Aktivieren der automatischen Benutzerbereitstellung für Ihre mehrinstanzenfähige Anwendung in Microsoft Entra ID
Die automatische Benutzerbereitstellung ist der Vorgang der Automatisierung der Erstellung, Wartung und Entfernung von Benutzeridentitäten in Zielsystemen z. B. Ihren Software-as-a-Service-Anwendungen.
Warum muss die automatische Benutzerbereitstellung aktiviert werden?
Die Benutzerbereitstellung ist erforderlich für Anwendungen, in denen vor der ersten Anmeldung eines Benutzers ein Benutzerdatensatz vorhanden sein muss. Dies hat Vorteile für Sie als Dienstanbieter und Vorteile für Ihre Kunden.
Vorteile für Sie als Dienstanbieter
Erhöhte Sicherheit Ihrer Anwendung durch Verwendung von Microsoft Identity Platform
Reduzierter tatsächlicher und wahrgenommener Aufwand für Kunden bei der Implementierung Ihrer Anwendung
Verringerte Kosten bei der Integration mit mehreren Identitätsanbietern (IdPs) für die automatische Benutzerbereitstellung durch Verwendung der SCIM-basierten Bereitstellung (System for Cross-domain Identity Management)
Verringerte Supportkosten durch Bereitstellen umfassender Protokolle zur Unterstützung der Kunden beim Beheben von Problemen bei der Benutzerbereitstellung
Erhöhen Sie die Transparenz Ihrer Anwendung im Microsoft Entra-App-Katalog.
Priorisierte Auflistung auf der Seite für App-Tutorials
Vorteile für Ihre Kunden
Erhöhte Sicherheit durch automatisches Entfernen des Zugriffs auf Ihre Anwendung für Benutzer, die Rollen wechseln oder die Organisation verlassen
Vereinfachte Benutzerverwaltung der Anwendung durch Vermeiden menschlicher Fehler oder sich wiederholender Aufgaben bei der manuellen Bereitstellung
Verringerte Kosten für das Hosten und Verwalten benutzerdefiniert entwickelter Bereitstellungslösungen
Auswählen einer Bereitstellungsmethode
Microsoft Entra ID umfasst mehrere Integrationspfade zum Aktivieren der automatischen Benutzerbereitstellung für Ihre Anwendung.
Der Microsoft Entra-Bereitstellungsdienst verwaltet das Bereitstellen und Aufheben der Bereitstellung von Benutzern aus Microsoft Entra ID in Ihrer Anwendung (ausgehende Bereitstellung) und aus Ihrer Anwendung in Microsoft Entra ID (eingehende Bereitstellung). Der Dienst stellt eine Verbindung mit den in der Anwendung angegebenen Endpunkten der SCIM-Benutzerverwaltungs-API (System for Cross-domain Identity Management) her.
Wenn Sie Microsoft Graph verwenden, verwaltet Ihre Anwendung die eingehende und ausgehende Bereitstellung von Benutzern und Gruppen aus Microsoft Entra ID in Ihrer Anwendung durch Abfragen der Microsoft Graph-API.
Die Security Assertion Markup Language-Just-In-Time-Benutzerbereitstellung (SAML JIT) kann aktiviert werden, wenn die Anwendung SAML für den Verbund verwendet. Dabei werden die im SAML-Token gesendeten Informationen zu Ansprüchen zum Bereitstellen von Benutzern verwendet.
Informationen zu den Integrationsoptionen für die Anwendung finden Sie in der allgemeinen Vergleichstabelle und in den nachfolgenden detaillierteren Abschnitten zu den einzelnen Optionen.
