Поделиться через


Планирование автоматического развертывания подготовки пользователей в идентификаторе Microsoft Entra

Во многих организациях для эффективной работы пользователей используются такие приложения SaaS, как ServiceNow, Zscaler и Slack. Исторически ИТ-специалисты опирались на методы подготовки вручную, такие как отправка CSV-файлов или использование пользовательских скриптов для безопасного управления удостоверениями пользователей в каждом приложении SaaS. Такие процессы подвержены ошибкам. Они небезопасны и трудноуправляемы.

Автоматическая подготовка пользователей Microsoft Entra упрощает этот процесс путем безопасного автоматизации создания, обслуживания и удаления удостоверений пользователей в приложениях SaaS на основе бизнес-правил. Эта автоматизация позволяет эффективно масштабировать системы управления удостоверениями как в облачных, так и в гибридных средах по мере расширения их зависимости от облачных решений.

Ознакомьтесь с разделом Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra, чтобы лучше понять функциональные возможности.

Помимо подготовки в приложениях SaaS, автоматическая подготовка пользователей Microsoft Entra также поддерживает подготовку во многих локальных и частных облачных приложениях. Дополнительные сведения см. в статье о архитектуре подготовки удостоверений локальных приложений Microsoft Entra.

Learn

Подготовка пользователей образует основу для текущих процессов управления удостоверениями и улучшает бизнес-процессы, которые зависят от достоверных данных удостоверений.

Ключевые преимущества

Основные преимущества включения автоматической подготовки пользователей:

  • Повышенная производительность. Вы можете управлять удостоверениями пользователей в приложениях SaaS с помощью единого интерфейса управления подготовкой пользователей. Этот интерфейс имеет единый набор политик подготовки.

  • Управление риском. Вы можете повысить уровень безопасности, автоматизируя изменения на основе состояния сотрудников или членства в группах, определяющих роли и (или) доступ.

  • Соответствие нормативным требованиям и система управления. Идентификатор Microsoft Entra поддерживает собственные журналы подготовки для каждого запроса на подготовку пользователей. Запросы выполняются как в исходной, так и в целевой системах. Журналы подготовки позволяют отслеживать, кто имеет доступ к приложениям с одного экрана.

  • Сокращение затрат. Автоматическая подготовка снижает затраты благодаря предотвращению неэффективных действий и ошибок оператора, связанных с процессом подготовки вручную. Это снижает потребность в пользовательских решениях подготовки пользователей, сценариях и журналах подготовки.

Лицензирование

Идентификатор Microsoft Entra обеспечивает самостоятельную интеграцию любого приложения с помощью шаблонов, предоставленных в меню коллекции приложений. Полный список требований к лицензии см . на странице цен Microsoft Entra.

Лицензирование приложений

Вам нужны соответствующие лицензии для приложений, которые вы хотите автоматически подготовить. Обсудите с владельцами приложений, имеют ли пользователи, назначенные приложению, соответствующие лицензии для своих ролей приложений. Если идентификатор Microsoft Entra id управляет автоматической подготовкой на основе ролей, роли, назначенные в идентификаторе Microsoft Entra, должны соответствовать лицензиям приложений. Неправильные лицензии, принадлежащие приложению, могут привести к ошибкам во время подготовки или обновления пользователя.

Условия

В этой статье используются следующие термины:

  • Операции CRUD — действия, выполняемые с учетными записями пользователей: создание, чтение, обновление, удаление.

  • Единый вход (SSO) — возможность пользователя получить доступ ко всем приложениям с поддержкой единого входа войдя в систему однократно. В контексте подготовки пользователей единый вход является результатом того, что пользователи имеют одну учетную запись для доступа ко всем системам, использующим автоматическую подготовку пользователей.

  • Исходная система — репозиторий пользователей, из которым подготавливает идентификатор Microsoft Entra. Идентификатор Microsoft Entra — это исходная система для большинства предварительно подготовленных соединителей подготовки. Но есть некоторые исключения среди облачных приложений, таких как SAP, Workday и AWS. Для примера см. Настройка подготовки пользователей из Workday в Azure AD.

  • Целевая система — репозиторий пользователей, которым подготавливает идентификатор Microsoft Entra. Целевая система обычно является приложением SaaS, например ServiceNow, Zscaler или Slack. Целевая система также может быть локальной системой, такой как AD.

