Mi az Azure Active Directory alkalmazáskiépítése?
Az Azure Active Directory (Azure AD) esetében az alkalmazáskiépítés kifejezés az alkalmazások felhasználói identitásainak és szerepköreinek automatikus létrehozására utal.
Az Azure AD-alkalmazások kiépítése azt jelenti, hogy automatikusan létrehoznak felhasználói identitásokat és szerepköröket azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások karbantartását és eltávolítását, amikor az állapot vagy a szerepkörök megváltoznak. Gyakori forgatókönyvek például egy Azure AD-felhasználó kiépítése saaS-alkalmazásokba, például Dropbox, Salesforce, ServiceNow stb.
Az Azure AD azt is támogatja, hogy a felhasználókat a helyszínen vagy virtuális gépen üzemeltetett alkalmazásokba építse be anélkül, hogy tűzfalakat kellene megnyitnia. Ha az alkalmazás támogatja az SCIM-et, vagy létrehozott egy SCIM-átjárót a régi alkalmazáshoz való csatlakozáshoz, az Azure AD kiépítési ügynök használatával közvetlenül csatlakozhat az alkalmazáshoz, és automatizálhatja a kiépítést és a megszüntetést. Ha olyan örökölt alkalmazásokkal rendelkezik, amelyek nem támogatják az SCIM-et, és LDAP-felhasználói tárolóra vagy SQL-adatbázisra támaszkodnak, az Azure AD ezeket is támogatja.
Az alkalmazáskiépítés a következőket teszi lehetővé:
- A kiépítés automatizálása: Automatikusan új fiókokat hozhat létre a megfelelő rendszerekben az új személyek számára, amikor csatlakoznak a csapathoz vagy a szervezethez.
- A megszüntetés automatizálása: Automatikusan inaktiválja a fiókokat a megfelelő rendszerekben, amikor valaki elhagyja a csapatot vagy a szervezetet.
- Adatok szinkronizálása rendszerek között: Gondoskodjon arról, hogy az alkalmazások és rendszerek identitásai naprakészek legyenek a címtárban vagy az emberi erőforrások rendszerében bekövetkezett változások alapján.
- Csoportok kiépítése: Csoportok kiépítése az őket támogató alkalmazások számára.
- Hozzáférés szabályozása: Figyelheti és naplózhatja, hogy ki lett kiépítve az alkalmazásokban.
- Zökkenőmentes üzembe helyezés barnamezős forgatókönyvekben: Egyezzen a meglévő identitásokkal a rendszerek között, és tegye lehetővé az egyszerű integrációt még akkor is, ha a felhasználók már léteznek a célrendszerben.
- Részletes testreszabás használata: Használja ki a testre szabható attribútumleképezéseket, amelyek meghatározzák, hogy milyen felhasználói adatok kerüljenek át a forrásrendszerből a célrendszerbe.
- Riasztások lekérése kritikus eseményekhez: A kiépítési szolgáltatás riasztásokat biztosít a kritikus eseményekhez, és lehetővé teszi a Log Analytics integrációját, ahol egyéni riasztásokat határozhat meg az üzleti igényeinek megfelelően.
Mi az az SCIM?
Az üzembe helyezés és a megszüntetés automatizálásának elősegítése érdekében az alkalmazások saját fejlesztésű felhasználói és csoportos API-kat tehetnek közzé. Aki azonban egynél több alkalmazásban próbálta kezelni a felhasználókat, az azt fogja mondani, hogy minden alkalmazás ugyanazokat a műveleteket próbálja végrehajtani, például felhasználókat próbál létrehozni vagy frissíteni, felhasználókat felvenni a csoportokba, vagy megszüntetni a felhasználókat. Mindezek a műveletek azonban kissé eltérően vannak implementálva különböző végpontútvonalakkal, a felhasználói adatok megadására használt különböző módszerekkel, és egy másik sémával, amely az információ egyes elemeit képviseli.
Ezeknek a kihívásoknak a megoldásához a System for Cross-domain Identity Management (SCIM) specifikáció egy közös felhasználói sémát biztosít, amely segít a felhasználóknak az alkalmazásokba való be- és ki- és beléptetésben. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokkal használják, mint a Security Assertions Markup Language (SAML) vagy az OpenID Csatlakozás (OIDC), a rendszergazdáknak egy végpontok közötti szabványalapú megoldást biztosít a hozzáférés-kezeléshez.
A felhasználók és csoportok alkalmazásba történő kiépítésének és megszüntetésének automatizálására szolgáló SCIM-végpontok fejlesztésével kapcsolatos részletes útmutatásért tekintse meg az SCIM-végpont létrehozását és a felhasználók átadásának konfigurálását ismertető cikket. A katalógusban előre integrált alkalmazások, például a Slack, az Azure Databricks és a Snowflake esetében kihagyhatja a fejlesztői dokumentációt, és az oktatóanyagokban található oktatóanyagok segítségével integrálhatja saaS-alkalmazásait Azure Active Directory.
