Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Microsoft Entra ID термин предоставление приложений означает автоматическое создание удостоверений пользователей и ролей для приложений.
Microsoft Entra автоматическое управление доступом к приложениям относится к созданию учетных записей пользователей и ролей в приложениях, к которым пользователям требуется доступ. Кроме создания учетных записей пользователей, автоматическое предоставление включает в себя управление и удаление учетных записей пользователей по мере изменения статуса или ролей. Распространенные сценарии включают подготовку пользователя Microsoft Entra в приложения SaaS, такие как Dropbox, Salesforce, ServiceNow и многое другое.
Microsoft Entra ID также поддерживает развертывание пользователей в приложениях, расположенных локально в организации или на виртуальной машине, без необходимости настроек брандмауэра. В таблице ниже приведено сопоставление протоколов с поддерживаемыми соединителями.
| Протокол | Соединитель |
|---|---|
| SCIM (Система управления идентификацией в междоменной среде) |
SCIM — SaaS SCIM — локальная или частная сеть |
| LDAP | LDAP |
| SQL | SQL |
| ОТДЫХ | Веб-службы |
| Протокол SOAP | Веб-службы |
| Неструктурированный файл | PowerShell |
| Пользовательское |
Пользовательские соединители ECMA Соединители и шлюзы, созданные партнерами |
- Автоматизация подготовки. Автоматическое создание учетных записей в правильных системах для новых пользователей при присоединении к команде или организации.
- Автоматизированная отмена подготовки. Автоматическая деактивация учетных записей в соответствующих системах, когда люди покидают команду или организацию.
- Синхронизация данных между системами: сохраняйте удостоверения в приложениях и системах в актуальном состоянии на основе изменений в каталоге или системе кадров.
- Обнаружение учетных записей: обнаружениесуществующих пользователей в приложении, включая локальные или потерянные учетные записи.
- Группы подготовки: группы подготовки для приложений, которые их поддерживают.
- Управление доступом: мониторинг и аудит пользователей, которым предоставлен доступ в приложениях.
- Беспрепятственное развертывание в сценариях существующей среды: сопоставьте существующие идентификаторы между системами и упростите интеграцию, даже если пользователи уже существуют в целевой системе.
- Используйте обширные возможности настройки: воспользуйтесь преимуществами настраиваемых сопоставлений атрибутов, которые определяют, какие пользовательские данные должны передаваться из исходной системы в целевую.
- Получите оповещения о критически важных событиях: служба предоставления предоставляет оповещения для критических событий и позволяет интеграцию с Log Analytics, где вы можете настроить пользовательские оповещения, чтобы они соответствовали вашим бизнес-потребностям.
Что такое SCIM?
Чтобы помочь автоматизировать подготовку и отмену подготовки, приложения предоставляют собственные API-интерфейсы пользователей и групп. Управление пользователями в нескольких приложениях является проблемой, так как каждое приложение пытается выполнить те же действия. Например, создание или обновление пользователей, добавление пользователей в группы или деактивация пользователей. Часто разработчики реализуют эти действия немного иначе. Например, используя разные пути конечных точек, различные методы для указания сведений о пользователе и разной схеме для представления каждого элемента информации.
Для решения этих проблем спецификация системы междоменного управления идентификацией (SCIM) предоставляет общую схему пользователя, которая позволяет пользователям входить в приложения, выходить из них и обходить их. SCIM становится де-факто стандартом для подготовки и при использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect (OIDC), предоставляет администраторам комплексное стандартизированное решение для управления доступом.
Подробное руководство по разработке конечной точки SCIM для автоматизации подготовки и отмены подготовки пользователей и групп для приложения см. в разделе Build a SCIM endpoint and configure user provisioning (Создание конечной точки SCIM и настройка подготовки пользователей). Многие приложения интегрируются напрямую с Microsoft Entra ID. К некоторым примерам относятся Slack, Azure Databricks и Snowflake. Для этих приложений пропустите документацию разработчика и используйте руководства, приведенные в Tutorials для интеграции приложений SaaS с Microsoft Entra ID.
Сравнение подготовки вручную и автоматической подготовки
Приложения в коллекции Microsoft Entra поддерживают один из двух режимов подготовки:
- Ручное предоставление означает, что для приложения еще нет автоматического соединителя подготовки Microsoft Entra. Их необходимо создать вручную. Например, путем добавления пользователей непосредственно на административный портал приложения или загрузки электронной таблицы с подробной информацией об учетных записях пользователей. Чтобы определить доступные механизмы, обратитесь к документации по приложению или свяжитесь с разработчиком приложения.