  • Система для управления междоменными удостоверениями (SCIM) — открытый стандарт, позволяющий автоматизировать подготовку пользователей. SCIM обменивается данными удостоверений пользователей между поставщиками удостоверений и поставщиками услуг. Корпорация Майкрософт является примером поставщика удостоверений. Salesforce является примером поставщика услуг. Поставщики служб требуют сведений об удостоверениях пользователей, и поставщик удостоверений соответствует этим требованиям. SCIM — это механизм, используемый поставщиком удостоверений и поставщиком услуг для отправки информации обратно и вперед.

Обучающие материалы

Ресурсы Ссылка и описание
Онлайн-тренинги по запросу Управление корпоративными приложениями с помощью идентификатора Microsoft Entra
Узнайте, как идентификатор Microsoft Entra поможет вам достичь единого входа в корпоративные приложения SaaS и рекомендации по управлению доступом.
Видео Что такое подготовка пользователей в Azure Active Directory?
Как развернуть подготовку пользователей в Azure Active Directory?
Интеграция Salesforce с идентификатором Microsoft Entra ID: автоматизация подготовки пользователей
Онлайн-курсы Повышение навыков в сети: Управление удостоверениями
Узнайте, как интегрировать идентификатор Microsoft Entra с множеством приложений SaaS и обеспечить безопасный доступ пользователей к этим приложениям.
Книги Современная проверка подлинности с помощью идентификатора Microsoft Entra для веб-приложений (справочник разработчика) 1-го выпуска.
Это авторитетное, подробное руководство по созданию решений проверки подлинности Active Directory для этих новых сред.
Учебники См. список руководств по интеграции приложений SaaS с идентификатором Microsoft Entra.
Вопросы и ответы Часто задаваемые вопросы об автоматической подготовке пользователей

Архитектуры решений

Служба подготовки Microsoft Entra подготавливает пользователей к приложениям SaaS и другим системам путем подключения к конечным точкам API управления пользователями, предоставляемым каждым поставщиком приложений. Эти конечные точки API управления пользователями позволяют идентификатору Microsoft Entra программно создавать, обновлять и удалять пользователей.

Автоматическая подготовка пользователей для гибридных предприятий

В этом примере пользователи и группы создаются в базе данных отдела кадров, подключенной к локальному каталогу. Служба подготовки Microsoft Entra управляет автоматической подготовкой пользователей в целевых приложениях SaaS.

подготовка пользователей

Описание рабочего процесса:

  1. Пользователи и группы создаются в локальном приложении или системе отдела кадров, например SAP.

  2. Агент Microsoft Entra Connect выполняет запланированные синхронизации удостоверений (пользователей и групп) из локального AD в идентификатор Microsoft Entra.

  3. Служба подготовки Microsoft Entra начинает начальный цикл исходной системы и целевой системы.

  4. Служба подготовки Microsoft Entra запрашивает исходную систему для всех пользователей и групп, измененных с момента начального цикла, и отправляет изменения в добавочных циклах.

Автоматическая подготовка пользователей для облачных предприятий

В этом примере создание пользователей происходит в идентификаторе Microsoft Entra, а служба подготовки Microsoft Entra управляет автоматической подготовкой пользователей для целевых приложений (SaaS).

Схема, показывающая процесс создания пользователей или групп из локального приложения H R через службу подготовки Microsoft Entra к целевым приложениям S A A S.

Описание рабочего процесса:

  1. Пользователи и группы создаются в идентификаторе Microsoft Entra.

  2. Служба подготовки Microsoft Entra начинает начальный цикл исходной системы и целевой системы.

  3. Служба подготовки Microsoft Entra запрашивает исходную систему для всех пользователей и групп, обновленных с момента начального цикла, и выполняет все добавочные циклы.

Автоматическая подготовка пользователей для облачных приложений отдела кадров

В этом примере пользователи и группы создаются в облачном приложении отдела кадров, таком как Workday или SuccessFactors. Служба подготовки Microsoft Entra и агент подготовки Microsoft Entra Connect подготавливают данные пользователей из клиента облачного приложения hr app в AD. После обновления учетных записей в AD он синхронизируется с идентификатором Microsoft Entra через Microsoft Entra Connect, а адреса электронной почты и атрибуты имени пользователя можно записать обратно в клиент облачного приложения hr app.

