API-alapú bejövő kiépítési fogalmak
Ez a dokumentum koncepcionális áttekintést nyújt a Microsoft Entra API-vezérelt bejövő felhasználók kiépítéséről.
Bevezetés
Ma a vállalatok különböző mérvadó nyilvántartási rendszerekkel rendelkeznek. Az identitás teljes életciklusának kialakításához, a biztonsági helyzet megerősítéséhez és a szabályozásoknak való megfeleléshez a Microsoft Entra ID azonosítójában lévő identitásadatokat szinkronban kell tartani az ezekben a nyilvántartási rendszerekben kezelt munkaerőadatokkal. A rekordrendszer lehet HR-alkalmazás, bérszámfejtési alkalmazás, számolótábla vagy SQL-tábla a helyszínen vagy a felhőben üzemeltetett adatbázisban.
Az API-alapú bejövő kiépítéssel a Microsoft Entra kiépítési szolgáltatás mostantól bármilyen rekordrendszerrel támogatja az integrációt. Az ügyfelek és partnerek tetszőleges automatizálási eszközzel lekérhetik a munkaerő adatait a nyilvántartási rendszerből, és betölthetik azokat a Microsoft Entra-azonosítóba. Az informatikai rendszergazda teljes mértékben szabályozhatja az adatok feldolgozását és átalakítását attribútumleképezésekkel. Miután a munkaerő adatai elérhetővé válnak a Microsoft Entra-azonosítóban, a rendszergazda az életciklus-munkafolyamatok használatával konfigurálhatja a megfelelő joiner-mover-leaver üzleti folyamatokat.
Támogatott esetek
Számos bejövő felhasználó-kiépítési forgatókönyv engedélyezve van API-vezérelt bejövő kiépítéssel. Ez a diagram a leggyakoribb forgatókönyveket mutatja be.
1. forgatókönyv: A HR-adatkivonatok importálásának engedélyezése az informatikai csapatok számára bármely automatizálási eszköz használatával
A nagyvállalati integrációs forgatókönyvekben gyakran használnak lapos fájlokat, CSV-fájlokat és SQL-előkészítési táblákat. Az alkalmazotti, alvállalkozói és szállítói adatok rendszeres exportálása ezen formátumok egyikébe történik, és egy automatizálási eszköz segítségével szinkronizálhatók ezek az adatok a vállalati identitáskönyvtárakkal. Az API-vezérelt bejövő kiépítéssel az informatikai csapatok bármilyen tetszőleges automatizálási eszközt használhatnak (például PowerShell-szkripteket vagy Azure Logic Apps-eket) az integráció modernizálásához és egyszerűsítéséhez.
2. forgatókönyv: Az ISV-k közvetlen integrációjának engedélyezése a Microsoft Entra ID-val
Az API-vezérelt bejövő kiépítéssel a HR ISV-k natív szinkronizálási élményeket tudnak szállítani, így a HR-rendszer változásai automatikusan átfolynak a Microsoft Entra-azonosítóba és csatlakoztatott helyi Active Directory tartományokba. Egy HR-alkalmazás vagy a diákinformációs rendszerek alkalmazása például adatokat küldhet a Microsoft Entra-azonosítónak, amint a tranzakció befejeződött, vagy a nap végi tömeges frissítésként.
3. forgatókönyv: A rendszer integrátorainak engedélyezése további összekötők létrehozására rekordrendszerekhez
A partnerek egyéni HR-összekötőket hozhatnak létre, hogy megfeleljenek a különböző integrációs követelményeknek a rekordrendszerektől a Microsoft Entra-azonosítóig történő adatfolyamokkal kapcsolatos különböző integrációs követelményeknek.
A fenti forgatókönyvek mindegyikében egyszerűbb az integráció, mivel a Microsoft Entra kiépítési szolgáltatás átveszi az identitásprofilok összehasonlításának, az adatszinkronizálásnak a rendszergazda által konfigurált hatókörkezelési logikára való korlátozásával, valamint a Microsoft Entra felügyeleti központban felügyelt szabályalapú attribútumfolyamat és -átalakítás végrehajtásának feladatát.
Végpontok közötti folyamat
A munkafolyamat lépései
- Az informatikai rendszergazda egy API-alapú bejövő felhasználókiépítési alkalmazást konfigurál a Microsoft Entra Enterprise Alkalmazásgyűjteményből.
- Az informatikai rendszergazda hozzáférési engedélyeket ad meg, és végponthozzáférési adatokat biztosít az API fejlesztőjének/partnerének/rendszer integrátorának.
- Az API developer/partner/system integrator létrehoz egy API-ügyfelet, amely mérvadó identitásadatokat küld a Microsoft Entra ID-nak.
- Az API-ügyfél beolvassa az identitásadatokat a mérvadó forrásból.
- Az API-ügyfél post kérést küld a kiépítési alkalmazáshoz társított kiépítési /bulkUpload API-végpontnak.
