Koncepty příchozího zřizování řízeného rozhraním API
Tento dokument obsahuje koncepční přehled zřizování příchozích uživatelů řízených rozhraním Microsoft Entra API.
Úvod
Dnes mají podniky různé autoritativní systémy záznamů. Pokud chcete vytvořit kompletní životní cyklus identit, posílit stav zabezpečení a zůstat v souladu s předpisy, musí být data identit v Microsoft Entra ID udržována synchronizovaná s daty pracovníků spravovanými v těchto systémech záznamů. Systém záznamu může být aplikace personálního oddělení, mzdová aplikace, tabulka nebo tabulky SQL v databázi hostované místně nebo v cloudu.
S příchozím zřizováním řízeným rozhraním API teď služba zřizování Microsoft Entra podporuje integraci s jakýmkoli systémem záznamů. Zákazníci a partneři můžou pomocí libovolného nástroje pro automatizaci načítat data pracovníků ze systému záznamů a ingestovat je do Microsoft Entra ID. Správce IT má plnou kontrolu nad tím, jak se data zpracovávají a transformují pomocí mapování atributů. Jakmile jsou data pracovníků k dispozici v Microsoft Entra ID, může správce IT nakonfigurovat vhodné obchodní procesy joiner-mover-leaver pomocí pracovních postupů životního cyklu.
Podporované scénáře
Několik scénářů zřizování příchozích uživatelů je povolené pomocí příchozího zřizování řízeného rozhraním API. Tento diagram znázorňuje nejběžnější scénáře.
Scénář 1: Povolení it týmům importovat extrahování dat personálního oddělení pomocí libovolného nástroje pro automatizaci
Ploché soubory, soubory CSV a pracovní tabulky SQL se běžně používají ve scénářích podnikové integrace. Informace o zaměstnanech, dodavatelích a dodavatelích se pravidelně exportují do jednoho z těchto formátů a k synchronizaci těchto dat s adresáři podnikových identit se používá nástroj pro automatizaci. Díky příchozímu zřizování založenému na rozhraní API můžou IT týmy k modernizaci a zjednodušení této integrace používat libovolný nástroj pro automatizaci (například skripty PowerShellu nebo Azure Logic Apps).
Scénář 2: Povolení přímé integrace isV s Microsoft Entra ID
S příchozím zřizováním řízeným rozhraním API můžou nezávislí výrobci lidských zdrojů odesílat nativní synchronizační prostředí, aby změny v systému lidských zdrojů automaticky přetékaly do MICROSOFT Entra ID a připojené místní Active Directory domén. Aplikace personálního oddělení nebo aplikace pro informační systémy studentů může například odesílat data do ID Microsoft Entra, jakmile se transakce dokončí, nebo jako hromadná aktualizace na konci dne.
Scénář 3: Povolení systémových integrátorů vytvářet další konektory pro systémy záznamů
Partneři můžou vytvářet vlastní konektory personálního oddělení, které splňují různé požadavky na integraci související s tokem dat ze systémů záznamu do Microsoft Entra ID.
Ve všech výše uvedených scénářích je integrace zjednodušená, protože služba zřizování Microsoft Entra přebírá odpovědnost za provádění porovnání profilů identit, omezení synchronizace dat na obor logiky nakonfigurované správcem IT a provádění toku atributů založených na pravidlech a transformace spravované v Centru pro správu Microsoft Entra.
Kompletní tok
Kroky pracovního postupu
- Správce IT nakonfiguruje příchozí aplikaci zřizování uživatelů řízenou rozhraním API z galerie aplikací Microsoft Entra Enterprise.
- Správce IT uděluje přístupová oprávnění a poskytuje podrobnosti o přístupu ke koncovému bodu integrátoru rozhraní API, partnerovi nebo systémovému integrátoru.
- Vývojář rozhraní API/ partner/systémový integrátor sestaví klienta rozhraní API pro odesílání autoritativních dat identity do Microsoft Entra ID.
- Klient rozhraní API čte data identity z autoritativního zdroje.
- Klient rozhraní API odešle požadavek POST na zřízení koncového bodu rozhraní API bulkUpload přidruženého k aplikaci zřizování.
Poznámka:
Klient rozhraní API nemusí provádět žádná porovnání mezi zdrojovými atributy a hodnotami cílových atributů, aby bylo možné určit, jakou operaci (create/update/enable/disable), která se má vyvolat. To automaticky zpracovává služba zřizování. Klient rozhraní API jednoduše nahraje data identity načtená ze zdrojového systému tak, že je zabalí jako hromadný požadavek pomocí konstruktorů schématu SCIM.
- V případě úspěchu se vrátí.
Accepted 202 Status - Služba zřizování Microsoft Entra zpracovává přijatá data, používá pravidla mapování atributů a dokončí zřizování uživatelů.
- V závislosti na nakonfigurované aplikaci zřizování se uživatel zřídí buď do místní Active Directory (pro hybridní uživatele) nebo Microsoft Entra ID (jenom pro uživatele cloudu).
- Klient rozhraní API se pak dotazuje koncového bodu rozhraní API zřizovacích protokolů na stav každého odeslaného záznamu.
- Pokud zpracování jakéhokoli záznamu selže, klient rozhraní API může zkontrolovat podrobnosti o chybě a zahrnout záznamy odpovídající neúspěšným operacím v dalším hromadném požadavku (krok 5).
- Správce IT může kdykoli zkontrolovat stav úlohy zřizování a zobrazit události v protokolech zřizování.
Klíčové funkce zřizování příchozích uživatelů řízených rozhraním API
- K dispozici jako zřizovací aplikace, která zveřejňuje asynchronní koncový bod rozhraní API microsoft Graphu /bulkUpload, ke kterému se přistupuje pomocí platného tokenu OAuth.
- Správci tenantů musí klientům rozhraní API udělit interakci s touto zřizovací aplikací oprávnění
SynchronizationData-User.UploadGraph . - Koncový bod rozhraní Graph API přijímá platné datové části hromadného požadavku pomocí konstruktorů schématu SCIM.
- S rozšířeními schématu SCIM můžete odeslat libovolný atribut v datové části hromadného požadavku.
- Limit rychlosti pro rozhraní API pro příchozí zřizování je 40 žádostí o hromadné nahrávání za sekundu. Každý hromadný požadavek může obsahovat maximálně 50 uživatelských záznamů, což podporuje rychlost nahrávání 2 000 záznamů za sekundu.
- Každý koncový bod rozhraní API je přidružený ke konkrétní aplikaci zřizování v ID Microsoft Entra. Více zdrojů dat můžete integrovat vytvořením aplikace zřizování pro každý zdroj dat.
- Datové části příchozích hromadných požadavků se zpracovávají téměř v reálném čase.
- Správci můžou zkontrolovat průběh zřizování zobrazením protokolů zřizování.
- Klienti rozhraní API můžou sledovat průběh dotazováním rozhraní API protokolů zřizování.
Požadavky na licenci
Tato funkce je dostupná s licencemi microsoft Entra ID P1, P2 a Microsoft Entra ID Governance. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.
Doprovodné materiály k používání rozhraní API
Koncový /bulkUpload bod rozhraní API rozšiřuje počet způsobů, jak můžete spravovat uživatele v Microsoft Entra ID. Pokud chcete zjistit, jestli /bulkUpload je koncový bod rozhraní API pro váš scénář integrace správný, projděte si tuto tabulku, která ji porovná s dalšími možnostmi integrace založené na rozhraní API.
| Scénář použití k mapování rozhraní API | Rozhraní API pro vytváření uživatelů | Příchozí hromadné rozhraní API pro personální oddělení | Rozhraní API pro pozvání uživatelů | Rozhraní API pro přímé přiřazení |
|---|---|---|---|---|
| Pokud je váš scénář vytváření identity... | Ad hoc vytvoření uživatele v Microsoft Entra ID pro uživatele, který není přidružený k žádnému pracovníkovi ve zdroji personálního oddělení | Získání záznamů o zaměstnancích z autoritativního zdroje personálního oddělení a chcete, aby tito zaměstnanci měli v Microsoft Entra ID nebo místní Active Directory | Ad hoc vytvoření uživatele typu host v Microsoft Entra ID pro účely sdílení, kde host má jedinečná přístupová práva | Přiřazení přístupu pro stávající uživatele a vytvoření hosta (Preview) v Microsoft Entra ID, aby byl nový host standardizovaný přístup |
| ... použít rozhraní API... | Vytvoření uživatele | Proveďte hromadnou načtení. | Vytvoření pozvánky | Vytvoření accessPackageAssignmentRequest |
| Výsledný uživatel se nejprve vytvoří v... | Microsoft Entra ID | Místní Active Directory nebo Microsoft Entra ID | Microsoft Entra ID | Microsoft Entra ID |
