Mi az alkalmazáskiépítés a Microsoft Entra ID-ban?
A Microsoft Entra ID-ban az alkalmazáskiépítés kifejezés a felhasználói identitások és szerepkörök automatikus létrehozását jelenti az alkalmazások számára.
A Microsoft Entra alkalmazáskiépítés a felhasználói identitások és szerepkörök automatikus létrehozását jelenti azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepkörváltozásának fenntartását és eltávolítását. Gyakori forgatókönyvek például egy Microsoft Entra-felhasználó kiépítése SaaS-alkalmazásokba, például a Dropboxba, a Salesforce-ba, a ServiceNow-ba és még sok másba.
A Microsoft Entra ID emellett támogatja a felhasználók helyszíni vagy virtuális gépeken üzemeltetett alkalmazásokba való kiépítését anélkül, hogy tűzfalakat kellene megnyitnia. Az alábbi táblázat a protokollok támogatott összekötőkhöz való leképezését tartalmazza.
Protokoll | Összekötő |
---|---|
SCIM | SCIM – SaaS SCIM – Helyszíni/ Magánhálózat |
LDAP | LDAP |
SQL | SQL |
REST | Webszolgáltatások |
SZAPPAN | Webszolgáltatások |
Egybesimított fájl | PowerShell |
Egyéni | Egyéni ECMA-összekötők Partnerek által létrehozott összekötők és átjárók |
- A kiépítés automatizálása: Automatikusan létrehozhat új fiókokat a megfelelő rendszerekben, amikor csatlakoznak a csapatához vagy szervezetéhez.
- Automatizálja a leépítést: Automatikusan inaktiválja a fiókokat a megfelelő rendszerekben, amikor a felhasználók elhagyják a csapatot vagy a szervezetet.
- Adatok szinkronizálása a rendszerek között: Az alkalmazások és rendszerek identitásainak naprakészen tartása a címtár vagy az emberierőforrás-rendszer változásai alapján.
- Csoportok kiépítése: Csoportok kiépítése az őket támogató alkalmazások számára.
- Hozzáférés szabályozása: Az alkalmazásokban kiépített felhasználók figyelése és naplózása.
- Zökkenőmentes üzembe helyezés barnamezős forgatókönyvekben: Egyezzen a meglévő identitásokkal a rendszerek között, és lehetővé tegye az egyszerű integrációt, még akkor is, ha a felhasználók már léteznek a célrendszerben.
- Részletes testreszabás használata: Használja ki a testre szabható attribútumleképezéseket, amelyek meghatározzák, hogy a felhasználói adatok a forrásrendszerből a célrendszerbe kerüljenek.
- Riasztások lekérése kritikus eseményekhez: A kiépítési szolgáltatás riasztásokat biztosít a kritikus eseményekhez, és lehetővé teszi a Log Analytics integrációját, ahol egyéni riasztásokat határozhat meg az üzleti igényeinek megfelelően.
Mi az SCIM?
A kiépítés és a leépítés automatizálásának elősegítése érdekében az alkalmazások védett felhasználói és csoportos API-kat tehetnek közzé. A felhasználókezelés egynél több alkalmazásban kihívást jelent, mivel minden alkalmazás ugyanazokat a műveleteket próbálja végrehajtani. Például létrehozhat vagy frissíthet felhasználókat, felhasználókat adhat hozzá csoportokhoz, vagy megszüntetheti a felhasználókat. A fejlesztők gyakran kissé eltérően implementálják ezeket a műveleteket. Például különböző végpontelérési utakat, felhasználói adatok megadására szolgáló különböző metódusokat és különböző sémákat használva, amelyek az információk egyes elemeit jelölik.
Ezeknek a kihívásoknak a megoldása érdekében a System for Cross-Domain Identity Management (SCIM) specifikációja egy gyakori felhasználói sémát biztosít, amely segít a felhasználóknak az alkalmazásokba való be- és ki- és beléptetésben. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokat használ, mint a Security Assertions Markup Language (SAML) vagy az OpenID Connect (OIDC), a rendszergazdáknak a hozzáférés-kezeléshez egy végpontok közötti szabványalapú megoldást biztosít.
A felhasználók és csoportok alkalmazásba történő kiépítésének és megszüntetésének automatizálására szolgáló SCIM-végpont fejlesztésére vonatkozó részletes útmutatásért lásd : SCIM-végpont létrehozása és a felhasználók kiépítésének konfigurálása. Számos alkalmazás integrálható közvetlenül a Microsoft Entra-azonosítóval. Ilyen például a Slack, az Azure Databricks és a Snowflake. Ezekben az alkalmazásokban hagyja ki a fejlesztői dokumentációt, és használja az oktatóanyagokban található oktatóanyagokat az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálásához.
Manuális és automatikus átadás
A Microsoft Entra katalógusban található alkalmazások két kiépítési mód egyikét támogatják:
- A manuális kiépítés azt jelenti, hogy az alkalmazáshoz még nincs automatikus Microsoft Entra kiépítési összekötő. Ezeket manuálisan kell létrehoznia. Ilyen például a felhasználók hozzáadása közvetlenül az alkalmazás felügyeleti portáljára, vagy egy számolótábla feltöltése a felhasználói fiók adataival. Tekintse meg az alkalmazás által biztosított dokumentációt, vagy forduljon az alkalmazás fejlesztőjének a rendelkezésre álló mechanizmusok meghatározásához.
