. Para mapear um limite de crédito (opcional):
  1. Insira o valor do limite de crédito no perfil Entra do usuário em um campo de extensão integrado, por exemplo extensionAttribute1.
  2. Clique em Add New Mapping e defina Mapping type como Direct.
  3. Defina Source attribute como extensionAttribute1.
  4. Defina Target attribute como urn:base44:params:scim:schemas:extension:user:2.0:creditLimit.
  5. Clique em Ok, depois em Save.

Passo 7: Atribuir e provisionar

Escolha quem provisionar, dê-lhes uma função e inicie a sincronização. Para atribuir usuários:
  1. Vá para Enterprise applications > seu aplicativo SCIM > Users and groups.
  2. Clique em Add user/group e selecione os usuários ou grupos a provisionar.
  3. Em Select a role, escolha a função que você criou (admin, editor ou viewer), depois clique em Assign.
Para ativar o provisionamento:
  1. Vá para Provisioning.
  2. Defina Provisioning Status como On.
O Entra começa a sincronizar os usuários atribuídos com seu workspace da Base44.
Se o botão Edit para um usuário estiver acinzentado, marque a caixa ao lado do usuário, clique em Remove, depois adicione-o novamente com a função correta.

Passo 8: Atualizar usuários existentes

Se você alterou o mapeamento externalId depois que alguns usuários já foram provisionados, atualize seus registros para que eles peguem o objectId correto. Para atualizar usuários existentes:
  1. Vá para Provisioning > Provision on demand.
  2. Pesquise o usuário e execute o provisionamento para atualizar seu registro.
  3. Para aplicar isso a todos, volte para a página principal Provisioning e clique em Restart provisioning.

Funções e limites de crédito

A Base44 aceita apenas as seguintes funções via SCIM. Mapeie suas funções de aplicativo Entra para esses valores exatos.
FunçãoO que podem fazer
adminGerenciar membros, faturamento e configurações do workspace
editorConstruir, editar e executar aplicativos; consome créditos do pool do workspace
viewerAcesso somente leitura a aplicativos; não consome créditos
Os limites de crédito se aplicam apenas às funções admin e editor, já que viewers não consomem créditos. Definir um limite de crédito de 0 é tratado como sem limite. Você também pode definir limites de crédito diretamente no seu workspace, sem SCIM. Veja Gerenciando membros do workspace empresarial.
Os proprietários do workspace não podem ser atualizados ou desativados por meio do SCIM. Promova ou rebaixe proprietários nas configurações do seu workspace.

Perguntas frequentes

Selecione uma pergunta abaixo para saber mais sobre o provisionamento SCIM do Entra.
Sim. O provisionamento SCIM usa um Enterprise application dedicado, enquanto o login usa um App registration separado. Configure o provisionamento no Enterprise application e configure o login separadamente. Veja SSO para Microsoft Entra ID.
Confirme se sua Tenant URL termina com ?aadOptscim062020 e se o Secret Token é sua Workspace API key de Settings > Secrets. Verifique se a SCIM Base URL foi copiada de Settings > Auth and security e não foi alterada.
O Entra armazena funções como uma matriz, então um mapeamento Direct falha. Defina o tipo de mapeamento da função como Expression e use SingleAppRoleAssignment([appRoleAssignments]). Certifique-se de que o Value de cada função de aplicativo é exatamente admin, editor ou viewer em minúsculas.
Adicione-o primeiro. Na tela de mapeamento, marque Show advanced options, clique em Edit attribute list, adicione o URN completo (por exemplo, urn:base44:params:scim:schemas:extension:user:2.0:role), depois salve. O campo se torna disponível no menu suspenso depois.
Certifique-se de que externalId esteja mapeado para objectId. Se os usuários foram provisionados antes de você alterar este mapeamento, use Provision on demand para atualizar cada usuário, ou Restart provisioning para atualizar todos.
Esta página foi traduzida usando IA. Para informações mais precisas e atualizadas, consulte a versão em inglês.