Co je zřizování aplikací v Azure Active Directory?

V Azure Active Directory (Azure AD) označuje zřizování aplikace termín automaticky vytváření identit uživatelů a rolí pro aplikace.

Diagram that shows provisioning scenarios.

Zřizování aplikací Azure AD odkazuje na automatické vytváření identit uživatelů a rolí v aplikacích, ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů při změně stavu nebo rolí. Mezi běžné scénáře patří zřizování uživatele Azure AD do aplikací SaaS, jako jsou Dropbox, Salesforce, ServiceNow a další.

Azure AD také podporuje zřizování uživatelů do aplikací hostovaných místně nebo na virtuálním počítači, aniž by museli otevírat brány firewall. Pokud vaše aplikace podporuje SCIM nebo jste vytvořili bránu SCIM pro připojení ke starší verzi aplikace, můžete použít agenta zřizování Azure AD k přímému připojení k aplikaci a automatizaci zřizování a zrušení zřízení. Pokud máte starší verze aplikací, které nepodporují SCIM a spoléhají na úložiště uživatelů LDAP nebo databázi SQL, azure AD je může podporovat i.

Zřizování aplikací umožňuje:

  • Automatizace zřizování: Automatické vytváření nových účtů ve správných systémech pro nové lidi, když se připojí k vašemu týmu nebo organizaci.
  • Automatizace zrušení zřízení: Automaticky deaktivujte účty ve správných systémech, když lidé opustí tým nebo organizaci.
  • Synchronizace dat mezi systémy: Zajistěte, aby identity v aplikacích a systémech byly aktuální na základě změn v adresáři nebo systému lidských zdrojů.
  • Zřizování skupin: Zřiďte skupiny pro aplikace, které je podporují.
  • Řízení přístupu: Monitorujte a auditujte, kdo je ve vašich aplikacích zřízený.
  • Bezproblémové nasazení ve scénářích s hnědou polem: Porovná stávající identity mezi systémy a umožňuje snadnou integraci, i když už uživatelé v cílovém systému existují.
  • Použití bohatého přizpůsobení: Využijte přizpůsobitelné mapování atributů, které definují, jaká uživatelská data by měla proudit ze zdrojového systému do cílového systému.
  • Získání upozornění na kritické události: Služba zřizování poskytuje výstrahy pro kritické události a umožňuje integraci log Analytics, kde můžete definovat vlastní výstrahy tak, aby vyhovovaly vašim obchodním potřebám.

Co je SCIM?

Aby aplikace pomohly automatizovat zřizování a rušení zřizování, zpřístupňují aplikace proprietární rozhraní API uživatelů a skupin. Každý, kdo se ale snaží spravovat uživatele ve více než jedné aplikaci, vám řekne, že se každá aplikace pokusí provádět stejné akce, jako je vytváření nebo aktualizace uživatelů, přidávání uživatelů do skupin nebo rušení zřizování uživatelů. Všechny tyto akce se ale implementují mírně odlišně pomocí různých cest koncového bodu, různých metod pro zadání informací o uživateli a jiného schématu, které představují jednotlivé prvky informací.

Kvůli řešení těchto problémů poskytuje specifikace SCIM (System for Cross-Domain Identity Management) společné uživatelské schéma, které uživatelům pomáhá přecházet do aplikací, mimo ni a kolem nich. SCIM se stává de facto standardem pro zřizování a při použití se standardy federace, jako jsou SAML (Security Assertions Markup Language) nebo OpenID Připojení (OIDC), poskytuje správcům komplexní řešení založené na standardech pro správu přístupu.

Podrobné pokyny k vývoji koncového bodu SCIM pro automatizaci zřizování a rušení zřizování uživatelů a skupin pro aplikaci najdete v tématu Sestavení koncového bodu SCIM a konfigurace zřizování uživatelů. U předem integrovaných aplikací v galerii, jako je Slack, Azure Databricks a Snowflake, můžete přeskočit dokumentaci pro vývojáře a použít kurzy uvedené v kurzech pro integraci aplikací SaaS s Azure Active Directory.

