> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurando o provisionamento SCIM para Microsoft Entra ID

> Sincronize automaticamente seus usuários do Microsoft Entra ID com seu workspace empresarial da Base44 usando SCIM.

O provisionamento SCIM mantém a associação ao seu workspace empresarial da Base44 sincronizada com o Microsoft Entra ID (anteriormente Azure AD). Você cria um aplicativo empresarial separado, conecta-o à Base44, mapeia funções e ativa a sincronização automática para que os membros sejam adicionados, atualizados e removidos por você. Para permitir que sua equipe faça login, configure o [SSO para Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO) separadamente.

<Warning>
  O provisionamento SCIM está disponível apenas em workspaces empresariais. Se você não vir esta opção, entre em contato com sua equipe de conta da Base44.
</Warning>

***

## Antes de começar

Certifique-se de ter:

* Acesso de proprietário ou administrador ao seu workspace empresarial da Base44.
* Acesso de administrador ao [Microsoft Entra admin center](https://entra.microsoft.com).
* Sua **SCIM Base URL**, encontrada em **Settings** > **Auth and security**.
* Uma **Workspace API key**, encontrada em **Settings** > **Secrets**.

<Frame caption="The SCIM Base URL lives in Settings > Auth and security">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-entra.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=4a75713038920e61bb9d6f667153ba6a" alt="Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted" width="1264" height="968" data-path="images/SCIM-entra.png" />
</Frame>

***

## Configurar o provisionamento SCIM

Crie um aplicativo empresarial Entra dedicado, conecte-o à Base44, mapeie suas funções e atributos, depois ative a sincronização automática.

### Passo 1: Criar o aplicativo SCIM

Crie um aplicativo empresarial separado, sem galeria, para provisionamento.

**Para criar o aplicativo SCIM:**

1. No Microsoft Entra admin center, vá para **Identity** > **Applications** > **Enterprise applications**.
2. Clique em **New application**, depois em **Create your own application**.
3. Digite um nome (por exemplo, `Base44 SCIM Provisioning`) e selecione **Integrate any other application you don't find in the gallery**.
4. Clique em **Create**.

### Passo 2: Conectar à Base44

Aponte o Entra para o seu workspace da Base44 usando sua SCIM Base URL e uma Workspace API key. Se você ainda não tem uma chave de API, crie uma primeiro.

**Para criar uma Workspace API key:**

1. Nas **Settings** do seu workspace, clique em **Secrets**.
2. Clique em **Create API Key**.
3. Digite um nome (por exemplo, `Entra SCIM`), adicione uma descrição opcional e clique em **Create Key**.

<Frame caption="Naming the new API key in Settings > Secrets">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-API-Key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=a0b4d6721d54fa6162e9edc7575b468c" alt="Base44 Create API Key dialog with a name entered" width="1813" height="948" data-path="images/SCIM-API-Key.png" />
</Frame>

A Base44 mostra a chave completa apenas uma vez. Copie-a antes de fechar o diálogo e armazene-a em um lugar seguro, pois você a usa como o **Secret Token** abaixo.

<Frame caption="Copy the key while it is shown. You cannot view it again after closing the dialog.">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-new-api-key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=1dbb003d20da92d195b3d9069b1b34b5" alt="Base44 API Key Created dialog showing the generated key" width="1777" height="937" data-path="images/SCIM-new-api-key.png" />
</Frame>

**Para configurar o provisionamento:**

1. Abra o aplicativo e vá para **Provisioning**, depois clique em **Get started**.
2. Defina **Provisioning Mode** como **Automatic**.
3. Em **Admin Credentials**, defina:
   * **Tenant URL:** Sua SCIM Base URL com `?aadOptscim062020` adicionado ao final. O resultado parece com `https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020`.
   * **Secret Token:** Sua Workspace API key.
4. Clique em **Test Connection** para confirmar uma conexão bem-sucedida.
5. Clique em **Save**.

<Tip>
  Antes de continuar, execute **Test Connection** e confirme que teve sucesso. Um teste com falha geralmente significa que a Tenant URL ou o Secret Token está errado.
</Tip>

<Frame caption="Setting the Tenant URL and Secret Token on the Entra Provisioning screen">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-provisioning.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=2bde8648cd62a7f3ddc66ccb62d779d7" alt="Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token" width="1644" height="1059" data-path="images/Entra-provisioning.png" />
</Frame>

<Warning>
  O Entra requer o sufixo `?aadOptscim062020` na Tenant URL. Sem ele, o teste de conexão ou provisionamento pode falhar. Este sufixo é específico do Entra, portanto não o adicione para outros provedores de identidade.
</Warning>

### Passo 3: Mapear externalId

Por padrão, o Entra corresponde aos usuários em um valor que pode mudar. Mapear `externalId` para `objectId`, um identificador único estável, permite que a Base44 corresponda de forma confiável cada usuário para atualizações e desativação.

