Was bedeutet bereitstellen?

Die Bereitstellung und die Aufhebung der Bereitstellung sind die Prozesse, mit denen die Einheitlichkeit (Konsistenz) digitaler Identitäten für mehrere Systeme sichergestellt wird. Diese Prozesse werden häufig im Rahmen des Identity Lifecycle Managements genutzt.

Bei der Bereitstellung geht es um die Erstellung einer Identität in einem Zielsystem basierend auf bestimmten Bedingungen. Bei der Aufhebung der Bereitstellung wird die Identität aus dem Zielsystem entfernt, wenn die Bedingungen nicht mehr erfüllt sind. Die Synchronisierung ist der Prozess, mit dem das bereitgestellte Objekt auf dem aktuellen Stand gehalten wird, damit das Quell- und das Zielobjekt gleich sind.

Wenn beispielsweise ein neuer Benutzer in Ihre Organisation eintritt, wird er in das Personalsystem aufgenommen. Zu diesem Zeitpunkt kann die Bereitstellung von HR an Microsoft Entra-ID ein entsprechendes Benutzerkonto in Microsoft Entra ID erstellen. Anwendungen, die Microsoft Entra ID abfragen, können das Konto für den neuen Mitarbeiter „sehen“. Falls Anwendungen vorliegen, die Microsoft Entra ID nicht nutzen, wird durch die Bereitstellung mit Microsoft Entra ID als Quelle und den Datenbanken dieser Anwendungen als Ziel sichergestellt, dass der Benutzer auf alle benötigten Anwendungen zugreifen kann. Aufgrund dieses Prozesses kann der Benutzer umgehend mit der Arbeit beginnen und auf die benötigten Anwendungen und Systeme zugreifen. Auf ähnliche Weise wird die Einheitlichkeit sichergestellt, wenn sich die zugehörigen Eigenschaften, z. B. die Abteilung oder der Mitarbeiterstatus, im Personalsystem ändern. In diesem Fall wird für diese Updates eine Synchronisierung aus dem Personalsystem mit Microsoft Entra ID und dann mit anderen Anwendungen und Zieldatenbanken durchgeführt.

Microsoft Entra ID verfügt derzeit über drei Bereiche für die automatisierte Bereitstellung. Es sind:

• Bereitstellung von einem externen, nicht verzeichnisbasierten autorisierenden System für Microsoft Entra ID über HR-gesteuerte Bereitstellung
• Bereitstellung aus Microsoft Entra ID für Anwendungen per App-Bereitstellung
• Bereitstellung zwischen Microsoft Entra ID und Active Directory Domain Services per Bereitstellung zwischen Verzeichnissen

Personalbasierte Bereitstellung

Die Bereitstellung aus dem Personalsystem für Microsoft Entra ID umfasst die Erstellung von Objekten, bei denen es sich normalerweise um die Benutzeridentitäten der einzelnen Mitarbeiter handelt. In einigen Fällen kann es sich aber auch um andere Objekte handeln, z. B. Abteilungen oder anderweitige Strukturen, die auf den Informationen in Ihrem Personalsystem basieren.

Gängigstes Szenario: Ein neuer Mitarbeiter wird eingestellt und in das Personalsystem aufgenommen. Anschließend wird der Mitarbeiter automatisch als neuer Benutzer in Microsoft Entra ID bereitgestellt. Bei Neueinstellungen ist also kein Eingriff durch das Verwaltungspersonal erforderlich. Die Bereitstellung aus dem Personalsystem kann im Allgemeinen die unten angegebenen Szenarien umfassen.

• Einstellung neuer Mitarbeiter: Wenn einem Personalsystem ein neuer Mitarbeiter hinzugefügt wird, wird in Active Directory, Microsoft Entra ID und optional in den Verzeichnissen für andere Anwendungen, die von Microsoft Entra ID unterstützt werden, automatisch ein Benutzerkonto erstellt. Die E-Mail-Adresse wird hierbei in das Personalsystem zurückgeschrieben.
• Aktualisierung von Mitarbeiterattributen und -profilen: Wenn in dem Personalsystem ein Mitarbeiterdatensatz aktualisiert wird (z. B. der Name, Titel oder Vorgesetzte), wird das entsprechende Benutzerkonto in Azure Active Directory, Microsoft Entra ID und optional in anderen von Microsoft Entra ID unterstützten Anwendungen automatisch aktualisiert.
• Kündigung von Mitarbeitern: Wenn von der Personalabteilung für einen Mitarbeiter der Vorgang zur Kündigung durchgeführt wird, wird sein Benutzerkonto automatisch für die Anmeldung blockiert bzw. in Active Directory, Microsoft Entra ID und anderen Anwendungen entfernt.
• Erneute Einstellung von Mitarbeitern: Wenn für einen Mitarbeiter in der Cloudumgebung der Personalabteilung der Vorgang für die erneute Einstellung durchgeführt wird, kann sein altes Konto automatisch reaktiviert oder erneut bereitgestellt werden (je nach bevorzugter Vorgehensweise).

