A több-bérlős alkalmazás automatikus felhasználókiépítésének engedélyezése a Microsoft Entra-azonosítóban
Az automatikus felhasználói kiépítés a felhasználói identitások létrehozásának, karbantartásának és eltávolításának automatizálása a célrendszerekben, például a szolgáltatott szoftverekben.
Miért érdemes engedélyezni az automatikus felhasználókiépítést?
Azok az alkalmazások, amelyek megkövetelik, hogy a felhasználó első bejelentkezése előtt felhasználói rekord legyen jelen az alkalmazásban, felhasználói kiépítést igényelnek. A szolgáltatónak vannak előnyei, és előnyei vannak az ügyfelek számára.
Az Ön számára nyújtott előnyök szolgáltatóként
Növelje az alkalmazás biztonságát a Microsoft Identitásplatform használatával.
Csökkentse az alkalmazás bevezetéséhez szükséges tényleges és vélt ügyfélmunkát.
Csökkentse a több identitásszolgáltatóval (IDP-kkel) való integráció költségeit az automatikus felhasználói kiépítéshez a System for Cross-Domain Identity Management (SCIM) alapú kiépítés használatával.
A támogatási költségek csökkentése gazdag naplókkal segíti az ügyfeleket a felhasználói kiépítési problémák elhárításában.
Az alkalmazás láthatóságának növelése a Microsoft Entra alkalmazáskatalógusában.
Fontossági sorrendbe sorolt lista lekérése az Alkalmazás-oktatóanyagok lapon.
Előnyök az ügyfelek számára
Növelje a biztonságot azáltal, hogy automatikusan eltávolítja az alkalmazáshoz való hozzáférést a szerepköröket módosító vagy a szervezetet az alkalmazásra hagyó felhasználók számára.
Egyszerűsítse az alkalmazás felhasználói felügyeletét azáltal, hogy elkerüli a manuális kiépítéssel kapcsolatos emberi hibákat és ismétlődő munkát.
Csökkentse az üzemeltetés és az egyéni fejlesztésű kiépítési megoldások fenntartásának költségeit.
Az üzembehelyezési módszer kiválasztása
A Microsoft Entra ID számos integrációs útvonalat biztosít az alkalmazás automatikus felhasználókiépítésének engedélyezéséhez.
A Microsoft Entra kiépítési szolgáltatás kezeli a felhasználók kiépítését és kivonását a Microsoft Entra-azonosítóból az alkalmazásba (kimenő kiépítés), valamint az alkalmazásból a Microsoft Entra-azonosítóba (bejövő kiépítés). A szolgáltatás csatlakozik a System for Cross-Domain Identity Management (SCIM) felhasználókezelési API-végpontokhoz, amelyeket az alkalmazás biztosít.
A Microsoft Graph használatakor az alkalmazás a Microsoft Graph API lekérdezésével kezeli a felhasználók és csoportok bejövő és kimenő kiépítését a Microsoft Entra-azonosítóból az alkalmazásba.
A Security Assertion Markup Language Just in Time (SAML JIT) felhasználókiépítés akkor engedélyezhető, ha az alkalmazás SAML-t használ összevonáshoz. Az SAML-jogkivonatban küldött jogcímadatokat használja a felhasználók kiépítéséhez.
Az alkalmazáshoz használandó integrációs beállítás meghatározásához tekintse meg a magas szintű összehasonlító táblázatot, majd tekintse meg az egyes lehetőségek részletesebb információit.
