Che cos'è il provisioning?

Il provisioning e il deprovisioning sono i processi che assicurano la coerenza delle identità digitali tra più sistemi. Questi processi vengono in genere usati come parte della gestione del ciclo di vita delle identità.

Il provisioning è il processo di creazione di un'identità in un sistema di destinazione in base a determinate condizioni. Il deprovisioning è il processo di rimozione dell'identità dal sistema di destinazione, quando le condizioni non vengono più soddisfatte. La sincronizzazione è il processo che consente di mantenere aggiornato l'oggetto di cui è stato effettuato il provisioning, in modo che l'oggetto di origine e quello di destinazione siano simili.

Ad esempio, un nuovo utente che entra a far parte dell'organizzazione viene immesso nel sistema di gestione delle risorse umane (RU). A questo punto, il provisioning da HR a Microsoft Entra ID può creare un account utente corrispondente in Microsoft Entra ID. Le applicazioni che eseguono query su Microsoft Entra ID possono visualizzare l'account del nuovo dipendente. Se sono presenti applicazioni che non usano Microsoft Entra ID, il provisioning da Microsoft Entra ID ai database di tali applicazioni garantisce che l'utente sia in grado di accedere a tutte le applicazioni a cui l'utente deve accedere. L'utente può quindi iniziare a lavorare e avrà accesso fin dal primo giorno alle applicazioni e ai sistemi necessari. Analogamente, quando le proprietà, ad esempio il proprio reparto o lo stato dell'occupazione, cambiano nel sistema HR, la sincronizzazione di tali aggiornamenti dal sistema HR all'ID Microsoft Entra e, inoltre, ad altre applicazioni e database di destinazione, garantisce coerenza.

Microsoft Entra ID offre attualmente tre aree di provisioning automatizzato. Sono:

Diagram of the identity lifecycle management.

Provisioning basato su risorse umane

Diagram of the HR provisioning.

Il provisioning da HR a Microsoft Entra ID comporta la creazione di oggetti, in genere identità utente che rappresentano ogni dipendente, ma in alcuni casi altri oggetti che rappresentano reparti o altre strutture, in base alle informazioni presenti nel sistema HR.

Lo scenario più comune è che, quando un nuovo dipendente si aggiunge all'azienda, viene inserito nel sistema HR. Una volta eseguito il provisioning, viene eseguito automaticamente il provisioning come nuovo utente nell'ID Di Microsoft Entra, senza richiedere il coinvolgimento amministrativo per ogni nuova assunzione. In generale, il provisioning basato su risorse umane copre gli scenari seguenti.

  • Assunzione di nuovi dipendenti : quando un nuovo dipendente viene aggiunto a un sistema HR, un account utente viene creato automaticamente in Active Directory, microsoft Entra ID e, facoltativamente, nelle directory per altre applicazioni supportate da Microsoft Entra ID, con writeback dell'indirizzo di posta elettronica nel sistema HR.
  • Aggiornamenti dell'attributo e del profilo dei dipendenti: quando un record dei dipendenti viene aggiornato in tale sistema HR (ad esempio il nome, il titolo o il manager), il proprio account utente verrà aggiornato automaticamente in Active Directory, Microsoft Entra ID e facoltativamente in altre applicazioni supportate da Microsoft Entra ID.
  • Terminazioni dei dipendenti: quando un dipendente viene terminato nelle risorse umane, l'account utente viene automaticamente bloccato dall'accesso o rimosso in Active Directory, in Microsoft Entra ID e in altre applicazioni.
  • Rihire dei dipendenti: quando un dipendente viene riassunto nelle risorse umane cloud, il vecchio account può essere riattivato o sottoposto a nuovo provisioning (a seconda delle preferenze).

Sono disponibili tre opzioni di distribuzione per il provisioning basato sulle risorse umane con Microsoft Entra ID:

  1. Per le organizzazioni con una singola sottoscrizione a Workday o SuccessFactors e non usare Active Directory
  2. Per le organizzazioni con una singola sottoscrizione a Workday o SuccessFactors e avere sia Active Directory che Microsoft Entra ID
  3. Per le organizzazioni con più sistemi RU o con un sistema RU locale come SAP, Oracle eBusiness o PeopleSoft

Per altre informazioni, vedere Che cos'è il provisioning basato su risorse umane?

Provisioning di app

Diagram that shows the app provisioning flow.

In Microsoft Entra ID il termine provisioning delle app si riferisce alla creazione automatica di copie delle identità utente nelle applicazioni a cui gli utenti devono accedere, per le applicazioni che dispongono di un proprio archivio dati, distinte da Microsoft Entra ID o Active Directory. Oltre a creare le identità utente, il provisioning di app include la manutenzione e la rimozione delle identità utente da tali app quando lo stato o i ruoli dell'utente cambiano. Gli scenari comuni includono il provisioning di un utente di Microsoft Entra in applicazioni come Dropbox, Salesforce, ServiceNow, perché ognuna di queste applicazioni ha un proprio repository utente distinto dall'ID Microsoft Entra.

Microsoft Entra ID supporta anche il provisioning degli utenti nelle applicazioni ospitate in locale o in una macchina virtuale, senza dover aprire alcun firewall. Se l'applicazione supporta SCIM o si è creato un gateway SCIM per connettersi all'applicazione legacy, è possibile usare l'agente di provisioning di Microsoft Entra per connettersi direttamente all'applicazione e automatizzare il provisioning e il deprovisioning. Se si dispone di applicazioni legacy che non supportano SCIM e si basano su un archivio utenti LDAP o un database SQL o che dispongono di un'API SOAP o REST, Microsoft Entra ID può supportare anche tali applicazioni.

Per altre informazioni, vedere Che cos'è il provisioning di app?

Provisioning tra directory

Diagram that shows the inter-directory provisioning

Molte organizzazioni si basano sia su Active Directory che su Microsoft Entra ID e possono avere applicazioni connesse ad Active Directory, ad esempio file server locali.

Poiché molte organizzazioni in passato hanno distribuito il provisioning basato su risorse umane in locale, potrebbero avere già le identità utente per tutti i dipendenti in Active Directory. Lo scenario più comune per il provisioning tra directory è quando viene effettuato il provisioning di un utente già in Active Directory in Microsoft Entra ID. Questo provisioning viene in genere eseguito da Microsoft Entra Connessione Sync o Microsoft Entra Connessione provisioning cloud.

Inoltre, le organizzazioni potrebbero voler effettuare il provisioning anche nei sistemi locali da Microsoft Entra ID. Ad esempio, un'organizzazione potrebbe aver portato gli utenti guest nella directory Microsoft Entra, ma gli utenti guest dovranno accedere alle applicazioni Web basate sull'autenticazione integrata di Windows (WIA) locali tramite il proxy dell'app. Questo scenario richiede il provisioning di account AD locali per tali utenti in Microsoft Entra ID.

Per altre informazioni, vedere Che cos'è il provisioning tra directory?

Passaggi successivi