Udostępnij za pośrednictwem


Korzystanie ze środowiska SCIM i programu Microsoft Graph w celu aprowizacji użytkowników i wzbogacania aplikacji przy użyciu potrzebnych danych

Docelowi odbiorcy: ten artykuł jest przeznaczony dla deweloperów tworzących aplikacje do zintegrowania z identyfikatorem Entra firmy Microsoft. Jeśli chcesz używać aplikacji już zintegrowanych z identyfikatorem Firmy Microsoft Entra, takim jak Zoom, ServiceNow i DropBox, możesz pominąć ten artykuł i przejrzeć samouczki specyficzne dla aplikacji lub przejrzeć sposób działania usługi aprowizacji.

Typowe scenariusze

Microsoft Entra ID udostępnia wbudowaną usługę aprowizacji i rozszerzalną platformę do kompilowania aplikacji. Drzewo decyzyjne przedstawia sposób używania przez dewelopera SCIM i programu Microsoft Graph do automatyzowania aprowizacji.

  • Automatyczne tworzenie użytkowników w mojej aplikacji
  • Automatycznie usuwaj użytkowników z mojej aplikacji, gdy nie powinni już mieć dostępu
  • Integrowanie aplikacji z wieloma dostawcami tożsamości na potrzeby aprowizacji
  • Wzbogacaj moją aplikację o dane z usługi firmy Microsoft, takich jak Teams, Outlook i Office.
  • Automatyczne tworzenie, aktualizowanie i usuwanie użytkowników i grup w usłudze Microsoft Entra ID i Active Directory

Drzewo decyzyjne programu SCIM Graph

Scenariusz 1. Automatyczne tworzenie użytkowników w mojej aplikacji

Obecnie administratorzy IT aprowizować użytkowników przez ręczne tworzenie kont użytkowników lub okresowe przekazywanie plików CSV do aplikacji. Proces ten jest czasochłonny dla klientów i spowalnia wdrażanie mojej aplikacji. Potrzebne są podstawowe informacje o użytkowniku, takie jak nazwa, adres e-mail i userPrincipalName, aby utworzyć użytkownika.

Zalecenie:

  • Jeśli klienci korzystają z różnych dostawców tożsamości i nie chcesz obsługiwać aparatu synchronizacji w celu zintegrowania z każdym z nich, obsługa punktu końcowego /Users zgodnego ze standardem SCIM. Klienci będą mogli łatwo używać tego punktu końcowego do integracji z usługą aprowizacji firmy Microsoft i automatycznie tworzyć konta użytkowników, gdy potrzebują dostępu. Punkt końcowy można skompilować raz i będzie on zgodny ze wszystkimi dostawcami tożsamości. Zapoznaj się z poniższym przykładowym żądaniem, aby dowiedzieć się, jak użytkownik zostanie utworzony przy użyciu protokołu SCIM.
  • Jeśli potrzebujesz danych użytkownika znalezionych w obiekcie użytkownika w usłudze Microsoft Entra ID i innych danych z całej firmy Microsoft, rozważ utworzenie punktu końcowego SCIM na potrzeby aprowizacji użytkowników i wywołania do programu Microsoft Graph, aby uzyskać pozostałe dane.
POST /Users
{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User",
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
    "externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
    "userName": "BillG",
    "active": true,
    "meta": {
        "resourceType": "User"
    },
    "name": {
        "formatted": "Bill Gates",
        "familyName": "Gates",
        "givenName": "Bill"
    },
    "roles": []
}

Scenariusz 2. Automatyczne usuwanie użytkowników z mojej aplikacji

Klienci korzystający z mojej aplikacji są skoncentrowani na zabezpieczeniach i mają wymagania dotyczące ładu w celu usunięcia kont, gdy pracownicy nie będą już ich potrzebować. Jak zautomatyzować anulowanie aprowizacji z aplikacji?

Zalecenie: Obsługa punktu końcowego /Users zgodnego ze standardem SCIM. Usługa aprowizacji firmy Microsoft wyśle żądania wyłączenia i usunięcia, gdy użytkownik nie powinien już mieć dostępu. Zalecamy obsługę zarówno wyłączania, jak i usuwania użytkowników. Zapoznaj się z poniższymi przykładami, aby dowiedzieć się, jak wygląda żądanie wyłączenia i usunięcia.

