Korzystanie ze środowiska SCIM i programu Microsoft Graph w celu aprowizacji użytkowników i wzbogacania aplikacji przy użyciu potrzebnych danych
Docelowi odbiorcy: ten artykuł jest przeznaczony dla deweloperów tworzących aplikacje do zintegrowania z identyfikatorem Entra firmy Microsoft. Jeśli chcesz używać aplikacji już zintegrowanych z identyfikatorem Firmy Microsoft Entra, takim jak Zoom, ServiceNow i DropBox, możesz pominąć ten artykuł i przejrzeć samouczki specyficzne dla aplikacji lub przejrzeć sposób działania usługi aprowizacji.
Typowe scenariusze
Microsoft Entra ID udostępnia wbudowaną usługę aprowizacji i rozszerzalną platformę do kompilowania aplikacji. Drzewo decyzyjne przedstawia sposób używania przez dewelopera SCIM i programu Microsoft Graph do automatyzowania aprowizacji.
- Automatyczne tworzenie użytkowników w mojej aplikacji
- Automatycznie usuwaj użytkowników z mojej aplikacji, gdy nie powinni już mieć dostępu
- Integrowanie aplikacji z wieloma dostawcami tożsamości na potrzeby aprowizacji
- Wzbogacaj moją aplikację o dane z usługi firmy Microsoft, takich jak Teams, Outlook i Office.
- Automatyczne tworzenie, aktualizowanie i usuwanie użytkowników i grup w usłudze Microsoft Entra ID i Active Directory
Scenariusz 1. Automatyczne tworzenie użytkowników w mojej aplikacji
Obecnie administratorzy IT aprowizować użytkowników przez ręczne tworzenie kont użytkowników lub okresowe przekazywanie plików CSV do aplikacji. Proces ten jest czasochłonny dla klientów i spowalnia wdrażanie mojej aplikacji. Potrzebne są podstawowe informacje o użytkowniku, takie jak nazwa, adres e-mail i userPrincipalName, aby utworzyć użytkownika.
Zalecenie:
- Jeśli klienci korzystają z różnych dostawców tożsamości i nie chcesz obsługiwać aparatu synchronizacji w celu zintegrowania z każdym z nich, obsługa punktu końcowego /Users zgodnego ze standardem SCIM. Klienci będą mogli łatwo używać tego punktu końcowego do integracji z usługą aprowizacji firmy Microsoft i automatycznie tworzyć konta użytkowników, gdy potrzebują dostępu. Punkt końcowy można skompilować raz i będzie on zgodny ze wszystkimi dostawcami tożsamości. Zapoznaj się z poniższym przykładowym żądaniem, aby dowiedzieć się, jak użytkownik zostanie utworzony przy użyciu protokołu SCIM.
- Jeśli potrzebujesz danych użytkownika znalezionych w obiekcie użytkownika w usłudze Microsoft Entra ID i innych danych z całej firmy Microsoft, rozważ utworzenie punktu końcowego SCIM na potrzeby aprowizacji użytkowników i wywołania do programu Microsoft Graph, aby uzyskać pozostałe dane.
POST /Users
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User",
"urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
"externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
"userName": "BillG",
"active": true,
"meta": {
"resourceType": "User"
},
"name": {
"formatted": "Bill Gates",
"familyName": "Gates",
"givenName": "Bill"
},
"roles": []
}
Scenariusz 2. Automatyczne usuwanie użytkowników z mojej aplikacji
Klienci korzystający z mojej aplikacji są skoncentrowani na zabezpieczeniach i mają wymagania dotyczące ładu w celu usunięcia kont, gdy pracownicy nie będą już ich potrzebować. Jak zautomatyzować anulowanie aprowizacji z aplikacji?
Zalecenie: Obsługa punktu końcowego /Users zgodnego ze standardem SCIM. Usługa aprowizacji firmy Microsoft wyśle żądania wyłączenia i usunięcia, gdy użytkownik nie powinien już mieć dostępu. Zalecamy obsługę zarówno wyłączania, jak i usuwania użytkowników. Zapoznaj się z poniższymi przykładami, aby dowiedzieć się, jak wygląda żądanie wyłączenia i usunięcia.