- Automatic означает, что соединитель подготовки Microsoft Entra доступен для этого приложения. Чтобы настроить подготовку для приложения, следуйте указаниям в руководстве по установке. Для ознакомления с руководствами по интеграции приложений SaaS с Microsoft Entra ID см. Руководства по интеграции приложений SaaS.
Режим подготовки, поддерживаемый приложением, также отображается на вкладке Подготовка после добавления приложения к числу корпоративных приложений.
Преимущества автоматического предоставления
Число приложений, используемых в современных организациях, продолжает расти. Вы, как ИТ-администратор, должны управлять управлением доступом в масштабе. Для единого входа используются такие стандарты, как SAML или OIDC, но доступ также требует создания учетных записей пользователей в приложении. Вы можете подумать, что подготовка означает вручную создание каждой учетной записи пользователя или отправку CSV-файлов каждую неделю. Эти процессы отнимают много времени, являются дорогостоящими и подвержены ошибкам. Чтобы упростить процесс, используйте SAML just-in-time (JIT) для автоматизации предоставления. Используйте тот же процесс для отключения пользователей, когда они покидают организацию или больше не требуют доступа к определенным приложениям в результате изменения роли.
Ниже перечислены некоторые распространенные причины использования автоматической поставки.
- Максимально эффективное быстродействие и точность процессов подготовки.
- Экономия затрат, связанных с размещением и поддержкой специально разработанных решений и скриптов для подготовки.
- Обезопасить вашу организацию, мгновенно удаляя учетные записи пользователей из ключевых SaaS-приложений, когда они покидают организацию.
- Упрощение импорта большого количества пользователей в конкретное приложение SaaS или систему.
- Один набор политик для определения подготовленных пользователей, которые могут войти в приложение.
Microsoft Entra предоставление учетных записей пользователей может помочь решить эти проблемы. Дополнительные сведения о том, как клиенты использовали Microsoft Entra для развертывания пользователей, прочитайте в исследовании случая ASOS. В следующем видео представлен обзор подготовки пользователей в Microsoft Entra ID.
Какие приложения и системы можно использовать с автоматической подготовкой пользователей в Microsoft Entra?
Microsoft Entra предлагает предварительно интегрированную поддержку для многих популярных приложений SaaS и систем управления персоналом, а также общую поддержку для приложений, реализующих определенные части стандарта SCIM 2.0.
Предварительно интегрированные приложения (галерея приложений SaaS): Вы можете найти все приложения, для которых Microsoft Entra ID поддерживает предварительно интегрированный коннектор в Руководствах по интеграции приложений SaaS с Microsoft Entra ID. Предварительно подготовленные приложения, перечисленные в коллекции, обычно используют API управления пользователями на основе SCIM 2.0 для подготовки.
Чтобы запросить новое приложение для развертывания, см. статью Отправка запроса на публикацию вашего приложения в галерее приложений Microsoft Entra. Для запроса на подготовку пользователя требуется, чтобы приложение имело конечную точку, совместимую с SCIM. Запрос на то, что поставщик приложений следует стандарту SCIM, чтобы мы могли быстро подключить приложение к нашей платформе.
Приложения, поддерживающие SCIM 2.0. Сведения об универсальных способах подключения приложений, реализующих API-интерфейсы управления пользователями на основе SCIM 2.0, см. в статье Создание конечной точки SCIM и настройка подготовки пользователей.
Приложения, использующие существующий каталог или базу данных, или предоставляющие интерфейс подготовки: ознакомьтесь с руководствами по подготовке к каталогу LDAP, базе данных SQL, интерфейсу REST или SOAP или доступу через PowerShell, пользовательскому соединителю ECMA или соединителям и шлюзам, созданным партнерами.
Приложения, поддерживающие JIT-подготовку с помощью SAML.
Как настроить автоматическое предоставление ресурсов для приложения?
Для прединтегрированных приложений, перечисленных в галерее, используйте существующие пошаговые инструкции по настройке автоматической подготовки, см. в разделе Руководства по интеграции приложений SaaS с Microsoft Entra ID. В следующем видео показано, как настроить автоматическую подготовку пользователей для SalesForce.
Для других приложений, поддерживающих SCIM 2.0, выполните действия, описанные в разделе Создание конечной точки SCIM и настройка подготовки пользователей.