Włączanie automatycznej aprowizacji użytkowników dla aplikacji wielodostępnej w usłudze Microsoft Entra ID

Automatyczna aprowizacja użytkowników to proces automatyzowania tworzenia, konserwacji i usuwania tożsamości użytkowników w systemach docelowych, takich jak aplikacje typu oprogramowanie jako usługa.

Dlaczego warto włączyć automatyczną aprowizację użytkowników?

Aplikacje, które wymagają, aby rekord użytkownika był obecny w aplikacji przed pierwszym logowaniem użytkownika wymaga aprowizacji użytkowników. Istnieją korzyści dla Ciebie jako dostawcy usług i korzyści dla klientów.

Korzyści dla Ciebie jako dostawcy usług

• Zwiększ bezpieczeństwo aplikacji przy użyciu Platforma tożsamości Microsoft.

• Zmniejszenie rzeczywistych i postrzeganych wysiłków klientów w celu wdrożenia aplikacji.

• Zmniejsz koszty integracji z wieloma dostawcami tożsamości (IDP) na potrzeby automatycznej aprowizacji użytkowników przy użyciu systemu zarządzania tożsamościami między domenami (SCIM) opartej na aprowizacji.

• Zmniejsz koszty pomocy technicznej, udostępniając zaawansowane dzienniki, aby ułatwić klientom rozwiązywanie problemów z aprowizowaniem użytkowników.

• Zwiększ widoczność aplikacji w galerii aplikacji Microsoft Entra.

• Uzyskaj priorytetową listę na stronie Samouczki aplikacji.

Korzyści dla klientów

• Zwiększ bezpieczeństwo, automatycznie usuwając dostęp do aplikacji dla użytkowników, którzy zmieniają role lub opuszczają organizację w aplikacji.

• Uprość zarządzanie użytkownikami dla aplikacji, unikając błędów ludzkich i powtarzalnej pracy związanej z ręczną aprowizowaniem.

• Zmniejszenie kosztów hostingu i obsługi niestandardowych rozwiązań aprowizacji.

Wybór metody aprowizacji

Identyfikator entra firmy Microsoft udostępnia kilka ścieżek integracji umożliwiających automatyczną aprowizację użytkowników dla aplikacji.

• Usługa aprowizacji firmy Microsoft zarządza aprowizowaniem i anulowaniem aprowizacji użytkowników z identyfikatora Entra firmy Microsoft do aplikacji (aprowizację ruchu wychodzącego) oraz z aplikacji do identyfikatora Entra firmy Microsoft (aprowizacja ruchu przychodzącego). Usługa łączy się z punktami końcowymi interfejsu API zarządzania użytkownikami między domenami (SCIM) udostępnianymi przez aplikację.

• W przypadku korzystania z programu Microsoft Graph aplikacja zarządza aprowizowaniem przychodzącym i wychodzącym użytkowników i grup z identyfikatora Entra firmy Microsoft do aplikacji, wysyłając zapytanie do interfejsu API programu Microsoft Graph.

• Aprowizacja użytkowników języka Just in Time (SAML JIT) w języku Security Assertion Markup Language może być włączona, jeśli aplikacja używa języka SAML do federacji. Używa on informacji o oświadczeniach wysyłanych w tokenie SAML do aprowizowania użytkowników.

Aby ułatwić określenie opcji integracji, która ma być używana dla aplikacji, zapoznaj się z tabelą porównawczą wysokiego poziomu, a następnie zapoznaj się z bardziej szczegółowymi informacjami na temat każdej opcji.

Możliwości włączone lub rozszerzone przez automatyczną aprowizację	Usługa aprowizacji firmy Microsoft (SCIM 2.0)	Interfejs API programu Microsoft Graph (OData w wersji 4.0)	SAML JIT
Zarządzanie użytkownikami i grupami w usłudze Microsoft Entra ID	√	√	Tylko użytkownik
Zarządzanie użytkownikami i grupami synchronizowane z lokalna usługa Active Directory	√*	√*	Tylko użytkownik*
Uzyskiwanie dostępu do danych poza użytkownikami i grupami podczas aprowizacji dostępu do danych platformy Microsoft 365 (Teams, SharePoint, Poczta e-mail, Kalendarz, Dokumenty itd.)	X+	√	X
Tworzenie, odczytywanie i aktualizowanie użytkowników na podstawie reguł biznesowych	√	√	√
Usuwanie użytkowników na podstawie reguł biznesowych	√	√	X
Zarządzanie automatyczną aprowizowaniem użytkowników dla wszystkich aplikacji z poziomu centrum administracyjnego firmy Microsoft Entra	√	X	√
Obsługa wielu dostawców tożsamości	√	X	√
Obsługa kont gości (B2B)	√	√	√
Obsługa kont innych niż enterprise (B2C)	X	√	√

^* — Konfiguracja programu Microsoft Entra Connect jest wymagana do synchronizowania użytkowników z usługi AD do identyfikatora Entra firmy Microsoft.
⁺— Używanie protokołu SCIM do aprowizacji nie wyklucza integracji aplikacji z programem Microsoft Graph w innych celach.