Durch die automatische Bereitstellung aktivierte oder erweiterte Funktionen | Microsoft Entra-Bereitstellungsdienst (SCIM 2.0) | Microsoft Graph-API (OData v4.0) | SAML JIT |
---|---|---|---|
Benutzer- und Gruppenverwaltung in Microsoft Entra ID | √ | √ | Nur Benutzer |
Verwalten von Benutzern und Gruppen, die mit der lokalen Active Directory-Instanz synchronisiert werden | √* | √* | Nur Benutzer* |
Zugriff auf andere Daten neben Benutzern und Gruppen bei der Bereitstellung, Zugriff auf Microsoft 365-Daten (Teams, SharePoint, E-Mail, Kalender, Dokumente usw.) | +X | √ | X |
Erstellen, Lesen und Aktualisieren von Benutzern basierend auf Geschäftsregeln | √ | √ | √ |
Löschen von Benutzern basierend auf Geschäftsregeln | √ | √ | X |
Verwalten der automatischen Benutzerbereitstellung für alle Anwendungen im Microsoft Entra Admin Center | √ | X | √ |
Unterstützung mehrerer Identitätsanbieter | √ | X | √ |
Unterstützung von Gastkonten (B2B) | √ | √ | √ |
Unterstützung von Nicht-Unternehmenskonten (B2C) | X | √ | √ |
*: Microsoft Entra Connect-Setup ist erforderlich, um Benutzer von AD in Microsoft Entra ID zu synchronisieren.
+ Die Verwendung von SCIM für die Bereitstellung hindert Sie nicht daran, Ihre Anwendung zu anderen Zwecken in Microsoft Graph zu integrieren.
Microsoft Entra-Bereitstellungsdienst (SCIM)
Der Microsoft Entra-Bereitstellungsdienst nutzt SCIM, einen Branchenstandard für die Bereitstellung, der von vielen Identitätsanbietern (Identity Providers, IdPs) und Anwendungen (beispielsweise Slack, G Suite und Dropbox) unterstützt wird. Es wird empfohlen, den Microsoft Entra-Bereitstellungsdienst zu verwenden, wenn Sie IdPs zusätzlich zu Microsoft Entra ID unterstützen möchten, da jeder SCIM-konforme IdP eine Verbindung mit dem SCIM-Endpunkt herstellen kann. Wenn Sie einen einfachen /User-Endpunkt entwickeln, können Sie die Bereitstellung aktivieren, ohne eine eigene Synchronisierungsengine verwalten zu müssen.
Weitere Informationen zur Verwendung von SCIM im Microsoft Entra-Bereitstellungsdienst finden Sie hier:
Microsoft Graph für die Bereitstellung
Bei Verwendung von Microsoft Graph für die Bereitstellung haben Sie Zugriff auf alle in Graph verfügbaren umfassenden Benutzerdaten. Neben den Details von Benutzern und Gruppen können Sie auch weitere Informationen abrufen, z. B. die Rollen, Manager und direkten Mitarbeiter von Benutzern, Geräte im Besitz von Benutzern und registrierte Geräte sowie Hunderte anderer Datenelemente, die in Microsoft Graph verfügbar sind.
Mehr als 15 Millionen Organisationen und 90 % der Fortune 500-Unternehmen, die Microsoft-Clouddienste wie Microsoft 365, Microsoft Azure oder Enterprise Mobility Suite abonniert haben, verwenden Microsoft Entra ID. Mithilfe von Microsoft Graph können Sie Ihre Anwendung in administrative Workflows integrieren, z. B. Onboarding (und Kündigung) von Mitarbeitern, Profilwartung und vieles mehr.
Weitere Informationen zur Verwendung von Microsoft Graph für die Bereitstellung:
Verwenden von SAML JIT für die Bereitstellung
SAML JIT kann verwendet werden, wenn Sie Benutzer nur bei der ersten Anmeldung bei Ihrer Anwendung bereitstellen möchten und die Bereitstellung von Benutzern nicht automatisch aufgehoben werden muss. Zur Verwendung von SAML JIT muss ie Anwendung SAML 2.0 als Verbundprotokoll unterstützen.
SAML JIT verwendet die Informationen zu Ansprüchen im SAML-Token, um Benutzerinformationen in der Anwendung zu erstellen und zu aktualisieren. Kunden können diese erforderlichen Ansprüche in der Microsoft Entra-Anwendung nach Bedarf konfigurieren. Manchmal muss die JIT-Bereitstellung in der Anwendung aktiviert werden, damit Kunden diese Funktion verwenden können. SAML JIT ist für das Erstellen und Aktualisieren von Benutzern nützlich, Sie können die Benutzer in der Anwendung jedoch nicht löschen oder deaktivieren.
Nächste Schritte
Übermitteln Sie Ihre Liste der Anwendungen, und erstellen Sie gemeinsam mit Microsoft eine Dokumentation auf der Microsoft-Website.