Feljegyzés
Az API-ügyfélnek nem kell összehasonlítást végeznie a forrásattribútumok és a célattribútum-értékek között a meghívandó művelet (létrehozás/frissítés/engedélyezés/letiltás) meghatározásához. Ezt a kiépítési szolgáltatás automatikusan kezeli. Az API-ügyfél egyszerűen feltölti a forrásrendszerből beolvasott identitásadatokat úgy, hogy tömeges kérésként csomagolja azokat SCIM-sémaszerkezetek használatával.
- Ha sikeres, a
Accepted 202 Statusrendszer egy értéket ad vissza. - A Microsoft Entra kiépítési szolgáltatás feldolgozza a kapott adatokat, alkalmazza az attribútumleképezési szabályokat, és befejezi a felhasználók kiépítését.
- A konfigurált kiépítési alkalmazástól függően a felhasználó a helyi Active Directory (hibrid felhasználók esetén) vagy a Microsoft Entra-azonosítóba (csak felhőalapú felhasználók esetén) lesz kiépítve.
- Az API-ügyfél ezután lekérdezi a kiépítési naplók API-végpontját az elküldött rekordok állapotáról.
- Ha valamelyik rekord feldolgozása sikertelen, az API-ügyfél ellenőrizheti a hiba részleteit, és a következő tömeges kérelemben (5. lépés) a sikertelen műveleteknek megfelelő rekordokat is belefoglalhatja.
- Az informatikai rendszergazda bármikor ellenőrizheti a kiépítési feladat állapotát, és megtekintheti az eseményeket a kiépítési naplókban.
Az API-vezérelt bejövő felhasználók kiépítésének főbb jellemzői
- Kiépítési alkalmazásként érhető el, amely egy aszinkron Microsoft Graph-kiépítési /bulkUpload API-végpontot tesz elérhetővé érvényes OAuth-jogkivonat használatával.
- A bérlői rendszergazdáknak graph-engedélyt
SynchronizationData-User.Uploadkell adniuk az ezzel a kiépítési alkalmazással kommunikáló API-ügyfeleknek. - A Graph API-végpont SCIM-sémaszerkezetek használatával fogadja el az érvényes tömeges kérelmek hasznos adatait.
- SCIM-sémabővítményekkel bármilyen attribútumot elküldhet a tömeges kérelem hasznos adatai között.
- A bejövő kiépítési API sebességkorlátja másodpercenként 40 tömeges feltöltési kérelem. Minden tömeges kérelem legfeljebb 50 felhasználói rekordot tartalmazhat, így másodpercenként 2000 rekord feltöltését támogatja.
- Minden API-végpont egy adott kiépítési alkalmazáshoz van társítva a Microsoft Entra ID-ban. Több adatforrást is integrálhat, ha minden adatforráshoz létrehoz egy kiépítési alkalmazást.
- A bejövő tömeges kérelmek hasznos adatai közel valós időben lesznek feldolgozva.
- A rendszergazdák a kiépítési naplók megtekintésével ellenőrizhetik a kiépítési folyamatot.
- Az API-ügyfelek nyomon követhetik az előrehaladást a kiépítési naplók API lekérdezésével.
Licenckövetelmények
Ez a funkció a Microsoft Entra P1, P2 és Microsoft Entra ID-kezelés licenceivel érhető el. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.
API-használati útmutató
Az /bulkUpload API-végpont kibővíti a Microsoft Entra ID-ban kezelhető felhasználók számát. Annak megállapításához, hogy az /bulkUpload API-végpont megfelel-e az integrációs forgatókönyvnek, tekintse meg ezt a táblázatot, amely összehasonlítja azt más API-alapú integrációs lehetőségekkel.