Manuális és automatikus átadás
Az Azure AD-katalógusban található alkalmazások a következő két kiépítési mód egyikét támogatják:
- A manuális kiépítés azt jelenti, hogy az alkalmazáshoz még nincs automatikus Azure AD kiépítési összekötő. A felhasználói fiókokat manuálisan kell létrehozni. Ilyenek például a felhasználók hozzáadása közvetlenül az alkalmazás felügyeleti portálján, vagy egy felhasználói fiók adatait tartalmazó számolótábla feltöltése. Tekintse meg az alkalmazás által biztosított dokumentációt, vagy lépjen kapcsolatba az alkalmazás fejlesztőjének a rendelkezésre álló mechanizmusok meghatározásához.
- Az automatikus beállítás azt jelenti, hogy ehhez az alkalmazáshoz egy Azure AD-kiépítési összekötőt fejlesztettek ki. Kövesse az alkalmazás üzembe helyezésének beállítására vonatkozó telepítési oktatóanyagot. Az alkalmazásokkal kapcsolatos oktatóanyagok az SaaS-alkalmazások Azure Active Directory való integrálására vonatkozó oktatóanyagokban találhatók.
Az alkalmazás által támogatott kiépítési mód a Kiépítés lapon is látható, miután hozzáadta az alkalmazást a vállalati alkalmazásokhoz.
Az automatikus kiépítés előnyei
A modern szervezetekben használt alkalmazások számának növekedésével az informatikai rendszergazdáknak nagy léptékben kell hozzáférés-kezelést biztosítaniuk. Az OLYAN szabványok, mint az SAML vagy az OIDC lehetővé teszik a rendszergazdák számára az egyszeri bejelentkezés (SSO) gyors beállítását, de a hozzáféréshez a felhasználókat is be kell állítani az alkalmazásba. Sok rendszergazda számára a kiépítés azt jelenti, hogy minden felhasználói fiók manuális létrehozása vagy CSV-fájlok feltöltése hetente. Ezek a folyamatok időigényesek, költségesek és hibalehetőségek. A kiépítés automatizálására olyan megoldásokat alkalmaztak, mint az SAML igény szerinti (JIT). A vállalatoknak megoldásra is szükségük van a felhasználók megszüntetéséhez, amikor elhagyják a szervezetet, vagy már nem igényelnek hozzáférést bizonyos alkalmazásokhoz a szerepkör módosítása alapján.
Az automatikus kiépítés használatának gyakori indokai a következők:
- A kiépítési folyamatok hatékonyságának és pontosságának maximalizálása.
- Az egyéni fejlesztésű kiépítési megoldások és szkriptek üzemeltetésével és karbantartásával kapcsolatos költségek csökkentése.
- A szervezet biztonságossá tétele a felhasználók identitásainak azonnali eltávolításával a kulcsfontosságú SaaS-alkalmazásokból, amikor elhagyják a szervezetet.
- Nagy számú felhasználó egyszerű importálása egy adott SaaS-alkalmazásba vagy rendszerbe.
- Egyetlen szabályzatkészlettel meghatározhatja, hogy ki van kiépítve, és ki jelentkezhet be egy alkalmazásba.
Az Azure AD-felhasználók átadása segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használták az Azure AD-felhasználók átadását, olvassa el az ASOS-esettanulmányt. Az alábbi videó áttekintést nyújt a felhasználók Azure AD-ben történő kiépítéséről.
Milyen alkalmazásokat és rendszereket használhatok az Azure AD automatikus felhasználóátadással?
Az Azure AD előre integrált támogatást nyújt számos népszerű SaaS-alkalmazáshoz és emberi erőforrás-rendszerhez, valamint általános támogatást nyújt az SCIM 2.0 szabvány egyes részeit implementáló alkalmazásokhoz.
Előre integrált alkalmazások (katalógusbeli SaaS-alkalmazások): Az SaaS-alkalmazások és a Azure Active Directory integrálását ismertető oktatóanyagokban megtalálja az összes olyan alkalmazást, amelyhez az Azure AD támogatja az előre integrált kiépítési összekötőt. A katalógusban felsorolt előre integrált alkalmazások általában SCIM 2.0-alapú felhasználókezelési API-kat használnak a kiépítéshez.
Ha új alkalmazást szeretne kérni az üzembe helyezéshez, kérheti, hogy az alkalmazás integrálva legyen az alkalmazáskatalógusunkkal. Felhasználóátadási kérés esetén az alkalmazásnak SCIM-kompatibilis végpontra van szüksége. Kérje meg az alkalmazás gyártóját, hogy kövesse az SCIM szabványt, hogy gyorsan előkészíthessük az alkalmazást a platformunkra.
SCIM 2.0-t támogató alkalmazások: Az SCIM 2.0-alapú felhasználókezelési API-kat implementáló alkalmazások általános csatlakoztatásával kapcsolatos információkért lásd: SCIM-végpont létrehozása és a felhasználók átadásának konfigurálása.
Hogyan automatikus kiépítést állít be egy alkalmazáshoz?
A katalógusban felsorolt előre integrált alkalmazások esetében részletes útmutató érhető el az automatikus kiépítés beállításához. Az SaaS-alkalmazások Azure Active Directory való integrálásával kapcsolatos oktatóanyagok. Az alábbi videó bemutatja, hogyan állíthat be automatikus felhasználóátadást a SalesForce-hoz.
Az SCIM 2.0-t támogató egyéb alkalmazások esetében kövesse az SCIM-végpont buildelésével és a felhasználók átadásának konfigurálásával kapcsolatos lépéseket.