Реализация подготовки пользователей на основе приложений

  • 1 минута

В идентификаторе Microsoft Entra термин подготовки приложений относится к автоматическому созданию удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Распространенный сценарий — подготовка пользователя Microsoft Entra в таких приложениях, как Dropbox, Salesforce, ServiceNow и многое другое.

Diagram of the process flow for Provisioning. You can automate and govern the provisioning process.

Данная функция позволяет выполнять следующие действия.

  • Автоматическая подготовка: автоматически создавайте новые учетные записи в нужных системах для новых пользователей в команде или организации.
  • Автоматическое отключение: автоматически деактивируйте учетные записи в нужных системах, когда сотрудники покидают команду или организацию.
  • Синхронизация данных между системами: убедитесь, что идентификаторы в приложениях и системах обновляются в соответствии с изменениями в каталоге или системе управления персоналом.
  • Подготавливать группы: подготовьте группу, поддерживающую приложения, для работы с ними.
  • Управление доступом: контролируйте и проверяйте список пользователей, включенных в приложения.
  • Беспрепятственное развертывание в сценариях существующей среды: сопоставьте существующие идентификаторы между системами и упростите интеграцию, даже если пользователи уже существуют в целевой системе.
  • Используйте обширные возможности настройки: воспользуйтесь преимуществами настраиваемых сопоставлений атрибутов, которые определяют, какие пользовательские данные должны передаваться из исходной системы в целевую.
  • Получение оповещений о критических событиях: служба подготовки предоставляет оповещения о критических событиях и позволяет интегрировать Log Analytics, где можно определять настраиваемые оповещения в соответствии с потребностями вашего бизнеса.

Сравнение подготовки вручную и автоматической подготовки

Приложения в коллекции идентификаторов Microsoft Entra поддерживают ручную или автоматическую подготовку.

  • Подготовка вручную означает, что для приложения еще нет автоматического соединителя подготовки Microsoft Entra. Учетные записи пользователей необходимо создавать вручную. К примерам можно отнести добавление пользователей непосредственно на административный портал приложения или загрузку электронной таблицы с данными учетной записи пользователя. Обратитесь к документации, предоставленной приложением, или свяжитесь с разработчиком приложения, чтобы узнать, какие механизмы являются доступными.
  • Автоматически означает, что для этого приложения разработан соединитель подготовки Microsoft Entra. Следуйте инструкциям для настройки подготовки приложения.

В коллекции идентификаторов Microsoft Entra приложения, поддерживающие автоматическую подготовку, назначаются значком подготовки .

Screenshot of the Provisioning icon in the application gallery. Select to start the provisioning process.

Режим подготовки, поддерживаемый приложением, также отображается на вкладке Подготовка после добавления приложения на вкладке Корпоративные приложения.

Система междоменного управления идентификацией

Чтобы помочь автоматизировать подготовку и отмену подготовки, приложения предоставляют собственные API-интерфейсы пользователей и групп. Однако каждое приложение пытается выполнять одинаковые действия, такие как создание или обновление пользователей, добавление пользователей в группы или отключение пользователей. Но все эти простые действия реализуются с небольшими различиями, используя разные пути к конечным точкам, различные методы указания сведений о пользователе и другую схему для представления каждого элемента информации.

Для решения этих проблем спецификация системы междоменного управления идентификацией (SCIM) предоставляет общую схему пользователя, которая позволяет пользователям входить в приложения, выходить из них и обходить их. SCIM фактически становится стандартом подготовки и при использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect, предоставляет администраторам комплексное стандартное решение для управления доступом.

Создание конечной точки управления удостоверениями между доменами и настройка подготовки пользователей с помощью идентификатора Microsoft Entra

Разработчиком приложений можно использовать API управления пользователями (SCIM) системы управления междоменных удостоверений (SCIM), чтобы включить автоматическую подготовку пользователей и групп между приложением и идентификатором Microsoft Entra. Спецификация SCIM предоставляет общую схему пользователя для подготовки. При использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect, SCIM предоставляет администраторам комплексное решение для управления доступом на основе стандартов.

SCIM — это стандартизированное определение двух конечных точек: конечной точки "/Users" и конечной точки "/Groups". Он использует общие команды передачи репрезентативного состояния (REST) для создания, обновления и удаления объектов, а также предопределенную схему для общих атрибутов, таких как имя группы, имя пользователя, имя, фамилия и адрес электронной почты. Приложения, которые предоставляют REST API SCIM 2.0, могут сократить или устранить трудности при работе с API управления пользователями. Например, любой совместимый клиент SCIM знает, как выполнить команду HTTP POST объекта JSON в конечную точку /Users для создания новой записи пользователя. Вместо того, чтобы использовать несколько других API для одних и тех же основных действий, приложения, которые соответствуют стандарту SCIM, могут мгновенно воспользоваться преимуществами существующих клиентов, средств и кода.

Diagram of Microsoft Entra ID with user provisioning sharing data with external apps.

Стандартная схема пользовательских объектов и REST API для управления, определенные в SCIM 2.0, позволяют поставщикам удостоверений и приложениям легче интегрироваться друг с другом. Разработчики приложений, которые создают конечную точку SCIM, могут интегрироваться с любым SCIM-совместимым клиентом без необходимости выполнения специальной работы, вместо того чтобы начинать с нуля и строить реализацию полностью самостоятельно, можно использовать ряд библиотек SCIM с открытым исходным кодом, опубликованных сообществом SCIM.