Co je provisioning?

Zřizování a odebírání jsou procesy, které zajišťují konzistenci digitálních identit napříč několika systémy. Tyto procesy se obvykle používají jako součást správy životního cyklu identit.

Zřizování je procesem vytvoření identity v cílovém systému na základě určitých podmínek. Deaktivace je proces odebrání identity z cílového systému, když podmínky již nejsou splněny. Synchronizace je proces zachování zřízeného objektu v aktualizovaném stavu, aby zdrojový a cílový objekt byly podobné.

Když se například nový zaměstnanec připojí k vaší organizaci, zadá se tento zaměstnanec do systému personálního oddělení. V tomto okamžiku může zřizování z hr na Microsoft Entra ID vytvořit odpovídající uživatelský účet v Microsoft Entra ID. Aplikace, které se dotazují Microsoft Entra ID, uvidí účet týkající se daného nového zaměstnance. Pokud existují aplikace, které nepoužívají ID Microsoft Entra, pak provisionování z Microsoft Entra ID do databází těchto aplikací zajistí, že uživatel může přistupovat ke všem aplikacím, ke kterým potřebuje přístup. Tento proces umožňuje uživateli začít pracovat a mít přístup k aplikacím a systémům, které potřebují každý den. Podobně když se jejich vlastnosti, například jejich oddělení nebo stav zaměstnání, změní v systému lidských zdrojů synchronizace těchto aktualizací ze systému personálního oddělení do Microsoft Entra ID zajistí konzistenci. Kromě toho se tato synchronizace rozšiřuje na jiné aplikace a cílové databáze.

Microsoft Entra ID v současné době poskytuje tři oblasti automatizovaného zřizování. Mezi ně patří:

• Zřizování z externího nedirektivního autoritativního systému záznamů pro ID Microsoft Entra prostřednictvím personálním řízené zřizování
• Zřizování aplikací z Microsoft Entra ID prostřednictvím zřizování aplikací
• Zřizování mezi Microsoft Entra ID a službou Active Directory Domain Services prostřednictvím zřizování mezi adresáři

Zřizování řízené personálním oddělením

Přidělování z personálního systému do Microsoft Entra ID zahrnuje vytváření objektů, obvykle uživatelských identit představujících každého zaměstnance. V některých případech se však vytvářejí i jiné objekty představující oddělení nebo jiné struktury na základě informací ve vašem personálním systému.

Nejběžnějším scénářem je, že když se nový zaměstnanec připojí k vaší společnosti, vstoupí do systému personálního oddělení. Jakmile k tomu dojde, jsou automaticky zřízeni jako noví uživatelé v Microsoft Entra ID, aniž by bylo potřeba zapojení správce pro každého nového zaměstnance. Obecně platí, že zajištění od personálního oddělení může zahrnovat následující scénáře.

• Nábor nových zaměstnanců – když se nový zaměstnanec přidá do systému personálního oddělení, uživatelský účet se automaticky vytvoří ve službě Active Directory, v Microsoft Entra ID a volitelně v adresářích pro jiné aplikace podporované id Microsoft Entra s zpětným zápisem e-mailové adresy do systému personálního oddělení.
• Aktualizace atributů a profilů zaměstnanců – Když je záznam zaměstnance v tomto systému HR aktualizován (například jeho jméno, pozice nebo manažer), jeho uživatelský účet je automaticky aktualizován ve službách Active Directory, Microsoft Entra ID, a volitelně i v jiných aplikacích podporovaných Microsoft Entra ID.
• Ukončení pracovního poměru zaměstnance – Když je v personálním oddělení ukončen pracovní poměr zaměstnance, jeho uživatelský účet se automaticky zablokuje od přihlášení nebo odstraní v Active Directory, Microsoft Entra ID a dalších aplikacích.
• Znovu zaměstnanci – když je zaměstnanec znovu přijat v cloudovém HR, může se jeho starý účet automaticky znovu aktivovat nebo znovu zřízen (v závislosti na vašich preferencích).

Existují tři možnosti nasazení pro zřizování řízené HR s identifikací Microsoft Entra:

1. Pro organizace s jedním předplatným Workday nebo SuccessFactors a nepoužívají Active Directory.
2. Pro organizace s jedním předplatným na Workday nebo SuccessFactors, které mají jak Active Directory, tak Microsoft Entra ID.
3. Pro organizace s několika systémy personálního oddělení nebo místní systém personálního oddělení, jako je SAP, Oracle eBusiness nebo PeopleSoft

Další informace najdete v tématu Co je zprovozňování řízené lidskými zdroji?

Zřizování aplikací

V Microsoft Entra ID se výraz zřizování aplikací používá pro automatické vytváření kopií uživatelských identit v aplikacích, ke kterým uživatelé potřebují přístup, pro aplikace, které mají vlastní úložiště dat, odlišné od Microsoft Entra ID nebo Active Directory. Kromě vytváření identit uživatelů zahrnuje zřizování aplikací údržbu a odebrání identit uživatelů z těchto aplikací, protože se mění stav nebo role uživatele. Mezi běžné scénáře patří zřízení uživatele Microsoft Entra do aplikací, jako je Dropbox, Salesforce, ServiceNow, protože každá z těchto aplikací má vlastní uživatelské úložiště odlišné od Microsoft Entra ID.

Microsoft Entra ID také podporuje nasazování uživatelů do aplikací hostovaných místně nebo na virtuálním počítači, aniž by bylo nutné otevírat brány firewall. Pokud vaše aplikace podporuje SCIM nebo jste vytvořili bránu SCIM pro připojení ke starší verzi aplikace, můžete použít agenta zřizování Microsoft Entra k přímému připojení k vaší aplikaci a automatizaci zřizování a zrušení zřízení. Pokud máte starší verze aplikací, které nepodporují SCIM a spoléhají na úložiště uživatelů LDAP nebo databázi SQL nebo které mají rozhraní SOAP nebo REST API, může je podporovat i Microsoft Entra ID.

Další informace najdete v tématu Co je zřizování aplikací?

Zřizování mezi adresáři

Mnoho organizací spoléhá na Active Directory i Microsoft Entra ID a můžou mít aplikace připojené ke službě Active Directory, jako jsou místní souborové servery.

Vzhledem k tomu, že mnoho organizací v minulosti nasadila zřizování řízené personálním oddělením místně, může už mít identity uživatelů pro všechny zaměstnance ve službě Active Directory. Nejběžnějším scénářem pro zřizování mezi adresáři je, když je uživatel již v systému Active Directory a je zřízen do Microsoft Entra ID. Toto zřizování obvykle provádí Microsoft Entra Connect Sync nebo Microsoft Entra Connect Cloud Provisioning.

Kromě toho mohou organizace chtít nastavit propojení na místní systémy prostřednictvím Microsoft Entra ID. Organizace může mít například hosty v adresáři Microsoft Entra, ale tito hosté potřebují přístup k místním webovým aplikacím založeným na WIA (Windows Integrated Authentication) prostřednictvím proxy aplikace. Tento scénář vyžaduje zřízení místních účtů AD pro tyto uživatele v Microsoft Entra ID.

Další informace najdete v tématu Co je zřizování mezi adresáři?

Další kroky

• Co je správa životního cyklu identit?
• Co je zřizování řízené personálním oddělením?
• Co je zřizování aplikací?
• Co je zajištění mezi adresáři?
• Řízení životního cyklu uživatelů – video