| Esetforgatókönyv használata API-leképezéshez | Felhasználólétrehozás API | HR bejövő tömeges API | Felhasználói meghívó API | Közvetlen hozzárendelési API |
|---|---|---|---|---|
| Ha az identitáslétrehozás forgatókönyve... | Alkalmi felhasználólétrehozás a Microsoft Entra-azonosítóban egy olyan felhasználó számára, aki nincs hr-forráshoz tartozó feldolgozóhoz társítva | Alkalmazottak rekordjainak beszerzése mérvadó HR-forrásból, és azt szeretné, hogy ezek az alkalmazottak "tag" fiókokkal rendelkezzenek a Microsoft Entra-azonosítóban vagy helyi Active Directory | Alkalmi vendégfelhasználó létrehozása a Microsoft Entra-azonosítóban megosztás céljából, ahol a vendég egyedi hozzáférési jogosultságokkal rendelkezik | Hozzáférés-hozzárendelés meglévő felhasználók számára, és (előzetes verzió) vendéglétrehozás a Microsoft Entra-azonosítóban az új vendég szabványosított hozzáférésének biztosításához |
| ... az API használata... | Felhasználó létrehozása | BulkUpload végrehajtása. | Meghívó létrehozása | AccessPackageAssignmentRequest létrehozása |
| Az eredményként kapott felhasználó először a következő helyen jön létre: | Microsoft Entra ID | Helyszíni Active Directory vagy Microsoft Entra-azonosító | Microsoft Entra ID | Microsoft Entra ID |
| Az eredményként kapott felhasználó hitelesíti a következőt: | Microsoft Entra-azonosító, a megadott jelszóval | A Microsoft Entra ID helyszíni Active Directoryja, az Entra életciklus-munkafolyamatai által biztosított ideiglenes hozzáférési bérlettel | Otthoni bérlő vagy más identitásszolgáltató | Otthoni bérlő vagy más identitásszolgáltató |
| A felhasználó további frissítései a következő | Graph API vagy Microsoft Entra Felügyeleti központ | Graph API vagy HR bejövő tömeges API vagy Microsoft Entra felügyeleti központ | Graph API vagy Microsoft Entra Felügyeleti központ | Graph API vagy Microsoft Entra Felügyeleti központ |
| A felhasználó életciklusát a foglalkoztatás kezdetekor a... | Manuális folyamatok | Entra előkészítési életciklus-munkafolyamatok , amelyek az employeeHireDate attribútum alapján aktiválódnak |
Jogosultságkezelés | Automatikus hozzárendelés jogosultságkezelési hozzáférési csomagokkal |
| A felhasználó munkaviszonyának megszűnése esetén az életciklust a... | Manuális folyamatok | Entra offboarding lifecycle workflows , amely az employeeLeaveDateTime attribútum alapján aktiválódik |
Hozzáférési felülvizsgálatok | Jogosultságkezelés, ha a felhasználó elveszíti utolsó hozzáférési csomag-hozzárendelését, a rendszer eltávolítja őket |
Ajánlott képzési terv
| # | Tanulási célkitűzés | Útmutató |
|---|---|---|
| 1. | Szeretne többet megtudni a bejövő kiépítési API-specifikációkról. | Tekintse meg a /bulkUpload API specifikációs dokumentumát. |
| 2. | Szeretné jobban megismerni az API-alapú kiépítési fogalmakat, forgatókönyveket és korlátozásokat. | Tekintse meg az API-alapú bejövő kiépítésre vonatkozó gyakori kérdéseket. |
| 3. | Rendszergazdai felhasználóként gyorsan tesztelni szeretné a bejövő kiépítési API-t. | * API-alapú bejövő kiépítési alkalmazás létrehozása * API tesztelése a Graph Explorerrel |
| 4. | Szolgáltatásfiókkal vagy felügyelt identitással gyorsan tesztelheti a bejövő kiépítési API-t. | * API-alapú bejövő kiépítési alkalmazás létrehozása * API-engedélyek megadása * API tesztelése cURL vagy Postman használatával |
| 5. | Ki szeretné terjeszteni az API-alapú kiépítési alkalmazást további egyéni attribútumok feldolgozására. | Tekintse meg az API-alapú kiépítés kiterjesztése egyéni attribútumok szinkronizálására vonatkozó oktatóanyagot |
| 6. | Automatizálni szeretné az adatfeltöltést a rekordrendszerből a bejövő kiépítési API-végpontra. | Tekintse meg az oktatóanyagokat * Rövid útmutató a PowerShell-lel * Az Azure Logic Apps rövid útmutatója |
| 7. | A bejövő kiépítési API-val kapcsolatos problémákat szeretné elhárítani | Tekintse meg a hibaelhárítási útmutatót. |
Külső tanulási erőforrások
A partnereink és a Microsoft MVP-k által létrehozott alábbi tartalom további útmutatást nyújt az API-alapú kiépítés különböző integrációs forgatókönyvekhez való üzembe helyezéséhez és konfigurálásához.
Oktatóvideók
- John Savill elmagyarázza , hogyan működik az API-alapú kiépítés
- Nick Ross, a Microsoft MVP elmagyarázza , hogyan konfigurálható az API-alapú kiépítés
- A Microsoft MVP Nick Ross elmagyarázza , hogyan lehet HR-adatokat forrásként használni egy Excel-fájlból a SharePointban a Power Automate és az API-alapú kiépítés használatával
- Microsoft-partner IdentityXP 4 részes sorozata API-alapú kiépítéshez
Blogbejegyzések, bemutatók és egyéb hasznos hivatkozások
- A Microsoft MVP Pim Jacob cikke, amely a Bambusz HR API-alapú üzembe helyezést ismerteti a helyi Active Directory
- A Microsoft MVP Pim Jacob bemutatója az illesztési és kilépési folyamat API-alapú kiépítési és életciklus-munkafolyamatok használatával történő konfigurálásáról
- A Microsoft MVP Marius Solbakken cikke az Excel-adatok PowerShell-szkripttel és API-alapú kiépítéssel történő forrását ismerteti
- Suryendu Bhattacharyya cikke az API-vezetés kiépítésének meghívásáról egyéni GitHub-művelettel
- Microsoft MVP Jan Vidar Elven Bicep-sablonja API-alapú üzembe helyezéshez
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: