Udostępnij za pośrednictwem


Co to jest prowizjonowanie?

Udostępnianie i odebranie zasobów to procesy zapewniające spójność tożsamości cyfrowych w wielu systemach. Te procesy są zwykle używane jako część zarządzania cyklem życia tożsamości.

Aprowizowanie to proces tworzenia tożsamości w systemie docelowym na podstawie określonych warunków. Deprowizjonowanie to proces usuwania tożsamości z systemu docelowego, gdy warunki nie są już spełnione. Synchronizacja to proces aktualizowania aprowizowanego obiektu, tak aby obiekt źródłowy i obiekt docelowy był podobny.

Na przykład gdy nowy pracownik dołączy do organizacji, ten pracownik zostanie wprowadzony do systemu kadr. W tym momencie aprowizowanie z działu kadr do identyfikatora Entra firmy Microsoft może utworzyć odpowiednie konto użytkownika w usłudze Microsoft Entra ID. Aplikacje, które wysyłają zapytanie do identyfikatora Entra firmy Microsoft, mogą zobaczyć konto dla tego nowego pracownika. Jeśli istnieją aplikacje, które nie korzystają z Microsoft Entra ID, aprowizowanie z Microsoft Entra ID do baz danych tych aplikacji gwarantuje użytkownikowi dostęp do wszystkich aplikacji, które są mu potrzebne. Ten proces umożliwia użytkownikowi rozpoczęcie pracy i uzyskanie dostępu do aplikacji i systemów, których potrzebują pierwszego dnia. Podobnie, gdy ich właściwości, takie jak ich dział lub status zatrudnienia, zmieniają się w systemie kadr, synchronizacja tych aktualizacji z systemu KADR do microsoft Entra ID zapewnia spójność. Ponadto ta synchronizacja jest rozszerzana na inne aplikacje i docelowe bazy danych.

Microsoft Entra ID obecnie udostępnia trzy obszary automatycznego udostępniania. Są to:

  • Udostępnianie zewnętrznego systemu autorytatywnego dla rekordów do Microsoft Entra ID za pośrednictwem udostępniania opartego na systemie kadrowym
  • Aprowizowanie z identyfikatora Entra firmy Microsoft do aplikacji za pośrednictwem aprowizacji aplikacji
  • Aprowizowanie między Microsoft Entra ID i Usługami domenowymi Active Directory za pośrednictwem aprowizowania międzykatalogowego

Diagram zarządzania cyklem życia tożsamości.

Aprowizowanie oparte na hr

Diagram zarządzania zasobami ludzkimi.

Aprowizowanie z działu kadr do identyfikatora Entra firmy Microsoft obejmuje tworzenie obiektów, zazwyczaj tożsamości użytkowników reprezentujących każdego pracownika, ale w niektórych przypadkach inne obiekty reprezentujące działy lub inne struktury na podstawie informacji znajdujących się w systemie kadr.

Najbardziej typowym scenariuszem jest to, że gdy nowy pracownik dołączy do firmy, zostanie wprowadzony do systemu KADR. Gdy to nastąpi, są automatycznie dodawani jako nowi użytkownicy w usłudze Microsoft Entra ID, bez potrzeby udziału administratorów przy każdym nowym pracowniku. Ogólnie rzecz biorąc, zapewnianie zasobów przez dział kadr może obejmować następujące scenariusze.

  • Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do systemu kadr konto użytkownika jest automatycznie tworzone w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i opcjonalnie w katalogach dla innych aplikacji obsługiwanych przez identyfikator Firmy Microsoft Entra z zapisem zwrotnym adresu e-mail do systemu KADR.
  • Atrybuty pracownika i profil zostają zaktualizowane — po zaktualizowaniu rekordu pracownika w tym systemie HR (takim jak ich imię, tytuł lub menedżer) konto użytkownika jest automatycznie aktualizowane w usłudze Active Directory, Microsoft Entra ID, a opcjonalnie w innych aplikacjach obsługiwanych przez Microsoft Entra ID.
  • Zwalnianie pracowników — gdy pracownik zostaje zwolniony w dziale kadr, jego konto użytkownika jest automatycznie blokowane przed zalogowaniem lub usuwane w Active Directory, Microsoft Entra ID i w innych aplikacjach.
  • Ponowne zatrudnienie pracowników — kiedy pracownik zostaje ponownie zatrudniony w chmurze HR, jego stare konto może zostać automatycznie ponownie aktywowane lub ponownie przydzielone (w zależności od preferencji).

Istnieją trzy opcje wdrażania aprowizacji opartej na HR za pomocą Microsoft Entra ID:

  1. W przypadku organizacji z pojedynczą subskrypcją produktu Workday lub SuccessFactors i które nie używają usługi Active Directory
  2. W przypadku organizacji z pojedynczą subskrypcją produktu Workday lub SuccessFactors, które posiadają zarówno Active Directory, jak i Microsoft Entra ID
  3. W przypadku organizacji z wieloma systemami KADR lub lokalnym systemem kadrowym, takim jak SAP, Oracle eBusiness lub PeopleSoft

Aby uzyskać więcej informacji, zobacz Co to jest wdrażanie oparte na HR?

Aprowizowanie aplikacji

Diagram przedstawiający przepływ aprowizacji aplikacji.

W usłudze Microsoft Entra ID termin aprowizacja aplikacji odnosi się do automatycznego tworzenia kopii tożsamości użytkowników w aplikacjach, do których użytkownicy potrzebują dostępu, w przypadku aplikacji, które mają własny magazyn danych, różniący się od identyfikatora Entra firmy Microsoft lub usługi Active Directory. Oprócz tworzenia tożsamości użytkowników aprowizacja aplikacji obejmuje konserwację i usuwanie tożsamości użytkowników z tych aplikacji w miarę zmiany stanu lub ról użytkownika. Typowe scenariusze obejmują aprowizowanie użytkownika firmy Microsoft Entra w aplikacjach, takich jak Dropbox, Salesforce, ServiceNow, ponieważ każde z tych aplikacji ma własne repozytorium użytkownika odrębne od identyfikatora Microsoft Entra.

Microsoft Entra ID obsługuje również aprowizowanie użytkowników w aplikacjach hostowanych lokalnie lub na maszynie wirtualnej bez konieczności otwierania zapór. Jeśli aplikacja obsługuje protokół SCIM lub utworzono bramę SCIM w celu nawiązania połączenia ze starszą aplikacją, możesz użyć agenta aprowizacji firmy Microsoft w celu bezpośredniego nawiązania połączenia z aplikacją i zautomatyzowania aprowizacji i anulowania aprowizacji. Jeśli masz starsze aplikacje, które nie obsługują protokołu SCIM i korzystają z magazynu użytkowników LDAP lub bazy danych SQL albo mają interfejs API SOAP lub REST, identyfikator Entra firmy Microsoft może również je obsługiwać.

Aby uzyskać więcej informacji, zobacz Co to jest aprowizowanie aplikacji?

Udostępnianie zasobów między katalogami

Diagram przedstawiający aprowizację między katalogami

Wiele organizacji korzysta zarówno z usług Active Directory, jak i Microsoft Entra ID, i może mieć aplikacje połączone z usługą Active Directory, takie jak lokalne serwery plików.

Ponieważ wiele organizacji historycznie wdrożyło lokalną aprowizację opartą na kadrach, mogą już mieć tożsamości użytkowników dla wszystkich swoich pracowników w usłudze Active Directory. Najczęstszym scenariuszem aprowizacji między katalogami jest sytuacja, kiedy użytkownik z Active Directory jest aprowizowany do usługi Microsoft Entra ID. Ta aprowizacja jest zwykle realizowana przez usługę Microsoft Entra Connect Sync lub aprowizację w chmurze za pomocą Microsoft Entra Connect.

Ponadto organizacje mogą chcieć również aprowizować systemy lokalne z identyfikatora Entra firmy Microsoft. Na przykład organizacja może mieć gości w katalogu Microsoft Entra, ale ci goście muszą mieć dostęp do aplikacji internetowych wykorzystujących Windows Integrated Authentication (WIA) w lokalnym środowisku, za pośrednictwem serwera proxy aplikacji. Ten scenariusz wymaga konfigurowania lokalnych kont AD dla użytkowników Microsoft Entra ID.

Aby uzyskać więcej informacji, zobacz Co to jest aprowizowanie między katalogami?

Następne kroki