Fluig - Identity - Comportamentos de sincronização de usuário e grupo entre Identity e Azure

Tempo aproximado para leitura: 00:03:00 min

Dúvida
É necessário manter o SmartSync para sincronizar os usuários com o Identity ou seria possível desativá-lo?
É possível realizar alguma configuração de exceção para que nem todos os usuários existentes no Azure possam acessar o Fluig automaticamente?

Ambiente
Fluig - Identity - Todas as versões

Solução

Não é necessário o SmartSync para autenticar via Microsoft Azure no TOTVS Identity. O SmartSync faz a sincronização do Active Directory local com o Identity, então se o cliente não possui mais o AD localmente, ele pode ser desativado. No entanto, o funcionamento da autenticação com Microsoft Azure e com o AD via SmartSync é diferente no Identity. O SmartSync importa usuários e grupos do AD e mantém eles sincronizados, então alterações de status dos usuários, adição ou remoção de grupos, tudo isto é replicado para o Identity, além do login funcionar com as credenciais do AD. Na autenticação com o Microsoft Azure não há sincronismo de usuários e grupos, o usuário será criado no primeiro login e depois disso não há mais alterações, então no caso do usuário ser modificado no Azure, essa alteração não será replicada no Identity. Ao desativar o SmartSync é preciso considerar que deixará de haver esse sincronismo de usuários e grupos.
É importante destacar que não há sincronismo de grupo com o Azure, apenas com o Smartsync e AD local isto é possível.
No Azure é necessário adicionar o usuário ao aplicativo criado para acesso do TOTVS Identity, se ele não estiver associado ao aplicativo Identity no Azure não deveria poder autenticar-se no Identity, esse é o comportamento esperado da autenticação.
No lado do Identity não temos como identificar, por exemplo, se usuário 'X' do Azure e usuário 'Y' do Azure podem acessar ou não. Se a requisição de login veio completa o usuário será logado. Nesse caso, é o Azure que deve gerar a requisição somente se o usuário tiver permissão no aplicativo TOTVS Identity, assim ao adicionar o usuário no Azure, não deve adicionar o aplicativo do Identity para que ele não tenha acesso ao Identity.
Além disso, no Identity é necessário que o usuário seja associado ao aplicativo Fluig para que o mesmo possa acessar o Fluig, então para que um usuário não seja criado no Fluig, é necessário que não seja feito o vínculo do mesmo diretamente ou via grupo ao aplicativo Fluig.

Saiba mais

• Identity | Gerenciar Active Directories
• Integração da plataforma com o Identity
• Identity | Quais as diferenças entre configuração do Azure (Entra ID) como Azure AD e como Provedor de login genérico?