Рисунок 2

  1. Отдел кадров выполняет транзакции в облачном клиенте приложения отдела кадров.
  2. Служба подготовки Microsoft Entra выполняет запланированные циклы из клиента облачного приложения отдела кадров и определяет изменения, которые необходимо обрабатывать для синхронизации с AD.
  3. Служба подготовки Microsoft Entra вызывает агент подготовки Microsoft Entra Connect с полезными данными запроса, содержащими учетную запись AD create/update/enable/disable operations.
  4. Агент подготовки Microsoft Entra Connect использует учетную запись службы для управления данными учетной записи AD.
  5. Microsoft Entra Connect выполняет разностную синхронизацию для извлечения обновлений в AD.
  6. Обновления AD синхронизируются с идентификатором Microsoft Entra.
  7. Microsoft Entra provisioning service writebacks email attributes and username from Microsoft Entra ID to the cloud HR app tenant.

Планирование проекта развертывания

Рассмотрите потребности своей организации для определения стратегии развертывания подготовки пользователей в вашей среде.

Привлечение соответствующих заинтересованных лиц

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их возможностей, результатов и обязанностей. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете нужных заинтересованных лиц, и их роли в проекте очевидны. Задокументируйте заинтересованных лиц и их вклад в проект для подотчетности.

Планирование информирования

Информирование важно для успеха любой новой службы. Упреждающее взаимодействие с пользователями о своем опыте, о том, как изменяется интерфейс, когда ожидается любое изменение и как получить поддержку, если у них возникают проблемы.

Планирование пилотного проекта

Рекомендуется использовать начальную конфигурацию автоматической подготовки пользователей в тестовой среде с небольшим подмножеством пользователей перед масштабированием для всех пользователей в рабочей среде. См. рекомендации касательно выполнения пилотного проекта.

Рекомендации по пилотным проектам

Пилотный проект позволяет протестировать возможность на небольшой группе, прежде чем развертывать ее для всех. Убедитесь, что в рамках тестирования тщательно проверяется каждый вариант использования в вашей организации.

Первая волна должна быть нацелена на ИТ-специалистов, специалистов по удобству использования и других пользователей, которые могут тестировать и предоставлять отзывы. Используйте эти отзывы для дальнейшей разработки коммуникаций и инструкций, которые вы отправляете пользователям, а также для предоставления ценных сведений о типах проблем, с которыми могут столкнуться сотрудники службы поддержки.

Расширьте развертывание на более крупные группы пользователей, увеличив область целевых групп. Увеличение области групп выполняется с помощью динамических групп членства или путем добавления пользователей в целевые группы.

Планирование подключений приложений и администрирования

Используйте Центр администрирования Microsoft Entra для просмотра всех приложений, поддерживающих подготовку. См. Поиск приложений на портале.

Определение используемого типа соединителя

Фактические действия, необходимые для включения и настройки автоматической подготовки, зависят от приложения. Если приложение, которое вы хотите автоматически подготовить, отображается в коллекции приложений Microsoft Entra SaaS, необходимо выбрать руководство по интеграции с приложением для настройки предварительно подготовленного соединителя подготовки пользователей.

Если нет, выполните следующие действия.

  1. Создайте запрос предварительно подготовленного соединителя подготовки пользователей. Наша команда работает с вами и разработчиком приложений, чтобы подключить приложение к нашей платформе, если он поддерживает SCIM.

  2. Используйте для приложения поддержку универсальной подготовки пользователей BYOA SCIM. Использование SCIM — это требование для идентификатора Microsoft Entra для подготовки пользователей к приложению без предварительно подготовленного соединителя подготовки.

  3. Если приложение может использовать соединитель BYOA SCIM, см. руководство по интеграции BYOA SCIM, чтобы настроить соединитель BYOA SCIM для приложения.

Дополнительные сведения см. в статье о том, какие приложения и системы можно использовать с автоматической подготовкой пользователей Microsoft Entra?

Получение сведений для авторизации доступа к приложениям

Настройка автоматической подготовки пользователей — это процесс для каждого отдельного приложения. Для каждого приложения необходимо предоставить учетные данные администратора, чтобы подключиться к конечной точке управления пользователями целевой системы.

На изображении показана одна версия необходимых учетных данных администратора:

Экран подготовки для управления параметрами подготовки учетных записей пользователей

Хотя некоторым приложениям требуется имя пользователя и пароль администратора, другие могут потребовать маркер носителя.

План подготовки пользователей и групп

Если включить подготовку пользователей для корпоративных приложений, центр администрирования Microsoft Entra управляет значениями атрибутов с помощью сопоставления атрибутов.

Определение операций для каждого из приложений SaaS

Каждое приложение может иметь уникальные атрибуты пользователя или группы, которые должны быть сопоставлены с атрибутами в идентификаторе Microsoft Entra. В приложении может быть доступно только подмножество операций CRUD.

Для каждого приложения запишите следующие сведения:

  • Операции подготовки CRUD, которые следует выполнять с объектами пользователя и группы для целевых систем. Например, каждый бизнес-владелец приложения SaaS может не использовать все возможные операции.

  • Атрибуты, доступные в исходной системе

  • Атрибуты, доступные в целевой системе

  • Сопоставление атрибутов между системами.

Выбор пользователей и групп для подготовки

Перед реализацией автоматической подготовки пользователей необходимо определить пользователей и группы, которые должны быть подготовлены для приложения.

  • С помощью фильтров области можно задать правила на основе атрибутов, которые управляют подготовкой пользователей для работы с приложением.

  • Затем используйте назначения пользователей и групп при необходимости для дополнительной фильтрации.

Определение сопоставления атрибутов пользователей и групп

Чтобы реализовать автоматическую подготовку пользователей, необходимо определить атрибуты пользователя и группы, необходимые для приложения. Существует предварительно настроенный набор атрибутов и сопоставлений атрибутов между пользовательскими объектами Microsoft Entra и пользовательскими объектами каждого приложения SaaS. Не все приложения SaaS включают атрибуты группы.

Идентификатор Microsoft Entra поддерживается путем прямого сопоставления атрибутов к атрибутам, предоставления константных значений или написания выражений для сопоставлений атрибутов. Эта гибкость обеспечивает точное управление заполнением атрибута целевой системы. С помощью API Microsoft Graph и Graph Explorer можно экспортировать сопоставления атрибутов подготовки пользователей и схему в JSON-файл и импортировать его обратно в идентификатор Microsoft Entra.

Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей для приложений SaaS" в идентификаторе Microsoft Entra ID.

Особые рекомендации по подготовке пользователей

Примите во внимание следующие факторы, чтобы сократить число проблем после развертывания.

  • Убедитесь, что атрибуты, используемые для сопоставления объектов пользователя или группы между исходным и целевым приложениями, являются устойчивыми. Пользователи и группы не должны подготавливаться неправильным образом при изменении атрибутов (например, если пользователь перемещается в другую часть компании).

  • Приложения могут иметь определенные ограничения и (или) требования, которые должны быть удовлетворены для правильной работы подготовки пользователей. Например, Slack усекает значения для определенных атрибутов. Ознакомьтесь с руководствами по автоматической подготовке пользователей, специфичными для каждого приложения.

  • Подтвердите согласованность схемы между исходной и целевой системами. Распространенные проблемы включают несовпадение таких атрибутов, как имя участника-пользователя или почта. Например, имя участника-пользователя в идентификаторе Microsoft Entra, заданном как john_smith@contoso.com и в приложении, это jsmith@contoso.com. Дополнительные сведения см. в справочнике по схеме пользователей и групп.

Планирование тестирования и безопасности

На каждом этапе развертывания убедитесь, что результаты проверки соответствуют ожидаемым, и выполните аудит циклов подготовки.

Планирование тестирования

Сначала настройте автоматическую подготовку пользователей для приложения. Затем выполните тестовые случаи, чтобы проверить, соответствует ли решение требованиям вашей организации.

Сценарии Ожидаемые результаты
Пользователь добавляется в группу, назначенную целевой системе. Объект пользователя подготовлен в целевой системе.
Пользователь может войти в целевую систему и выполнить необходимые действия.
Пользователь удаляется из группы, назначенной целевой системе. Подготовка объекта пользователя в целевой системе завершена.
Пользователь не может войти в целевую систему.
Сведения о пользователях обновляются в идентификаторе Microsoft Entra по любому методу. Обновленные атрибуты пользователя отражаются в целевой системе после добавочного цикла.
Пользователь выходит из области. Объект пользователя отключен или удален.
Примечание. Это поведение переопределено для подготовки Workday.

Планирование безопасности

Как правило, в рамках развертывания необходима проверка безопасности. Если вам требуется проверка безопасности, ознакомьтесь со многими документами по идентификатору Microsoft Entra ID, которые предоставляют обзор удостоверений в качестве службы.

Планирование отката

Если реализация автоматической подготовки пользователей не работает должным образом в рабочей среде, следующие шаги отката помогут вам вернуться к предыдущему известному хорошему состоянию:

  1. Изучите журналы подготовки, чтобы определить, какие неправильные операции выполнялись с затронутыми пользователями или группами.

  2. Используйте журналы подготовки, чтобы определить последнее известное состояние пользователей и (или) затронутых групп. Также просмотрите исходные системы (идентификатор Microsoft Entra или AD).

  3. Обратитесь к владельцу приложения, чтобы обновить затронутых пользователей и (или) группы, непосредственно в приложении, используя последние известные значения хорошего состояния.

Развертывание службы автоматической подготовки пользователей

Выберите шаги, которые должны быть согласованы с требованиями решения.

Подготовка к начальному циклу

При первом запуске службы подготовки Microsoft Entra начальный цикл для исходной системы и целевых систем создает моментальный снимок всех пользовательских объектов для каждой целевой системы.

При включении автоматической подготовки для приложения начальный цикл занимает от 20 минут до нескольких часов. Длительность зависит от размера каталога Microsoft Entra и количества пользователей в области подготовки.

Служба подготовки сохраняет состояние обеих систем после начального цикла, повышая производительность последующих добавочных циклов.

Настройка автоматической подготовки пользователей

Используйте Центр администрирования Microsoft Entra для управления автоматической подготовкой учетных записей пользователей и отменой подготовки приложений, поддерживающих его. Выполните действия, описанные в Как настроить автоматический вход в приложение?

Службу подготовки пользователей Microsoft Entra также можно настроить и управлять с помощью API Microsoft Graph.

Управление автоматической подготовкой пользователей

Теперь, когда вы выполнили развертывание, необходимо управлять решением.

Мониторинг работоспособности операций подготовки пользователей

После успешного начального цикла служба подготовки Microsoft Entra будет выполнять добавочные обновления неограниченное время с интервалами, определенными для каждого приложения, до тех пор, пока не произойдет одно из следующих событий:

  • Служба остановлена вручную, и новый начальный цикл активируется с помощью Центра администрирования Microsoft Entra или с помощью соответствующей команды API Microsoft Graph.

  • Новый начальный цикл активирует изменение сопоставлений атрибутов или фильтров области.

  • Процесс подготовки переходит в карантин из-за высокой частоты ошибок и остается в карантине более четырех недель, после чего он автоматически отключен.

Чтобы просмотреть эти события и все остальные действия, выполняемые службой подготовки, см. в журналах подготовки Microsoft Entra.

Чтобы понять, сколько времени занимают циклы подготовки и отследить ход выполнения задания подготовки, можно проверить состояние подготовки пользователей.

Получение ценной информации из отчетов

Идентификатор Microsoft Entra может предоставить дополнительные сведения об использовании и работоспособности пользователей вашей организации с помощью журналов подготовки и отчетов. Дополнительные сведения о аналитике пользователей см. в статье "Проверка состояния подготовки пользователей".

Администраторы должны проверить сводный отчет о подготовке для отслеживания работоспособности задания подготовки. Все действия, выполняемые службой подготовки, записываются в журналы подготовки Microsoft Entra. См. Руководство по отчетам об автоматической подготовке учетных записей пользователей.

Рекомендуется принимать владение этими отчетами и использовать их в ритме, соответствующем требованиям вашей организации. Идентификатор Microsoft Entra хранит большинство данных аудита в течение 30 дней.

Устранение неполадок

Сведения об устранении неполадок, которые могут возникать во время подготовки, см. по следующим ссылкам:

Полезная документация

Ресурсы

Следующие шаги