Použití SCIM a Microsoft Graphu společně ke zřízení uživatelů a obohacení aplikace o potřebná data

Cílová cílová skupina: Tento článek se zaměřuje na vývojáře, kteří vytvářejí aplikace pro integraci s Microsoft Entra ID. Pokud chcete používat aplikace, které už jsou integrované s Microsoft Entra ID, jako je Zoom, ServiceNow a DropBox, můžete tento článek přeskočit a projít si kurzy specifické pro aplikaci nebo zkontrolovat, jak služba zřizování funguje.

Obvyklé scénáře

Microsoft Entra ID poskytuje připravenou službu pro zřizování a rozšiřitelnou platformu pro sestavování aplikací. Rozhodovací strom popisuje, jak by vývojář k automatizaci zřizování používal SCIM a Microsoft Graph .

• Automatické vytváření uživatelů v aplikaci
• Automaticky odebrat uživatele z aplikace, když už by neměli mít přístup
• Integrace aplikace s více zprostředkovateli identit pro zřizování
• Obohacení aplikace o data z služby Microsoft, jako jsou Teams, Outlook a Office.
• Automatické vytváření, aktualizace a odstraňování uživatelů a skupin v Microsoft Entra ID a Active Directory

Scénář 1: Automatické vytváření uživatelů v aplikaci

V současné době správci IT zřizují uživatele ručním vytvářením uživatelských účtů nebo pravidelným nahráváním souborů CSV do aplikace. Proces je pro zákazníky časově náročný a zpomaluje přijetí aplikace. Potřebuji základní informace o uživateli, jako je jméno, e-mail a userPrincipalName k vytvoření uživatele.

Doporučení:

• Pokud vaši zákazníci používají různé zprostředkovatele identity a nechcete udržovat synchronizační modul pro integraci s jednotlivými moduly, podporují koncový bod SCIM vyhovující /Users . Vaši zákazníci budou moct tento koncový bod snadno použít k integraci se službou Microsoft Entra provisioning a automaticky vytvářet uživatelské účty, když potřebují přístup. Koncový bod můžete sestavit jednou a bude kompatibilní se všemi zprostředkovatele identity. Podívejte se na níže uvedený příklad žádosti o vytvoření uživatele pomocí SCIM.
• Pokud požadujete uživatelská data nalezená na objektu uživatele v Microsoft Entra ID a dalších datech z celého Microsoftu, zvažte vytvoření koncového bodu SCIM pro zřizování uživatelů a volání do Microsoft Graphu, abyste získali zbytek dat.

POST /Users
{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User",
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
    "externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
    "userName": "BillG",
    "active": true,
    "meta": {
        "resourceType": "User"
    },
    "name": {
        "formatted": "Bill Gates",
        "familyName": "Gates",
        "givenName": "Bill"
    },
    "roles": []
}

Scénář 2: Automatické odebrání uživatelů z aplikace

Zákazníci, kteří používají moji aplikaci, se zaměřují na zabezpečení a mají požadavky na zásady správného řízení pro odebrání účtů, když je zaměstnanci už nepotřebují. Jak můžu automatizovat zrušení zřízení ze své aplikace?

Doporučení: Podpora koncového bodu /Users kompatibilního s SCIM Služba zřizování Microsoft Entra bude posílat žádosti o zakázání a odstranění, když už by uživatel neměl mít přístup. Doporučujeme podporovat jak zakázání, tak odstranění uživatelů. Podívejte se na následující příklady, jak vypadá žádost o zákaz a odstranění.

Zakázání uživatele

PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
    "Operations": [
        {
            "op": "Replace",
            "path": "active",
            "value": false
        }
    ],
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ]
}

Odstranění uživatele

DELETE /Users/5171a35d82074e068ce2 HTTP/1.1

Scénář 3: Automatizace správy členství ve skupinách v aplikaci

Moje aplikace spoléhá na skupiny pro přístup k různým prostředkům a zákazníci chtějí znovu použít skupiny, které mají v Microsoft Entra ID. Jak můžu importovat skupiny z ID Microsoft Entra a udržovat je aktualizované při změně členství?

Doporučení: Podpora koncového bodu /Groups kompatibilního s SCIM Služba zřizování Microsoft Entra se postará o vytváření skupin a správu aktualizací členství ve vaší aplikaci.

Scénář 4: Obohacení aplikace o data z služby Microsoft, jako jsou Teams, Outlook a OneDrive

Moje aplikace je integrovaná do Microsoft Teams a spoléhá na data zpráv. Kromě toho ukládáme soubory pro uživatele na OneDrivu. Jak můžu rozšířit svou aplikaci o data z těchto služeb a napříč Microsoftem?

Doporučení: Microsoft Graph je vaším vstupním bodem pro přístup k datům Microsoftu. Každá úloha zveřejňuje rozhraní API s potřebnými daty. Microsoft Graph je možné použít společně se zřizováním SCIM pro výše uvedené scénáře. SCIM můžete použít ke zřízení základních atributů uživatele ve vaší aplikaci při volání do grafu, abyste získali všechna další potřebná data.

Scénář 5: Sledování změn v služby Microsoft, jako jsou Teams, Outlook a Microsoft Entra ID

Potřebuji mít možnost sledovat změny zpráv v Teams a Outlooku a reagovat na ně v reálném čase. Jak získám tyto změny vložené do aplikace?

Doporučení: Microsoft Graph poskytuje oznámení o změnách a sledování změn pro různé prostředky. Všimněte si následujících omezení oznámení o změnách:

• Pokud příjemce události potvrdí událost, ale z nějakého důvodu na ni nebude reagovat, může dojít ke ztrátě události.
• Pořadí, ve kterém jsou přijaty změny, není zaručeno, že jsou chronologické.
• Oznámení ozměnách

Scénář 6: Zřízení uživatelů a skupin v Microsoft Entra ID

Moje aplikace vytvoří informace o uživateli, kterého zákazníci potřebují v MICROSOFT Entra ID. Může to být aplikace personálního oddělení než správa náboru, komunikační aplikace, která vytváří telefonní čísla pro uživatele nebo jinou aplikaci, která generuje data, která by byla cenná v Microsoft Entra ID. Návody naplnit záznam uživatele v Microsoft Entra ID s daty?

Doporučení : Microsoft Graph zveřejňuje koncové body /Users a /Groups, které můžete integrovat s dnešním dnem, abyste zřídili uživatele do Microsoft Entra ID. Upozorňujeme, že Microsoft Entra ID nepodporuje zápis těchto uživatelů zpět do služby Active Directory.

Poznámka:

Microsoft má službu zřizování, která načítá data z aplikací hr, jako jsou Workday a SuccessFactors. Tyto integrace vytvářejí a spravují Microsoft. Pokud chcete do naší služby připojit novou aplikaci personálního oddělení, můžete ji požádat na UserVoice.

Související články

• Projděte si dokumentaci k synchronizaci Microsoft Graphu.
• Integrace vlastní aplikace SCIM s Microsoft Entra ID