Es gibt drei Bereitstellungsoptionen für die personalbasierte Bereitstellung mit Microsoft Entra ID:

1. Für Organisationen mit nur einem Abonnement von Workday oder SuccessFactors und ohne Nutzung von Active Directory
2. Für Organisationen mit nur einem Abonnement von Workday oder SuccessFactors und Nutzung von Active Directory und Microsoft Entra ID
3. Für Organisationen mit mehreren Personalsystemen oder einem lokalen Personalsystem, z. B. SAP, Oracle eBusiness oder PeopleSoft

Weitere Informationen finden Sie unter Worum handelt es sich bei der personalbasierten Bereitstellung?.

App-Bereitstellung

In Microsoft Entra ID steht der Begriff App-Bereitstellung für die automatische Erstellung von Kopien der Benutzeridentitäten in den Anwendungen, auf die Benutzer Zugriff benötigen. Dies gilt für Anwendungen mit eigenem Datenspeicher, bei denen es sich nicht um Microsoft Entra ID oder Active Directory handelt. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die App-Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten für diese Apps, wenn sich der Status oder die Rollen des Benutzers ändern. Ein häufiges Szenario ist die Bereitstellung eines Microsoft Entra-Benutzers in Anwendungen wie Dropbox, Salesforce oder ServiceNow, da diese Anwendungen jeweils über ein eigenes Benutzerrepository verfügen, das sich von Microsoft Entra ID unterscheidet.

Microsoft Entra ID unterstützt auch die Bereitstellung von Benutzern in Anwendungen, die lokal oder auf einem virtuellen Computer gehostet werden, ohne Firewalls öffnen zu müssen. Wenn Ihre Anwendung SCIM unterstützt oder Sie ein SCIM-Gateway erstellt haben, um eine Verbindung mit Ihrer Legacyanwendung herzustellen, können Sie den Microsoft Entra-Bereitstellungs-Agent verwenden, um eine direkte Verbindung mit Ihrer Anwendung herzustellen und die Bereitstellung und Bereitstellungsentlastung zu automatisieren. Wenn Sie ältere Anwendungen haben, die SCIM nicht unterstützen und auf einem LDAP-Benutzerspeicher oder einer SQL-Datenbank basieren, oder die eine SOAP- oder REST-API haben, kann Microsoft Entra ID auch diese unterstützen.

Weitere Informationen finden Sie unter Worum handelt es sich bei der App-Bereitstellung?.

Bereitstellung zwischen Verzeichnissen

Viele Organisationen nutzen sowohl Active Directory als auch Microsoft Entra ID, und ggf. sind die Anwendungen mit Active Directory verbunden, z. B. lokale Dateiserver.

Da viele Organisationen in der Vergangenheit die personalbasierte Bereitstellung lokal genutzt haben, verfügen sie unter Umständen bereits über Benutzeridentitäten für alle Mitarbeiter in Active Directory. Das gängigste Szenario für die Bereitstellung zwischen Verzeichnissen ist die Bereitstellung eines bereits in Active Directory vorhandenen Benutzers in Microsoft Entra ID. Hierfür wird normalerweise die Synchronisierung oder die Cloudbereitstellung von Microsoft Entra Connect verwendet.

Es kann sein, dass Organisationen auch die Bereitstellung in lokalen Systemen aus Microsoft Entra ID durchführen möchten. Angenommen, eine Organisation hat Gäste in das Microsoft Entra-Verzeichnis eingefügt, für die über den App-Proxy der Zugriff auf lokale Webanwendungen, die auf der integrierten Windows-Authentifizierung basieren, erforderlich ist. Für dieses Szenario muss die Bereitstellung lokaler AD-Konten für diese Benutzer in Microsoft Entra ID durchgeführt werden.

Weitere Informationen finden Sie unter Worum handelt es sich bei der Bereitstellung zwischen Verzeichnissen?.

Nächste Schritte

• Was ist Identity Lifecycle Management?
• Worum handelt es sich bei der personalbasierten Bereitstellung?
• Worum handelt es sich bei der App-Bereitstellung?
• Worum handelt es sich bei der Bereitstellung zwischen Verzeichnissen?