Povolení automatického zřizování uživatelů pro aplikaci s více tenanty v Microsoft Entra ID
Automatické zřizování uživatelů je proces automatizace vytváření, údržby a odebrání identit uživatelů v cílových systémech, jako jsou vaše aplikace typu software jako služba.
Proč povolit automatické zřizování uživatelů?
Aplikace, které vyžadují, aby záznam uživatele byl v aplikaci k dispozici před prvním přihlášením uživatele, vyžadují zřízení uživatele. Existují výhody pro vás jako poskytovatele služeb a výhody pro vaše zákazníky.
Výhody pro vás jako poskytovatele služeb
Zvyšte zabezpečení aplikace pomocí platformy Microsoft Identity Platform.
Snižte skutečné a vnímané úsilí zákazníků o přijetí vaší aplikace.
Snižte náklady na integraci s několika zprostředkovateli identit (ZSP) pro automatické zřizování uživatelů pomocí systému pro zřizování založené na SCIM (Cross-Domain Identity Management).
Snižte náklady na podporu tím, že poskytujete bohaté protokoly, které zákazníkům pomůžou řešit problémy se zřizováním uživatelů.
Zvyšte viditelnost aplikace v galerii aplikací Microsoft Entra.
Získání seznamu s prioritami na stránce Kurzy aplikací
Výhody pro vaše zákazníky
Zvyšte zabezpečení tím, že automaticky odeberete přístup k aplikaci pro uživatele, kteří mění role nebo opouštějí organizaci ve vaší aplikaci.
Zjednodušte správu uživatelů pro vaši aplikaci tím, že se vyhnete lidské chybě a opakované práci související s ručním zřizováním.
Snižte náklady na hostování a údržbu vlastních řešení zřizování.
Výběr metody zřizování
Microsoft Entra ID poskytuje několik cest integrace, které umožňují automatické zřizování uživatelů pro vaši aplikaci.
Služba zřizování Microsoft Entra spravuje zřizování a rušení zřizování uživatelů z Microsoft Entra ID vaší aplikace (odchozí zřizování) a z vaší aplikace na Microsoft Entra ID (příchozí zřizování). Služba se připojí ke koncovým bodům rozhraní API pro správu uživatelů služby SCIM (Cross-Domain Identity Management), které poskytuje vaše aplikace.
Když používáte Microsoft Graph, vaše aplikace spravuje příchozí a odchozí zřizování uživatelů a skupin z Microsoft Entra ID do vaší aplikace dotazováním rozhraní Microsoft Graph API.
Zřizování uživatelů za běhu (SAML JIT) kontrolního výrazu zabezpečení je možné povolit, pokud vaše aplikace pro federaci používá SAML. K zřizování uživatelů používá informace o deklaracích odesílané v tokenu SAML.
Pokud potřebujete pomoct určit, kterou možnost integrace použít pro vaši aplikaci, podívejte se na tabulku porovnání vysoké úrovně a pak se podívejte na podrobnější informace o jednotlivých možnostech.
Možnosti povolené nebo vylepšené automatickým zřizováním | Microsoft Entra provisioning service (SCIM 2.0) | Rozhraní Microsoft Graph API (OData v4.0) | SAML JIT |
---|---|---|---|
Správa uživatelů a skupin v Microsoft Entra ID | √ | √ | Pouze uživatel |
Správa uživatelů a skupin synchronizovaných z místní Active Directory | √* | √* | Pouze uživatel* |
Přístup k datům nad rámec uživatelů a skupin během zřizování dat Microsoftu 365 (Teams, SharePoint, E-mail, Kalendář, Dokumenty atd.) | X+ | √ | X |
Vytváření, čtení a aktualizace uživatelů na základě obchodních pravidel | √ | √ | √ |
Odstranění uživatelů na základě obchodních pravidel | √ | √ | X |
Správa automatického zřizování uživatelů pro všechny aplikace z Centra pro správu Microsoft Entra | √ | X | √ |
Podpora více zprostředkovatelů identity | √ | X | √ |
Podpora účtů hostů (B2B) | √ | √ | √ |
Podpora účtů jiných než enterprise (B2C) | X | √ | √ |
* – Nastavení microsoft Entra Connect je nutné k synchronizaci uživatelů z AD do Microsoft Entra ID.
+– Použití SCIM pro zřizování nebrání integraci aplikace s Microsoft Graphem pro jiné účely.
Microsoft Entra provisioning service (SCIM)
Služba zřizování Microsoft Entra používá SCIM, oborový standard pro zřizování podporovaný mnoha zprostředkovateli identit (IDP) a aplikace (například Slack, G Suite, Dropbox). Službu zřizování Microsoft Entra doporučujeme použít, pokud chcete kromě ID Microsoft Entra podporovat i IP adresy, protože jakýkoli zprostředkovatele identity kompatibilní s SCIM se může připojit k vašemu koncovému bodu SCIM. Vytvoření jednoduchého koncového bodu /User můžete povolit zřizování, aniž byste museli udržovat vlastní synchronizační modul.
Další informace o tom, jak microsoft Entra provisioning service users SCIM, najdete v tématu:
Microsoft Graph pro zřizování
Při zřizování používáte Microsoft Graph, máte přístup ke všem bohatým uživatelským datům dostupným v Graphu. Kromě podrobností o uživatelích a skupinách můžete také načíst další informace, jako jsou role uživatele, manažer a přímé sestavy, vlastněná a registrovaná zařízení a stovky dalších datových částí dostupných v Microsoft Graphu.
Více než 15 milionů organizací a 90 % společností z majetku 500 používá Id Microsoft Entra při přihlašování k odběru cloudových služeb Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Enterprise Mobility Suite. Pomocí Microsoft Graphu můžete aplikaci integrovat s pracovními postupy správy, jako je onboarding zaměstnanců (a ukončení), údržba profilu a další.
Další informace o používání Microsoft Graphu ke zřizování:
Použití SAML JIT ke zřizování
Pokud chcete zřizovat uživatele jenom při prvním přihlášení k aplikaci a nemusíte automaticky zrušit zřízení uživatelů, je možnost SAML JIT. Aby vaše aplikace používala PROTOKOL SAML JIT, musí podporovat SAML 2.0 jako federační protokol.
SAML JIT používá k vytvoření a aktualizaci informací o uživatelích v aplikaci informace o deklaracích identity v tokenu SAML. Zákazníci můžou podle potřeby nakonfigurovat tyto požadované deklarace identity v aplikaci Microsoft Entra. Někdy je potřeba povolit zřizování JIT na straně aplikace, aby ji mohl zákazník používat. SAML JIT je užitečný pro vytváření a aktualizaci uživatelů, ale nemůže odstranit ani deaktivovat uživatele v aplikaci.
Další kroky
Odešlete výpis vaší aplikace a partnera s Microsoftem a vytvořte dokumentaci na webu Microsoftu.
Připojte se k programu Microsoft Partner Network (zdarma) a vytvořte plán uvedení na trh.