Wyłączanie użytkownika
PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
"Operations": [
{
"op": "Replace",
"path": "active",
"value": false
}
],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
]
}
Usuwanie użytkownika
DELETE /Users/5171a35d82074e068ce2 HTTP/1.1
Scenariusz 3. Automatyzowanie zarządzania członkostwem w grupach w mojej aplikacji
Moja aplikacja korzysta z grup w celu uzyskania dostępu do różnych zasobów, a klienci chcą ponownie użyć grup, które mają w identyfikatorze Entra firmy Microsoft. Jak mogę importować grupy z identyfikatora Entra firmy Microsoft i aktualizować je w miarę zmiany członkostwa?
Zalecenie: Obsługa punktu końcowego zgodnego ze standardem SCIM /Groups. Usługa aprowizacji firmy Microsoft zajmie się tworzeniem grup i zarządzaniem aktualizacjami członkostwa w aplikacji.
Scenariusz 4. Wzbogacanie aplikacji o dane z usługi firmy Microsoft, takich jak Teams, Outlook i OneDrive
Moja aplikacja jest wbudowana w aplikację Microsoft Teams i opiera się na danych komunikatów. Ponadto przechowujemy pliki dla użytkowników w usłudze OneDrive. Jak mogę wzbogacić aplikację o dane z tych usług i w całej firmie Microsoft?
Zalecenie: Program Microsoft Graph to punkt wejścia umożliwiający dostęp do danych firmy Microsoft. Każde obciążenie uwidacznia interfejsy API z potrzebnymi danymi. Program Microsoft Graph może być używany wraz z aprowizowaniem SCIM w powyższych scenariuszach. Za pomocą interfejsu SCIM możesz aprowizować podstawowe atrybuty użytkownika w aplikacji podczas wywoływania grafu w celu uzyskania innych potrzebnych danych.
Scenariusz 5. Śledzenie zmian w usługi firmy Microsoft, takich jak Teams, Outlook i Microsoft Entra ID
Chcę mieć możliwość śledzenia zmian w wiadomościach usługi Teams i outlook oraz reagowania na nie w czasie rzeczywistym. Jak mogę wypchnąć te zmiany do mojej aplikacji?
Zalecenie: Program Microsoft Graph udostępnia powiadomienia o zmianach i śledzenie zmian dla różnych zasobów. Zwróć uwagę na następujące ograniczenia powiadomień o zmianie:
- Jeśli odbiorca zdarzeń potwierdzi zdarzenie, ale nie może działać na nim z jakiegokolwiek powodu, zdarzenie może zostać utracone.
- Kolejność odbierania zmian nie jest gwarantowana chronologicznie.
- Powiadomienia o zmianach nie zawsze zawierają dane zasobów Z powyższych powodów deweloperzy często używają powiadomień o zmianach wraz ze śledzeniem zmian w scenariuszach synchronizacji.
Scenariusz 6. Aprowizuj użytkowników i grupy w identyfikatorze Entra firmy Microsoft
Moja aplikacja tworzy informacje o użytkowniku, którego potrzebują klienci w identyfikatorze Entra firmy Microsoft. Może to być aplikacja kadrowa niż zarządzanie zatrudnianiem, aplikacją komunikacji, która tworzy numery telefonów dla użytkowników lub inną aplikację, która generuje dane, które byłyby cenne w identyfikatorze Entra firmy Microsoft. Jak mogę wypełnić rekord użytkownika w identyfikatorze Entra firmy Microsoft danymi?
Zalecenie Wykres firmy Microsoft uwidacznia punkty końcowe /Users i /Groups, które można zintegrować z dzisiaj, aby aprowizować użytkowników w usłudze Microsoft Entra ID. Należy pamiętać, że identyfikator Entra firmy Microsoft nie obsługuje zapisywania tych użytkowników z powrotem w usłudze Active Directory.
Uwaga
Firma Microsoft ma usługę aprowizacji, która pobiera dane z aplikacji hr, takich jak Workday i SuccessFactors. Te integracje są tworzone i zarządzane przez firmę Microsoft. Aby dołączyć nową aplikację kadrową do naszej usługi, możesz zażądać jej w witrynie UserVoice.