Automações
Sincronização de utilizadores
Provisionamento, desprovisionamento e atualização de papéis automáticos a partir do seu identity provider — Entra ID, Google Workspace ou Okta. Joiner-mover-leaver sem tickets manuais de IT.
Atualizado em 18/05/2026
Configuração · Automação · 9.3
A sincronização de utilizadores mantém a base de utilizadores do Gfacility automaticamente alinhada com o seu identity provider — habitualmente Entra ID, por vezes Google Workspace ou Okta. Novos colaboradores recebem o papel certo de imediato; quem sai é bloqueado em segundos; as mudanças de papel seguem as mutações do RH sem o IT ter de intervir.
Porque importa para o negócio
"Novo colaborador, dia um, sem acesso"
Provisionamento SCIM ao ser criado no Entra → conta pronta para login.
"Ex-colega ainda ativo um mês depois"
Desprovisionamento em 5 min após desativação no IdP — sem janela de leaver.
"Promoção sem atualização de papel"
Mapeamento de grupos → grupo IdP "FM-managers" = papel Gfacility "Coordenador FM".
"Acumulação de permissões"
A sincronização sobrepõe-se a alterações manuais → fonte única de verdade, sem exceções invisíveis.
Modos de provisionamento
SCIM (push)
O IdP envia as alterações diretamente para o Gfacility. Tempo real, opção mais limpa para Entra e Okta.
Just-in-time
A conta é criada no primeiro login. Sem pré-provisionamento; papel deduzido de claims SAML/OIDC.
Sincronização agendada
O Gfacility lê o IdP a cada X minutos/horas. Funciona sem suporte SCIM; algum lag.
O que configura
| Campo | O que orienta |
|---|---|
| Sistema de origem | Entra · Google Workspace · Okta · AFAS · Workday. Um principal, opcionalmente um segundo para campos específicos. |
| Scope | Que OUs, que grupos de segurança, que licenças? Limite aos que precisam mesmo do Gfacility. |
| Mapeamento de campos | UPN → email, displayName → nome, department → departamento. Um para um ou via transformação. |
| Mapeamento de grupo para papel | Que grupo IdP corresponde a que papel Gfacility? Um para um ou vários grupos → um papel. |
| Comportamento de leaver | Desativar · anonimizar · acinzentar durante 30 dias · eliminar após X dias. |
| Política de conflito | O que fazer com uma alteração manual no Gfacility que a sincronização iria sobrepor? Normalmente "IdP ganha". |
| Frequência | Tempo real (SCIM) ou agendado (15min / 1h / dia). Rápido = pouco lag, pede mais quota. |
| Monitorização | Dashboard de estado, log de erros, alerta em > X registos falhados. |
Que decisões vai tomar?
Qual o IdP principal?
Entra é o padrão. O AFAS pode ser melhor fonte para departamento e centro de custo, com Entra para auth.
Utilizadores externos
Contratores via contas guest ou tenant separado? Just-in-time no primeiro login costuma ser prático.
Estratégia de leaver
Desativar imediato (segurança) vs acinzentar 30 dias (continuidade de reporting). Validado com o DPO.
Revisão periódica
Trimestral: os utilizadores ativos do Gfacility batem com os ativos no RH? Discrepância = problema de sincronização.