Wyłączanie użytkownika

PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
    "Operations": [
        {
            "op": "Replace",
            "path": "active",
            "value": false
        }
    ],
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ]
}

Usuwanie użytkownika

DELETE /Users/5171a35d82074e068ce2 HTTP/1.1

Scenariusz 3. Automatyzowanie zarządzania członkostwem w grupach w mojej aplikacji

Moja aplikacja korzysta z grup w celu uzyskania dostępu do różnych zasobów, a klienci chcą ponownie użyć grup, które mają w identyfikatorze Entra firmy Microsoft. Jak mogę importować grupy z identyfikatora Entra firmy Microsoft i aktualizować je w miarę zmiany członkostwa?

Zalecenie: Obsługa punktu końcowego zgodnego ze standardem SCIM /Groups. Usługa aprowizacji firmy Microsoft zajmie się tworzeniem grup i zarządzaniem aktualizacjami członkostwa w aplikacji.

Scenariusz 4. Wzbogacanie aplikacji o dane z usługi firmy Microsoft, takich jak Teams, Outlook i OneDrive

Moja aplikacja jest wbudowana w aplikację Microsoft Teams i opiera się na danych komunikatów. Ponadto przechowujemy pliki dla użytkowników w usłudze OneDrive. Jak mogę wzbogacić aplikację o dane z tych usług i w całej firmie Microsoft?

Zalecenie: Program Microsoft Graph to punkt wejścia umożliwiający dostęp do danych firmy Microsoft. Każde obciążenie uwidacznia interfejsy API z potrzebnymi danymi. Program Microsoft Graph może być używany wraz z aprowizowaniem SCIM w powyższych scenariuszach. Za pomocą interfejsu SCIM możesz aprowizować podstawowe atrybuty użytkownika w aplikacji podczas wywoływania grafu w celu uzyskania innych potrzebnych danych.

Scenariusz 5. Śledzenie zmian w usługi firmy Microsoft, takich jak Teams, Outlook i Microsoft Entra ID

Chcę mieć możliwość śledzenia zmian w wiadomościach usługi Teams i outlook oraz reagowania na nie w czasie rzeczywistym. Jak mogę wypchnąć te zmiany do mojej aplikacji?

Zalecenie: Program Microsoft Graph udostępnia powiadomienia o zmianach i śledzenie zmian dla różnych zasobów. Zwróć uwagę na następujące ograniczenia powiadomień o zmianie:

  • Jeśli odbiorca zdarzeń potwierdzi zdarzenie, ale nie może działać na nim z jakiegokolwiek powodu, zdarzenie może zostać utracone.
  • Kolejność odbierania zmian nie jest gwarantowana chronologicznie.
  • Powiadomienia o zmianach nie zawsze zawierają dane zasobów Z powyższych powodów deweloperzy często używają powiadomień o zmianach wraz ze śledzeniem zmian w scenariuszach synchronizacji.

Scenariusz 6. Aprowizuj użytkowników i grupy w identyfikatorze Entra firmy Microsoft

Moja aplikacja tworzy informacje o użytkowniku, którego potrzebują klienci w identyfikatorze Entra firmy Microsoft. Może to być aplikacja kadrowa niż zarządzanie zatrudnianiem, aplikacją komunikacji, która tworzy numery telefonów dla użytkowników lub inną aplikację, która generuje dane, które byłyby cenne w identyfikatorze Entra firmy Microsoft. Jak mogę wypełnić rekord użytkownika w identyfikatorze Entra firmy Microsoft danymi?

Zalecenie Wykres firmy Microsoft uwidacznia punkty końcowe /Users i /Groups, które można zintegrować z dzisiaj, aby aprowizować użytkowników w usłudze Microsoft Entra ID. Należy pamiętać, że identyfikator Entra firmy Microsoft nie obsługuje zapisywania tych użytkowników z powrotem w usłudze Active Directory.

Uwaga

Firma Microsoft ma usługę aprowizacji, która pobiera dane z aplikacji hr, takich jak Workday i SuccessFactors. Te integracje są tworzone i zarządzane przez firmę Microsoft. Aby dołączyć nową aplikację kadrową do naszej usługi, możesz zażądać jej w witrynie UserVoice.