Usługa aprowizacji firmy Microsoft (SCIM)

Usługa aprowizacji firmy Microsoft używa standardu SCIM, standardu branżowego do aprowizacji obsługiwanej przez wielu dostawców tożsamości (dostawców tożsamości), a także aplikacji (takich jak Slack, G Suite, Dropbox). Zalecamy korzystanie z usługi aprowizacji firmy Microsoft, jeśli chcesz obsługiwać dostawcy tożsamości oprócz identyfikatora Entra firmy Microsoft, ponieważ dowolny dostawca tożsamości zgodny ze standardem SCIM może łączyć się z punktem końcowym SCIM. Tworzenie prostego punktu końcowego /User można włączyć aprowizację bez konieczności obsługi własnego aparatu synchronizacji.

Aby uzyskać więcej informacji na temat sposobu aprowizacji użytkowników usługi Microsoft Entra Provisioning Service SCIM, zobacz:

• Dowiedz się więcej o standardzie SCIM

• Używanie programu System for Cross-Domain Identity Management (SCIM) w celu automatycznego aprowizowania użytkowników i grup z identyfikatora Entra firmy Microsoft do aplikacji

• Omówienie implementacji rozwiązania Microsoft Entra SCIM

Microsoft Graph na potrzeby aprowizacji

Jeśli używasz programu Microsoft Graph do aprowizacji, masz dostęp do wszystkich zaawansowanych danych użytkownika dostępnych w programie Graph. Oprócz szczegółów użytkowników i grup można również pobrać dodatkowe informacje, takie jak role użytkownika, menedżer i bezpośrednie raporty, należące do i zarejestrowanych urządzeń oraz setki innych elementów danych dostępnych w programie Microsoft Graph.

Ponad 15 milionów organizacji i 90% firm z listy Fortune 500 korzysta z identyfikatora Microsoft Entra ID, subskrybując usługi w chmurze firmy Microsoft, takie jak Microsoft 365, Microsoft Azure lub Enterprise Mobility Suite. Za pomocą programu Microsoft Graph możesz zintegrować aplikację z administracyjnymi przepływami pracy, takimi jak dołączanie pracowników (i kończenie pracy), konserwacja profilu i nie tylko.

Dowiedz się więcej o korzystaniu z programu Microsoft Graph do aprowizacji:

• Strona główna programu Microsoft Graph

• Omówienie programu Microsoft Graph

• Omówienie uwierzytelniania programu Microsoft Graph

• Wprowadzenie do programu Microsoft Graph

Używanie trybu JIT języka SAML do aprowizacji

Jeśli chcesz aprowizować użytkowników tylko po pierwszym zalogowaniu się do aplikacji i nie musisz automatycznie deprowizować użytkowników, opcja JIT protokołu SAML jest opcją. Aplikacja musi obsługiwać protokół SAML 2.0 jako protokół federacyjny, aby używać trybu JIT SAML.

Protokół SAML JIT używa informacji o oświadczeniach w tokenie SAML do tworzenia i aktualizowania informacji o użytkowniku w aplikacji. Klienci mogą skonfigurować te wymagane oświadczenia w aplikacji Microsoft Entra zgodnie z potrzebami. Czasami aprowizacja JIT musi być włączona po stronie aplikacji, aby klient mógł korzystać z tej funkcji. Funkcja JIT języka SAML jest przydatna do tworzenia i aktualizowania użytkowników, ale nie może usuwać ani dezaktywować użytkowników w aplikacji.

Następne kroki

• Włączanie logowania jednokrotnego dla aplikacji

• Prześlij listę aplikacji i partner z firmą Microsoft, aby utworzyć dokumentację w witrynie firmy Microsoft.

• Dołącz do usługi Microsoft Partner Network (bezpłatnie) i utwórz plan przejścia na rynek.