Co je zřizování aplikací v Microsoft Entra ID?

V MICROSOFT Entra ID termín zřizování aplikace odkazuje na automatické vytváření identit a rolí uživatelů pro aplikace.

Diagram that shows provisioning scenarios.

Zřizování aplikací Microsoft Entra odkazuje na automatické vytváření identit a rolí uživatelů v aplikacích, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Mezi běžné scénáře patří zřízení uživatele Microsoft Entra do aplikací SaaS, jako je Dropbox, Salesforce, ServiceNow a mnoho dalších.

ID Microsoft Entra také podporuje zřizování uživatelů do aplikací hostovaných místně nebo na virtuálním počítači, aniž by bylo nutné otevírat žádné brány firewall. Následující tabulka obsahuje mapování protokolů na podporované konektory.

Protokol Konektor
SCIM SCIM – SaaS
SCIM – místní / privátní síť
LDAP LDAP
SQL SQL
REST Webové služby
SOAP Webové služby
Plochý soubor PowerShell
Vlastní Vlastní konektory ECMA
Připojení orů a bran vytvořených partnery
  • Automatizace zřizování: Automatické vytváření nových účtů ve správných systémech pro nové lidi, když se připojí k vašemu týmu nebo organizaci.
  • Automatizace zrušení zřízení: Automatické deaktivace účtů ve správných systémech, když lidé opustí tým nebo organizaci.
  • Synchronizace dat mezi systémy: Udržujte identity v aplikacích a systémech aktuální na základě změn v adresáři nebo systému lidských zdrojů.
  • Zřizování skupin: Zřiďte skupiny pro aplikace, které je podporují.
  • Řízení přístupu: Monitorování a auditování uživatelů zřízených v aplikacích
  • Bezproblémové nasazení ve scénářích hnědých polí: Porovná stávající identity mezi systémy a umožňuje snadnou integraci, i když už uživatelé v cílovém systému existují.
  • Používejte bohaté přizpůsobení: Využijte přizpůsobitelné mapování atributů, které definují, jaká uživatelská data by měla proudit ze zdrojového systému do cílového systému.
  • Získejte upozornění na kritické události: Služba zřizování poskytuje výstrahy pro kritické události a umožňuje integraci log Analytics, kde můžete definovat vlastní výstrahy tak, aby vyhovovaly vašim obchodním potřebám.

Co je SCIM?

Aplikace zpřístupňují vlastní uživatelská a skupinová rozhraní API, která pomáhají automatizovat zřizování a rušení zřizování. Správa uživatelů ve více než jedné aplikaci je výzvou, protože se každá aplikace pokusí provést stejné akce. Například vytváření nebo aktualizace uživatelů, přidávání uživatelů do skupin nebo rušení zřizování uživatelů. Vývojáři tyto akce často implementují trochu jinak. Například použití různých cest koncového bodu, různé metody pro zadání informací o uživateli a různé schéma představující jednotlivé prvky informací.

Kvůli řešení těchto problémů poskytuje specifikace SCIM (System for Cross-Domain Identity Management) společné uživatelské schéma, které uživatelům pomáhá při přechodu na aplikace, z nich a kolem aplikací. SCIM se stává standardem de facto pro zřizování a při použití s federačními standardy, jako je SAML (Security Assertions Markup Language) nebo OpenID Připojení (OIDC), poskytuje správcům ucelené řešení založené na standardech pro správu přístupu.

Podrobné pokyny k vývoji koncového bodu SCIM pro automatizaci zřizování a rušení zřizování uživatelů a skupin pro aplikaci najdete v tématu Sestavení koncového bodu SCIM a konfigurace zřizování uživatelů. Mnoho aplikací se integruje přímo s Microsoft Entra ID. Mezi příklady patří Slack, Azure Databricks a Snowflake. U těchto aplikací přeskočte dokumentaci pro vývojáře a použijte kurzy uvedené v kurzech pro integraci aplikací SaaS s Microsoft Entra ID.

Ruční vs. automatické zřizování

Aplikace v galerii Microsoft Entra podporují jeden ze dvou režimů zřizování:

  • Ruční zřizování znamená, že pro aplikaci ještě neexistuje žádný automatický konektor zřizování Microsoft Entra. Musíte je vytvořit ručně. Příkladem je přidání uživatelů přímo na portál pro správu aplikace nebo nahrání tabulky s podrobnostmi o uživatelském účtu. Projděte si dokumentaci, kterou aplikace poskytuje, nebo se obraťte na vývojáře aplikací a zjistěte, jaké mechanismy jsou k dispozici.
  • Automatické znamená, že tento konektor microsoft Entra provisioning connector je k dispozici. Postupujte podle kurzu nastavení specifického pro nastavení zřizování pro aplikaci. Kurzy aplikací najdete v kurzech pro integraci aplikací SaaS s Microsoft Entra ID.

Režim zřizování podporovaný aplikací je také viditelný na kartě Zřizování po přidání aplikace do podnikových aplikací.

Výhody automatického zřizování

Početaplikacích Vy jako správce IT musíte spravovat správu přístupu ve velkém měřítku. Pro jednotné přihlašování (SSO) používáte standardy, jako je SAML nebo OIDC, ale přístup také vyžaduje zřízení uživatelů v aplikaci. Možná si myslíte, že zřizování znamená ruční vytvoření každého uživatelského účtu nebo nahrání souborů CSV každý týden. Tyto procesy jsou časově náročné, nákladné a náchylné k chybám. Pokud chcete proces zjednodušit, použijte k automatizaci zřizování protokol SAML za běhu (JIT). Stejný postup použijte k zrušení zřízení uživatelů, když opustí organizaci nebo už nevyžadují přístup k určitým aplikacím na základě změny role.

Mezi běžné motivace při používání automatického zřizování patří:

  • Maximalizace efektivity a přesnosti procesů zřizování
  • Úspora nákladů spojených s hostováním a údržbou vlastních řešení a skriptů zřizování.
  • Zabezpečení organizace okamžitým odebráním identit uživatelů z klíčových aplikací SaaS, když opustí organizaci.
  • Snadné importování velkého počtu uživatelů do konkrétní aplikace nebo systému SaaS
  • Jedna sada zásad pro určení zřízených uživatelů, kteří se můžou přihlásit k aplikaci.

Zřizování uživatelů Microsoft Entra vám může pomoct tyto problémy vyřešit. Další informace o tom, jak zákazníci používají zřizování uživatelů Microsoft Entra, najdete v případové studii ASOS. Následující video obsahuje přehled zřizování uživatelů v Microsoft Entra ID.

Jaké aplikace a systémy můžu používat s automatickým zřizováním uživatelů Microsoft Entra?

Funkce Microsoft Entra předintegrované pro mnoho oblíbených aplikací SaaS a systémů lidských zdrojů a obecnou podporu pro aplikace, které implementují konkrétní části standardu SCIM 2.0.

  • Předintegrované aplikace (aplikace SaaS v galerii):: Všechny aplikace, pro které Microsoft Entra ID podporuje předem integrovaný zřizovací konektor, najdete v kurzech pro integraci aplikací SaaS s Microsoft Entra ID. Předem integrované aplikace uvedené v galerii obecně používají rozhraní API pro správu uživatelů založenou na SCIM 2.0 pro zřizování.

    Image that shows logos for DropBox, Salesforce, and others.

    Pokud chcete požádat o novou aplikaci pro zřizování, přečtěte si téma Odeslání žádosti o publikování aplikace v galerii aplikací Microsoft Entra. U žádosti o zřizování uživatelů vyžadujeme, aby aplikace měla koncový bod kompatibilní s SCIM. Požádejte dodavatele aplikace, aby se řídí standardem SCIM, abychom mohli aplikaci rychle připojit k naší platformě.

  • Aplikace, které podporují rozhraní SCIM 2.0: Informace o obecném připojení aplikací, které implementují rozhraní API pro správu uživatelů založené na SCIM 2.0, najdete v tématu Sestavení koncového bodu SCIM a konfiguraci zřizování uživatelů.

Návody nastavit automatické zřizování pro aplikaci?

Informace o předem integrovaných aplikacích uvedených v galerii najdete v existujících podrobných doprovodných materiálech k nastavení automatického zřizování v kurzech integrace aplikací SaaS s ID Microsoft Entra. Následující video ukazuje, jak nastavit automatické zřizování uživatelů pro SalesForce.

V případě jiných aplikací, které podporují SCIM 2.0, postupujte podle kroků v části Sestavení koncového bodu SCIM a nakonfigurujte zřizování uživatelů.

Další kroky