Az automatikus kiépítés által engedélyezett vagy bővített képességek | Microsoft Entra kiépítési szolgáltatás (SCIM 2.0) | Microsoft Graph API (OData v4.0) | SAML JIT |
---|---|---|---|
Felhasználó- és csoportkezelés a Microsoft Entra-azonosítóban | √ | √ | Csak felhasználó |
A helyi Active Directory szinkronizált felhasználók és csoportok kezelése | √* | √* | Csak felhasználó* |
Felhasználókon és csoportokon kívüli adatok elérése a Microsoft 365-adatokhoz való hozzáférés kiépítése során (Teams, SharePoint, E-mail, Naptár, Dokumentumok stb.) | X+ | √ | X |
Felhasználók létrehozása, olvasása és frissítése üzleti szabályok alapján | √ | √ | √ |
Felhasználók törlése üzleti szabályok alapján | √ | √ | X |
A Microsoft Entra felügyeleti központból származó összes alkalmazás automatikus felhasználókiépítésének kezelése | √ | X | √ |
Több identitásszolgáltató támogatása | √ | X | √ |
Vendégfiókok támogatása (B2B) | √ | √ | √ |
Nem vállalati fiókok támogatása (B2C) | X | √ | √ |
* – A Microsoft Entra Connect beállítása szükséges a felhasználók AD-ből Microsoft Entra-azonosítóba való szinkronizálásához.
+– Az SCIM kiépítése nem zárja ki, hogy más célokra integrálja az alkalmazást a Microsoft Graph-tal.
Microsoft Entra kiépítési szolgáltatás (SCIM)
A Microsoft Entra kiépítési szolgáltatás az SCIM-et használja, amely számos identitásszolgáltató (idP) és alkalmazás (például Slack, G Suite, Dropbox) által támogatott kiépítés iparági szabványa. Javasoljuk, hogy használja a Microsoft Entra kiépítési szolgáltatást, ha a Microsoft Entra ID mellett az idP-ket is támogatni szeretné, mivel bármely SCIM-kompatibilis identitásszolgáltató csatlakozhat az SCIM-végponthoz. Egyszerű /felhasználói végpont létrehozása esetén anélkül engedélyezheti a kiépítést, hogy saját szinkronizálási motort kellene fenntartania.
A Microsoft Entra kiépítési szolgáltatás felhasználóinak SCIM-ével kapcsolatos további információkért lásd:
Microsoft Graph kiépítéshez
Amikor a Microsoft Graphot használja a kiépítéshez, hozzáférhet a Graphban elérhető összes gazdag felhasználói adathoz. A felhasználók és csoportok adatai mellett további információkat is lekérhet, például a felhasználó szerepköreit, felettesét és közvetlen jelentéseit, a tulajdonában lévő és regisztrált eszközöket, valamint a Microsoft Graphban elérhető több száz további adatelemet.
Több mint 15 millió szervezet és a vagyon 500 vállalat 90%-a használja a Microsoft Entra-azonosítót, miközben olyan Microsoft-felhőszolgáltatásokra iratkozott fel, mint a Microsoft 365, a Microsoft Azure vagy az Enterprise Mobility Suite. A Microsoft Graph használatával integrálhatja az alkalmazást felügyeleti munkafolyamatokkal, például az alkalmazottak előkészítésével (és megszüntetésével), a profil karbantartásával stb.
További információ a Microsoft Graph üzembe helyezéséről:
SAML JIT használata kiépítéshez
Ha csak akkor szeretné kiépíteni a felhasználókat, ha először jelentkezik be az alkalmazásba, és nem kell automatikusan megszüntetnie a felhasználókat, az SAML JIT egy lehetőség. Az alkalmazásnak támogatnia kell az SAML 2.0-t összevonási protokollként az SAML JIT használatához.
Az SAML JIT az SAML-jogkivonat jogcímadatait használja az alkalmazás felhasználói adatainak létrehozásához és frissítéséhez. Az ügyfelek igény szerint konfigurálhatják ezeket a szükséges jogcímeket a Microsoft Entra alkalmazásban. Néha a JIT kiépítését engedélyezni kell az alkalmazás oldaláról, hogy az ügyfél használni tudja ezt a funkciót. Az SAML JIT hasznos a felhasználók létrehozásához és frissítéséhez, de nem tudja törölni vagy inaktiválni a felhasználókat az alkalmazásban.
Következő lépések
Küldje el az alkalmazáslistát és a partnert a Microsofttal, hogy dokumentációt hozzon létre a Microsoft webhelyén.
Csatlakozzon a Microsoft Partner Networkhez (ingyenes), és hozza létre a piacra lépési tervet.