Ruční vs. automatické zřizování

Aplikace v galerii Azure AD podporují jeden ze dvou režimů zřizování:

  • Ruční zřizování znamená, že pro aplikaci ještě neexistuje žádný automatický zřizovací konektor Azure AD. Uživatelské účty musí být vytvořeny ručně. Příkladem je přidání uživatelů přímo na portál pro správu aplikace nebo nahrání tabulky s podrobnostmi o uživatelském účtu. Projděte si dokumentaci, kterou aplikace poskytuje, nebo se obraťte na vývojáře aplikace a zjistěte, jaké mechanismy jsou k dispozici.
  • Automatické znamená, že pro tuto aplikaci byl vyvinut zřizovací konektor Azure AD. Postupujte podle kurzu nastavení specifického pro nastavení zřizování pro aplikaci. Kurzy aplikací najdete v kurzech pro integraci aplikací SaaS s Azure Active Directory.

Režim zřizování podporovaný aplikací je také viditelný na kartě Zřizování po přidání aplikace do podnikových aplikací.

Výhody automatického zřizování

S rostoucím počtem aplikací používaných v moderních organizacích mají správci IT za úkol spravovat přístup ve velkém. Standardy, jako je SAML nebo OIDC, umožňují správcům rychle nastavit jednotné přihlašování (SSO), ale přístup také vyžaduje, aby se uživatelé zřídili do aplikace. Pro mnoho správců zřizování znamená ruční vytvoření každého uživatelského účtu nebo nahrání souborů CSV každý týden. Tyto procesy jsou časově náročné, nákladné a náchylné k chybám. K automatizaci zřizování se přijala řešení, jako je NAPŘÍKLAD SAML just-in-time (JIT). Podniky také potřebují řešení pro zrušení zřízení uživatelů, když opustí organizaci nebo už nevyžadují přístup k určitým aplikacím na základě změny role.

Mezi běžné motivace k používání automatického zřizování patří:

  • Maximalizace efektivity a přesnosti procesů zřizování
  • Úspora nákladů spojených s hostováním a údržbou vlastních vývojových řešení a skriptů zřizování
  • Zabezpečení vaší organizace okamžitým odebráním identit uživatelů z klíčových aplikací SaaS, když opustí organizaci.
  • Snadné importování velkého počtu uživatelů do konkrétní aplikace nebo systému SaaS
  • Když máte jednu sadu zásad, která určí, kdo je zřízený a kdo se může přihlásit k aplikaci.

Zřizování uživatelů Azure AD může pomoct tyto problémy vyřešit. Další informace o tom, jak zákazníci používají zřizování uživatelů Azure AD, najdete v případové studii ASOS. Následující video obsahuje přehled zřizování uživatelů ve službě Azure AD.

Jaké aplikace a systémy můžu používat s automatickým zřizováním uživatelů v Azure AD?

Azure AD nabízí předem integrovanou podporu pro mnoho oblíbených aplikací SaaS a systémů lidských zdrojů a obecnou podporu pro aplikace, které implementují konkrétní části standardu SCIM 2.0.

  • Předem integrované aplikace (aplikace SaaS v galerii): Všechny aplikace, pro které Azure AD podporuje předem integrovaný zřizovací konektor, najdete v kurzech pro integraci aplikací SaaS s Azure Active Directory. Předem integrované aplikace uvedené v galerii obecně používají rozhraní API pro správu uživatelů založenou na SCIM 2.0 pro zřizování.

    Image that shows logos for DropBox, Salesforce, and others.

    Pokud chcete požádat o novou aplikaci pro zřizování, můžete požádat o integraci vaší aplikace do naší galerie aplikací. Pro žádost o zřizování uživatelů vyžadujeme, aby aplikace měla koncový bod kompatibilní s SCIM. Požádejte dodavatele aplikace, aby dodržoval standard SCIM, abychom mohli aplikaci rychle připojit k naší platformě.

  • Aplikace podporující rozhraní API pro správu uživatelů SCIM 2.0: Informace o obecném připojení aplikací, které implementují rozhraní API pro správu uživatelů založené na SCIM 2.0, najdete v tématu Sestavení koncového bodu SCIM a konfiguraci zřizování uživatelů.

Návody nastavit automatické zřizování pro aplikaci?

Pro předem integrované aplikace uvedené v galerii jsou k dispozici podrobné pokyny pro nastavení automatického zřizování. Viz kurzy integrace aplikací SaaS s Azure Active Directory. Následující video ukazuje, jak nastavit automatické zřizování uživatelů pro SalesForce.

U jiných aplikací, které podporují SCIM 2.0, postupujte podle kroků v části Sestavení koncového bodu SCIM a nakonfigurujte zřizování uživatelů.

Další kroky