| Výsledný uživatel se ověřuje pro... | Microsoft Entra ID s heslem, které zadáte | Místní služba Active Directory id Microsoft Entra s dočasným přístupovým passem poskytovaným pracovními postupy životního cyklu Entra | Domácí tenant nebo jiný zprostředkovatel identity | Domácí tenant nebo jiný zprostředkovatel identity |
| Následné aktualizace uživatele je možné provést prostřednictvím | Graph API nebo Centrum pro správu Microsoft Entra | Rozhraní Graph API nebo hr příchozí hromadné rozhraní API nebo Centrum pro správu Microsoft Entra | Graph API nebo Centrum pro správu Microsoft Entra | Graph API nebo Centrum pro správu Microsoft Entra |
| Životní cyklus uživatele při zahájení zaměstnání je určen... | Ruční procesy | Pracovní postupy životního cyklu nasazení Entra, které se aktivují na základě atributu employeeHireDate |
Správa nároků | Automatické přiřazení pomocí přístupových balíčků pro správu nároků |
| Životní cyklus uživatele při ukončení zaměstnání je určen... | Ruční procesy | Vytváření pracovních postupů životního cyklu odpojování, které se aktivují na základě atributu employeeLeaveDateTime |
Kontroly přístupu | Správa nároků, když uživatel ztratí přiřazení posledního přístupového balíčku, odebere se |
Doporučený studijní program
| # | Cíl výuky | Pokyny |
|---|---|---|
| 1. | Chcete se dozvědět více o specifikacích rozhraní API pro příchozí zřizování. | Projděte si dokument specifikace rozhraní API /bulkUpload . |
| 2. | Chcete se seznámit s koncepty zřizování řízené rozhraním API, scénáři a omezeními. | Projděte si nejčastější dotazy týkající se příchozího zřizování řízeného rozhraním API. |
| 3. | Jako uživatel s rolí správce chcete rychle otestovat rozhraní API pro příchozí zřizování. | * Vytvoření příchozí aplikace příchozího zřizování řízeného rozhraním API * Testování rozhraní API pomocí Graph Exploreru |
| 4. | Pomocí účtu služby nebo spravované identity chcete rychle otestovat příchozí zřizovací rozhraní API. | * Vytvoření příchozí aplikace příchozího zřizování řízeného rozhraním API * Udělení oprávnění rozhraní API * Testování rozhraní API pomocí cURL |
| 5. | Chcete rozšířit aplikaci zřizování řízenou rozhraním API tak, aby zpracovávala více vlastních atributů. | Projděte si kurz rozšíření zřizování řízeného rozhraním API pro synchronizaci vlastních atributů. |
| 6. | Chcete automatizovat nahrávání dat z vašeho systému záznamu do koncového bodu rozhraní API pro příchozí zřizování. | Projděte si kurzy. * Rychlý start s PowerShellem * Rychlý start s Azure Logic Apps |
| 7. | Chcete vyřešit potíže s rozhraním API pro příchozí zřizování | Projděte si průvodce odstraňováním potíží. |
Externí výukové materiály
Následující obsah, který vytvořili naši partneři a MVP Microsoftu, nabízí další pokyny k nasazení a konfiguraci zřizování řízeného rozhraním API pro různé scénáře integrace.
Videonávody
- John Savill vysvětluje , jak funguje zřizování řízené rozhraním API
- Microsoft MVP Nick Ross vysvětluje , jak nakonfigurovat zřizování řízené rozhraním API
- Microsoft MVP Nick Ross vysvětluje , jak zdroj dat lidských zdrojů z excelového souboru na SharePointu pomocí Power Automate a zřizování řízené rozhraním API
- 4dílná série Microsoft Partner IdentityXP týkající se zřizování řízeného rozhraním API
Blogové příspěvky, prezentace a další užitečné odkazy
- Článek Microsoft MVP Pim Jacob, který vysvětluje, jak provádět zřizování řízené rozhraním Bamboo HR API pro místní Active Directory
- Prezentace Microsoft MVP Pim Jacoba o tom, jak nakonfigurovat proces spojování a odcházejícího pomocí pracovních postupů zřizování a životního cyklu řízeného rozhraním API
- Článek Microsoft MVP Marius Solbakken vysvětlující , jak zdroj dat Excelu používat skript PowerShellu a zřizování řízené rozhraním API
- Článek Suryendu Bhattacharyya o vyvolání zřizování řízení rozhraní API pomocí vlastní akce GitHubu
- Šablona Bicep od Microsoftu Jan Vidar Elven pro zřizování řízené rozhraním API