Mi az alkalmazáskiépítés a Microsoft Entra ID-ban?

  • Cikk

A Microsoft Entra ID-ban az alkalmazáskiépítés kifejezés a felhasználói identitások és szerepkörök automatikus létrehozását jelenti az alkalmazások számára.

Kiépítési forgatókönyveket bemutató diagram.

A Microsoft Entra alkalmazáskiépítés a felhasználói identitások és szerepkörök automatikus létrehozását jelenti azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepkörváltozásának fenntartását és eltávolítását. Gyakori forgatókönyvek például egy Microsoft Entra-felhasználó kiépítése SaaS-alkalmazásokba, például a Dropboxba, a Salesforce-ba, a ServiceNow-ba és még sok másba.

A Microsoft Entra ID emellett támogatja a felhasználók helyszíni vagy virtuális gépeken üzemeltetett alkalmazásokba való kiépítését anélkül, hogy tűzfalakat kellene megnyitnia. Az alábbi táblázat a protokollok támogatott összekötőkhöz való leképezését tartalmazza.

Protokoll Összekötő
SCIM SCIM – SaaS
SCIM – Helyszíni/ Magánhálózat
LDAP LDAP
SQL SQL
REST Webszolgáltatások
SZAPPAN Webszolgáltatások
Egybesimított fájl PowerShell
Egyéni Egyéni ECMA-összekötők
partnerek által létrehozott Csatlakozás orok és átjárók
  • A kiépítés automatizálása: Automatikusan létrehozhat új fiókokat a megfelelő rendszerekben, amikor csatlakoznak a csapatához vagy szervezetéhez.
  • Automatizálja a leépítést: Automatikusan inaktiválja a fiókokat a megfelelő rendszerekben, amikor a felhasználók elhagyják a csapatot vagy a szervezetet.
  • Adatok szinkronizálása a rendszerek között: Az alkalmazások és rendszerek identitásainak naprakészen tartása a címtár vagy az emberierőforrás-rendszer változásai alapján.
  • Csoportok kiépítése: Csoportok kiépítése az őket támogató alkalmazások számára.
  • Hozzáférés szabályozása: Az alkalmazásokban kiépített felhasználók figyelése és naplózása.
  • Zökkenőmentes üzembe helyezés barnamezős forgatókönyvekben: Egyezzen a meglévő identitásokkal a rendszerek között, és lehetővé tegye az egyszerű integrációt, még akkor is, ha a felhasználók már léteznek a célrendszerben.
  • Részletes testreszabás használata: Használja ki a testre szabható attribútumleképezéseket, amelyek meghatározzák, hogy a felhasználói adatok a forrásrendszerből a célrendszerbe kerüljenek.
  • Riasztások lekérése kritikus eseményekhez: A kiépítési szolgáltatás riasztásokat biztosít a kritikus eseményekhez, és lehetővé teszi a Log Analytics integrációját, ahol egyéni riasztásokat határozhat meg az üzleti igényeinek megfelelően.

Mi az SCIM?

A kiépítés és a leépítés automatizálásának elősegítése érdekében az alkalmazások védett felhasználói és csoportos API-kat tehetnek közzé. A felhasználókezelés egynél több alkalmazásban kihívást jelent, mivel minden alkalmazás ugyanazokat a műveleteket próbálja végrehajtani. Például létrehozhat vagy frissíthet felhasználókat, felhasználókat adhat hozzá csoportokhoz, vagy megszüntetheti a felhasználókat. A fejlesztők gyakran kissé eltérően implementálják ezeket a műveleteket. Például különböző végpontelérési utakat, felhasználói adatok megadására szolgáló különböző metódusokat és különböző sémákat használva, amelyek az információk egyes elemeit jelölik.

Ezeknek a kihívásoknak a megoldása érdekében a System for Cross-Domain Identity Management (SCIM) specifikációja egy gyakori felhasználói sémát biztosít, amely segít a felhasználóknak az alkalmazásokba való be- és ki- és beléptetésben. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokkal használják, mint a Security Assertions Markup Language (SAML) vagy az OpenID Csatlakozás (OIDC), a rendszergazdák a hozzáférés-kezeléshez végpontok közötti szabványalapú megoldást biztosítanak.

A felhasználók és csoportok alkalmazásba történő kiépítésének és megszüntetésének automatizálására szolgáló SCIM-végpont fejlesztésére vonatkozó részletes útmutatásért lásd : SCIM-végpont létrehozása és a felhasználók kiépítésének konfigurálása. Számos alkalmazás integrálható közvetlenül a Microsoft Entra-azonosítóval. Ilyen például a Slack, az Azure Databricks és a Snowflake. Ezekben az alkalmazásokban hagyja ki a fejlesztői dokumentációt, és használja az oktatóanyagokban található oktatóanyagokat az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálásához.

Manuális és automatikus átadás

A Microsoft Entra katalógusban található alkalmazások két kiépítési mód egyikét támogatják:

  • A manuális kiépítés azt jelenti, hogy az alkalmazáshoz még nincs automatikus Microsoft Entra kiépítési összekötő. Ezeket manuálisan kell létrehoznia. Ilyen például a felhasználók hozzáadása közvetlenül az alkalmazás felügyeleti portáljára, vagy egy számolótábla feltöltése a felhasználói fiók adataival. Tekintse meg az alkalmazás által biztosított dokumentációt, vagy forduljon az alkalmazás fejlesztőjének a rendelkezésre álló mechanizmusok meghatározásához.
  • Az automatikus beállítás azt jelenti, hogy az alkalmazás elérhető egy Microsoft Entra kiépítési összekötővel. Kövesse az alkalmazás üzembe helyezésének beállítására vonatkozó telepítési oktatóanyagot. Az Oktatóanyagok az SaaS-alkalmazások Microsoft Entra ID-val való integrálására vonatkozó oktatóanyagokban található.

