Sdílet prostřednictvím


Povolení automatického zřizování uživatelů pro aplikaci s více tenanty v Microsoft Entra ID

Automatické zřizování uživatelů je proces automatizace vytváření, údržby a odebrání identit uživatelů v cílových systémech, jako jsou vaše aplikace typu software jako služba.

Proč povolit automatické zřizování uživatelů?

Aplikace, které vyžadují, aby záznam uživatele byl v aplikaci k dispozici před prvním přihlášením uživatele, vyžadují zřízení uživatele. Existují výhody pro vás jako poskytovatele služeb a výhody pro vaše zákazníky.

Výhody pro vás jako poskytovatele služeb

  • Zvyšte zabezpečení aplikace pomocí platformy Microsoft Identity Platform.

  • Snižte skutečné a vnímané úsilí zákazníků o přijetí vaší aplikace.

  • Snižte náklady na integraci s několika zprostředkovateli identit (ZSP) pro automatické zřizování uživatelů pomocí systému pro zřizování založené na SCIM (Cross-Domain Identity Management).

  • Snižte náklady na podporu tím, že poskytujete bohaté protokoly, které zákazníkům pomůžou řešit problémy se zřizováním uživatelů.

  • Zvyšte viditelnost aplikace v galerii aplikací Microsoft Entra.

  • Získání seznamu s prioritami na stránce Kurzy aplikací

Výhody pro vaše zákazníky

  • Zvyšte zabezpečení tím, že automaticky odeberete přístup k aplikaci pro uživatele, kteří mění role nebo opouštějí organizaci ve vaší aplikaci.

  • Zjednodušte správu uživatelů pro vaši aplikaci tím, že se vyhnete lidské chybě a opakované práci související s ručním zřizováním.

  • Snižte náklady na hostování a údržbu vlastních řešení zřizování.

Výběr metody zřizování

Microsoft Entra ID poskytuje několik cest integrace, které umožňují automatické zřizování uživatelů pro vaši aplikaci.

  • Služba zřizování Microsoft Entra spravuje zřizování a rušení zřizování uživatelů z Microsoft Entra ID vaší aplikace (odchozí zřizování) a z vaší aplikace na Microsoft Entra ID (příchozí zřizování). Služba se připojí ke koncovým bodům rozhraní API pro správu uživatelů služby SCIM (Cross-Domain Identity Management), které poskytuje vaše aplikace.

  • Když používáte Microsoft Graph, vaše aplikace spravuje příchozí a odchozí zřizování uživatelů a skupin z Microsoft Entra ID do vaší aplikace dotazováním rozhraní Microsoft Graph API.

  • Zřizování uživatelů za běhu (SAML JIT) kontrolního výrazu zabezpečení je možné povolit, pokud vaše aplikace pro federaci používá SAML. K zřizování uživatelů používá informace o deklaracích odesílané v tokenu SAML.

Pokud potřebujete pomoct určit, kterou možnost integrace použít pro vaši aplikaci, podívejte se na tabulku porovnání vysoké úrovně a pak se podívejte na podrobnější informace o jednotlivých možnostech.

Možnosti povolené nebo vylepšené automatickým zřizováním Microsoft Entra provisioning service (SCIM 2.0) Rozhraní Microsoft Graph API (OData v4.0) SAML JIT
Správa uživatelů a skupin v Microsoft Entra ID Pouze uživatel
Správa uživatelů a skupin synchronizovaných z místní Active Directory √* √* Pouze uživatel*
Přístup k datům nad rámec uživatelů a skupin během zřizování dat Microsoftu 365 (Teams, SharePoint, E-mail, Kalendář, Dokumenty atd.) X+ X
Vytváření, čtení a aktualizace uživatelů na základě obchodních pravidel
Odstranění uživatelů na základě obchodních pravidel X
Správa automatického zřizování uživatelů pro všechny aplikace z Centra pro správu Microsoft Entra X
Podpora více zprostředkovatelů identity X
Podpora účtů hostů (B2B)
Podpora účtů jiných než enterprise (B2C) X

* – Nastavení microsoft Entra Connect je nutné k synchronizaci uživatelů z AD do Microsoft Entra ID.
+– Použití SCIM pro zřizování nebrání integraci aplikace s Microsoft Graphem pro jiné účely.

Microsoft Entra provisioning service (SCIM)

Služba zřizování Microsoft Entra používá SCIM, oborový standard pro zřizování podporovaný mnoha zprostředkovateli identit (IDP) a aplikace (například Slack, G Suite, Dropbox). Službu zřizování Microsoft Entra doporučujeme použít, pokud chcete kromě ID Microsoft Entra podporovat i IP adresy, protože jakýkoli zprostředkovatele identity kompatibilní s SCIM se může připojit k vašemu koncovému bodu SCIM. Vytvoření jednoduchého koncového bodu /User můžete povolit zřizování, aniž byste museli udržovat vlastní synchronizační modul.

Další informace o tom, jak microsoft Entra provisioning service users SCIM, najdete v tématu:

Microsoft Graph pro zřizování

Při zřizování používáte Microsoft Graph, máte přístup ke všem bohatým uživatelským datům dostupným v Graphu. Kromě podrobností o uživatelích a skupinách můžete také načíst další informace, jako jsou role uživatele, manažer a přímé sestavy, vlastněná a registrovaná zařízení a stovky dalších datových částí dostupných v Microsoft Graphu.

Více než 15 milionů organizací a 90 % společností z majetku 500 používá Id Microsoft Entra při přihlašování k odběru cloudových služeb Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Enterprise Mobility Suite. Pomocí Microsoft Graphu můžete aplikaci integrovat s pracovními postupy správy, jako je onboarding zaměstnanců (a ukončení), údržba profilu a další.

Další informace o používání Microsoft Graphu ke zřizování:

Použití SAML JIT ke zřizování

Pokud chcete zřizovat uživatele jenom při prvním přihlášení k aplikaci a nemusíte automaticky zrušit zřízení uživatelů, je možnost SAML JIT. Aby vaše aplikace používala PROTOKOL SAML JIT, musí podporovat SAML 2.0 jako federační protokol.

SAML JIT používá k vytvoření a aktualizaci informací o uživatelích v aplikaci informace o deklaracích identity v tokenu SAML. Zákazníci můžou podle potřeby nakonfigurovat tyto požadované deklarace identity v aplikaci Microsoft Entra. Někdy je potřeba povolit zřizování JIT na straně aplikace, aby ji mohl zákazník používat. SAML JIT je užitečný pro vytváření a aktualizaci uživatelů, ale nemůže odstranit ani deaktivovat uživatele v aplikaci.

Další kroky