**Para atualizar o mapeamento:**

1. Em **Mappings**, clique em **Provision Microsoft Entra ID Users**.
2. Na tabela de mapeamento, encontre a linha onde o **Target attribute** é exatamente `externalId`.
3. Clique nessa linha e altere o **Source attribute** para `objectId`.
4. Clique em **Ok**, depois em **Save**.

<Frame caption="Selecting objectId as the source attribute for externalId">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-edit-attribute.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=c8406da7373aef1680268d0d5227703c" alt="Entra Edit Attribute panel with the source attribute set to objectId" width="1306" height="1073" data-path="images/Entra-edit-attribute.png" />
</Frame>

Depois de salvar, o mapeamento atualizado aparece na tabela de atributos, com `externalId` mapeado para `objectId`.

<Frame caption="externalId mapped to objectId on the Provision Microsoft Entra ID Users screen">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Configuring-the-SCIM-Connection.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=62cf0e7255b82d516c93cb0ae6506b2c" alt="Entra attribute mappings table with externalId mapped to objectId" width="1623" height="824" data-path="images/Configuring-the-SCIM-Connection.png" />
</Frame>

### Passo 4: Adicionar atributos personalizados

Os campos de função e limite de crédito da Base44 não estão na lista de destino padrão do Entra, então adicione-os antes de poder mapeá-los.

**Para adicionar os atributos:**

1. Na tela de mapeamento **Provision Microsoft Entra ID Users**, role até a parte inferior e marque **Show advanced options**.
2. Clique em **Edit attribute list for** seu aplicativo.
3. Na parte inferior da lista, adicione:
   * **Role:** `urn:base44:params:scim:schemas:extension:user:2.0:role`, com **Type** definido como `String`.
   * **Credit limit (opcional):** `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`, com **Type** definido como `Integer`.
4. Clique em **Save** e confirme a alteração.

<Frame caption="Adding the Base44 role attribute in the Edit attribute list">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-edit-list.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=0f39296fe43cb64489a0163d2408dc03" alt="Entra Edit attribute list with the Base44 role URN added as a String" width="1639" height="957" data-path="images/SCIM-edit-list.png" />
</Frame>

### Passo 5: Criar funções de aplicativo

Você cria funções em **App registrations**, não em **Enterprise applications**. Os aplicativos empresariais são apenas onde você as atribui.

**Para criar funções de aplicativo:**

1. No Microsoft Entra admin center, vá para **App registrations** e abra a aba **All applications**.
2. Selecione seu aplicativo SCIM.
3. Clique em **App roles**, depois em **Create app role**.
4. Crie uma função separada para cada nível de permissão da Base44: `admin`, `editor` e `viewer`.
5. No campo **Value**, digite a string exata em minúsculas que a Base44 espera (`admin`, `editor` ou `viewer`).
6. Clique em **Apply**.

<Frame caption="Creating an app role for a Base44 permission level">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/create-app-role.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=de9d39f98226c84df4992bdc72fa5d16" alt="Entra Create app role panel" width="574" height="621" data-path="images/create-app-role.png" />
</Frame>

Crie uma função para cada nível de permissão. Uma vez criadas, todas as 3 aparecem na lista **App roles** do aplicativo.

<Frame caption="The admin, editor, and viewer app roles in Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-app-roles.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=e7c00dfa3ed50db30d624028876fbf66" alt="Entra App roles list showing the admin, editor, and viewer roles" width="1291" height="706" data-path="images/SCIM-app-roles.png" />
</Frame>

### Passo 6: Mapear função e limite de crédito

O Entra armazena funções como uma matriz, mas a Base44 espera um único valor de texto, então a função deve ser mapeada com uma expressão em vez de um mapeamento direto.

**Para mapear a função:**

1. Vá para **Enterprise applications** > seu aplicativo SCIM > **Provisioning** > **Edit attribute mapping** > **Provision Microsoft Entra ID Users**.
2. Clique em **Add New Mapping**, ou edite a linha de função existente.
3. Defina **Mapping type** como **Expression**.
4. No campo **Expression**, insira: `SingleAppRoleAssignment([appRoleAssignments])`
5. Defina **Target attribute** como `urn:base44:params:scim:schemas:extension:user:2.0:role`.
6. Defina **Match objects using this attribute** como **No**, e **Apply this mapping** como **Always**.
7. Clique em **Ok**.

<Frame caption="Mapping the role with the SingleAppRoleAssignment expression">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-mapping-role-field.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=bea562304a4babea4a11992f1bf1cb85" alt="Entra expression mapping for the role field using SingleAppRoleAssignment" width="792" height="741" data-path="images/SCIM-mapping-role-field.png" />
</Frame>

Definir um limite de crédito é opcional. Sem um, o membro consome do pool compartilhado de créditos do workspace sem limite individual. Adicione um limite de crédito apenas se você quiser limitar quantos créditos um membro específico pode usar por mês.

**Para mapear um limite de crédito (opcional):**

1. Insira o valor do limite de crédito no perfil Entra do usuário em um campo de extensão integrado, por exemplo `extensionAttribute1`.
2. Clique em **Add New Mapping** e defina **Mapping type** como **Direct**.
3. Defina **Source attribute** como `extensionAttribute1`.
4. Defina **Target attribute** como `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`.
5. Clique em **Ok**, depois em **Save**.

### Passo 7: Atribuir e provisionar

Escolha quem provisionar, dê-lhes uma função e inicie a sincronização.

**Para atribuir usuários:**

1. Vá para **Enterprise applications** > seu aplicativo SCIM > **Users and groups**.
2. Clique em **Add user/group** e selecione os usuários ou grupos a provisionar.
3. Em **Select a role**, escolha a função que você criou (`admin`, `editor` ou `viewer`), depois clique em **Assign**.

**Para ativar o provisionamento:**

1. Vá para **Provisioning**.
2. Defina **Provisioning Status** como **On**.

O Entra começa a sincronizar os usuários atribuídos com seu workspace da Base44.

<Note>
  Se o botão **Edit** para um usuário estiver acinzentado, marque a caixa ao lado do usuário, clique em **Remove**, depois adicione-o novamente com a função correta.
</Note>

### Passo 8: Atualizar usuários existentes

Se você alterou o mapeamento `externalId` depois que alguns usuários já foram provisionados, atualize seus registros para que eles peguem o `objectId` correto.

**Para atualizar usuários existentes:**

1. Vá para **Provisioning** > **Provision on demand**.
2. Pesquise o usuário e execute o provisionamento para atualizar seu registro.
3. Para aplicar isso a todos, volte para a página principal **Provisioning** e clique em **Restart provisioning**.

***

## Funções e limites de crédito

A Base44 aceita apenas as seguintes funções via SCIM. Mapeie suas funções de aplicativo Entra para esses valores exatos.

| Função   | O que podem fazer                                                               |
| -------- | ------------------------------------------------------------------------------- |
| `admin`  | Gerenciar membros, faturamento e configurações do workspace                     |
| `editor` | Construir, editar e executar aplicativos; consome créditos do pool do workspace |
| `viewer` | Acesso somente leitura a aplicativos; não consome créditos                      |

Os limites de crédito se aplicam apenas às funções `admin` e `editor`, já que viewers não consomem créditos. Definir um limite de crédito de `0` é tratado como sem limite. Você também pode definir limites de crédito diretamente no seu workspace, sem SCIM. Veja [Gerenciando membros do workspace empresarial](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Os proprietários do workspace não podem ser atualizados ou desativados por meio do SCIM. Promova ou rebaixe proprietários nas configurações do seu workspace.
</Note>

***

## Perguntas frequentes

Selecione uma pergunta abaixo para saber mais sobre o provisionamento SCIM do Entra.

<AccordionGroup>
  <Accordion title="Preciso de aplicativos Entra separados para SSO e SCIM?">
    Sim. O provisionamento SCIM usa um **Enterprise application** dedicado, enquanto o login usa um **App registration** separado. Configure o provisionamento no Enterprise application e configure o login separadamente. Veja [SSO para Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).
  </Accordion>

  <Accordion title="Por que o teste de conexão SCIM falha?">
    Confirme se sua Tenant URL termina com `?aadOptscim062020` e se o Secret Token é sua Workspace API key de **Settings** > **Secrets**. Verifique se a SCIM Base URL foi copiada de **Settings** > **Auth and security** e não foi alterada.
  </Accordion>

  <Accordion title="Por que a função não está sincronizando, ou por que o provisionamento falha no campo da função?">
    O Entra armazena funções como uma matriz, então um mapeamento **Direct** falha. Defina o tipo de mapeamento da função como **Expression** e use `SingleAppRoleAssignment([appRoleAssignments])`. Certifique-se de que o **Value** de cada função de aplicativo é exatamente `admin`, `editor` ou `viewer` em minúsculas.
  </Accordion>

  <Accordion title="Por que meu atributo personalizado da Base44 não está no menu suspenso Target attribute?">
    Adicione-o primeiro. Na tela de mapeamento, marque **Show advanced options**, clique em **Edit attribute list**, adicione o URN completo (por exemplo, `urn:base44:params:scim:schemas:extension:user:2.0:role`), depois salve. O campo se torna disponível no menu suspenso depois.
  </Accordion>

  <Accordion title="Por que os usuários são atualizados para o registro errado após o novo provisionamento?">
    Certifique-se de que `externalId` esteja mapeado para `objectId`. Se os usuários foram provisionados antes de você alterar este mapeamento, use **Provision on demand** para atualizar cada usuário, ou **Restart provisioning** para atualizar todos.
  </Accordion>
</AccordionGroup>

<Note>Esta página foi traduzida usando IA. Para informações mais precisas e atualizadas, consulte a [versão em inglês](/). </Note>