Az alkalmazás által támogatott kiépítési mód a Kiépítés lapon is látható, miután hozzáadta az alkalmazást a vállalati alkalmazásokhoz.

Az automatikus kiépítés előnyei

A modern szervezetekben használt alkalmazások száma folyamatosan nő. Rendszergazdaként nagy léptékben kell kezelnie a hozzáférés-kezelést. Az egyszeri bejelentkezéshez (SSO) olyan szabványokat kell használnia, mint az SAML vagy az OIDC, de a hozzáféréshez felhasználókat is be kell építenie egy alkalmazásba. Elképzelhető, hogy a kiépítés azt jelenti, hogy minden felhasználói fiók manuális létrehozása vagy CSV-fájlok feltöltése minden héten. Ezek a folyamatok időigényesek, drágák és hibalehetőségek. A folyamat egyszerűsítése érdekében az SAML igény szerinti (JIT) használatával automatizálhatja a kiépítést. Ugyanezzel a folyamattal megszüntetheti a felhasználókat, ha elhagyják a szervezetet, vagy már nem igényelnek hozzáférést bizonyos alkalmazásokhoz a szerepkör módosítása alapján.

Az automatikus kiépítés használatának néhány gyakori motivációja a következők:

  • A kiépítési folyamatok hatékonyságának és pontosságának maximalizálása.
  • Az egyéni fejlesztésű kiépítési megoldások és szkriptek üzemeltetésével és karbantartásával kapcsolatos költségek megtakarítása.
  • A szervezet védelme azáltal, hogy azonnal eltávolítja a felhasználók identitásait a kulcsfontosságú SaaS-alkalmazásokból, amikor elhagyják a szervezetet.
  • Nagy számú felhasználó egyszerűen importálható egy adott SaaS-alkalmazásba vagy rendszerbe.
  • Egyetlen szabályzatkészlet, amely meghatározza az alkalmazásba bejelentkezni képes kiépített felhasználókat.

A Microsoft Entra felhasználói kiépítése segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használják a Microsoft Entra felhasználói kiépítését, olvassa el az ASOS-esettanulmányt. Az alábbi videó áttekintést nyújt a felhasználók Microsoft Entra-azonosítóban történő kiépítéséről.

Milyen alkalmazásokat és rendszereket használhatok a Microsoft Entra automatikus felhasználókiépítésével?

A Microsoft Entra számos népszerű SaaS-alkalmazás és emberierőforrás-rendszer előzetes támogatását, valamint általános támogatást nyújt az SCIM 2.0 szabvány meghatározott részeit implementáló alkalmazásokhoz.

  • Előre elkészített alkalmazások (katalógus SaaS-alkalmazások): Minden olyan alkalmazást megtalál, amelyhez a Microsoft Entra ID támogatja az előre összeállított kiépítési összekötőt az oktatóanyagokban az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálásához. A katalógusban felsorolt előre elkészített alkalmazások általában SCIM 2.0-alapú felhasználókezelési API-kat használnak a kiépítéshez.

    A DropBox, a Salesforce és mások emblémáit bemutató kép.

    Ha új alkalmazást szeretne kérni a kiépítéshez, tekintse meg az alkalmazás Microsoft Entra alkalmazáskatalógusban való közzétételére vonatkozó kérés elküldését. Felhasználói kiépítési kérelem esetén az alkalmazásnak SCIM-kompatibilis végpontot kell létrehoznia. Kérje meg az alkalmazás gyártóját, hogy kövesse az SCIM szabványt, hogy gyorsan regisztrálhassuk az alkalmazást a platformunkra.

  • SCIM 2.0-t támogató alkalmazások: Az SCIM 2.0-alapú felhasználói felügyeleti API-kat implementáló alkalmazások általános csatlakoztatásáról az SCIM-végpont létrehozása és a felhasználók kiépítésének konfigurálása című témakörben olvashat.

  • Meglévő címtárat vagy adatbázist használó, vagy kiépítési felületet biztosító alkalmazások: Oktatóanyagok az LDAP-címtárba, SQL-adatbázisba való kiépítéshez, REST- vagy SOAP-felülettel való kiépítéséhez, vagy a PowerShellen keresztül érhető el, amely egy egyéni ECMA-összekötő, illetve partnerek által létrehozott összekötők és átjárók.

  • Az SAML-en keresztüli igény szerinti üzembe helyezést támogató alkalmazások.

Hogyan automatikus kiépítés beállítása egy alkalmazáshoz?

A katalógusban felsorolt előre felépített alkalmazásokhoz a meglévő lépésenkénti útmutatóval állíthatja be az automatikus üzembe helyezést, lásd az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálására vonatkozó oktatóanyagokat. Az alábbi videó bemutatja, hogyan állíthatja be az automatikus felhasználói kiépítést a SalesForce-hoz.

Az SCIM 2.0-t támogató egyéb alkalmazások esetében kövesse az SCIM-végpontok létrehozására és a felhasználók kiépítésének konfigurálására vonatkozó lépéseket.

Következő lépések