- Az automatikus beállítás azt jelenti, hogy az alkalmazás elérhető egy Microsoft Entra kiépítési összekötővel. Kövesse az alkalmazás üzembe helyezésének beállítására vonatkozó telepítési oktatóanyagot. Az Oktatóanyagok az SaaS-alkalmazások Microsoft Entra ID-val való integrálására vonatkozó oktatóanyagokban található.
Az alkalmazás által támogatott kiépítési mód a Kiépítés lapon is látható, miután hozzáadta az alkalmazást a vállalati alkalmazásokhoz.
Az automatikus kiépítés előnyei
A modern szervezetekben használt alkalmazások száma folyamatosan nő. Rendszergazdaként nagy léptékben kell kezelnie a hozzáférés-kezelést. Az egyszeri bejelentkezéshez (SSO) olyan szabványokat kell használnia, mint az SAML vagy az OIDC, de a hozzáféréshez felhasználókat is be kell építenie egy alkalmazásba. Elképzelhető, hogy a kiépítés azt jelenti, hogy minden felhasználói fiók manuális létrehozása vagy CSV-fájlok feltöltése minden héten. Ezek a folyamatok időigényesek, drágák és hibalehetőségek. A folyamat egyszerűsítése érdekében az SAML igény szerinti (JIT) használatával automatizálhatja a kiépítést. Ugyanezzel a folyamattal megszüntetheti a felhasználókat, ha elhagyják a szervezetet, vagy már nem igényelnek hozzáférést bizonyos alkalmazásokhoz a szerepkör módosítása alapján.
Az automatikus kiépítés használatának néhány gyakori motivációja a következők:
- A kiépítési folyamatok hatékonyságának és pontosságának maximalizálása.
- Az egyéni fejlesztésű kiépítési megoldások és szkriptek üzemeltetésével és karbantartásával kapcsolatos költségek megtakarítása.
- A szervezet védelme azáltal, hogy azonnal eltávolítja a felhasználók identitásait a kulcsfontosságú SaaS-alkalmazásokból, amikor elhagyják a szervezetet.
- Nagy számú felhasználó egyszerűen importálható egy adott SaaS-alkalmazásba vagy rendszerbe.
- Egyetlen szabályzatkészlet, amely meghatározza az alkalmazásba bejelentkezni képes kiépített felhasználókat.
A Microsoft Entra felhasználói kiépítése segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használják a Microsoft Entra felhasználói kiépítését, olvassa el az ASOS-esettanulmányt. Az alábbi videó áttekintést nyújt a felhasználók Microsoft Entra-azonosítóban történő kiépítéséről.
Milyen alkalmazásokat és rendszereket használhatok a Microsoft Entra automatikus felhasználókiépítésével?
A Microsoft Entra számos népszerű SaaS-alkalmazás és emberierőforrás-rendszer előzetes támogatását, valamint általános támogatást nyújt az SCIM 2.0 szabvány meghatározott részeit implementáló alkalmazásokhoz.
Előre elkészített alkalmazások (katalógus SaaS-alkalmazások): Minden olyan alkalmazást megtalál, amelyhez a Microsoft Entra ID támogatja az előre összeállított kiépítési összekötőt az oktatóanyagokban az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálásához. A katalógusban felsorolt előre elkészített alkalmazások általában SCIM 2.0-alapú felhasználókezelési API-kat használnak a kiépítéshez.
Ha új alkalmazást szeretne kérni a kiépítéshez, tekintse meg az alkalmazás Microsoft Entra alkalmazáskatalógusban való közzétételére vonatkozó kérés elküldését. Felhasználói kiépítési kérelem esetén az alkalmazásnak SCIM-kompatibilis végpontot kell létrehoznia. Kérje meg az alkalmazás gyártóját, hogy kövesse az SCIM szabványt, hogy gyorsan regisztrálhassuk az alkalmazást a platformunkra.
SCIM 2.0-t támogató alkalmazások: Az SCIM 2.0-alapú felhasználói felügyeleti API-kat implementáló alkalmazások általános csatlakoztatásáról az SCIM-végpont létrehozása és a felhasználók kiépítésének konfigurálása című témakörben olvashat.
Meglévő címtárat vagy adatbázist használó, vagy kiépítési felületet biztosító alkalmazások: Oktatóanyagok az LDAP-címtárba, SQL-adatbázisba való kiépítéshez, REST- vagy SOAP-felülettel való kiépítéséhez, vagy a PowerShellen keresztül érhető el, amely egy egyéni ECMA-összekötő, illetve partnerek által létrehozott összekötők és átjárók.
Az SAML-en keresztüli igény szerinti üzembe helyezést támogató alkalmazások.
Hogyan automatikus kiépítés beállítása egy alkalmazáshoz?
A katalógusban felsorolt előre felépített alkalmazásokhoz a meglévő lépésenkénti útmutatóval állíthatja be az automatikus üzembe helyezést, lásd az SaaS-alkalmazások Microsoft Entra-azonosítóval való integrálására vonatkozó oktatóanyagokat. Az alábbi videó bemutatja, hogyan állíthatja be az automatikus felhasználói kiépítést a SalesForce-hoz.
Az SCIM 2.0-t támogató egyéb alkalmazások esetében kövesse az SCIM-végpontok létrehozására és a felhasználók kiépítésének konfigurálására vonatkozó lépéseket.