Konsep provisi masuk berbasis API
Dokumen ini memberikan gambaran umum konseptual provisi pengguna masuk berbasis Microsoft Entra API.
Pengantar
Saat ini perusahaan memiliki berbagai sistem catatan otoritatif. Untuk menetapkan siklus hidup identitas end-to-end, perkuat postur keamanan dan tetap mematuhi peraturan, data identitas di ID Microsoft Entra harus tetap sinkron dengan data tenaga kerja yang dikelola dalam sistem rekaman ini. Sistem rekaman bisa berupa aplikasi SDM, aplikasi penggajian, spreadsheet, atau tabel SQL dalam database yang dihosting baik lokal atau di cloud.
Dengan provisi masuk berbasis API, layanan provisi Microsoft Entra sekarang mendukung integrasi dengan sistem rekaman apa pun . Pelanggan dan mitra dapat menggunakan alat otomatisasi apa pun pilihan mereka untuk mengambil data tenaga kerja dari sistem catatan dan menyerapnya ke dalam ID Microsoft Entra. Admin TI memiliki kontrol penuh tentang bagaimana data diproses dan diubah dengan pemetaan atribut. Setelah data tenaga kerja tersedia di ID Microsoft Entra, admin TI dapat mengonfigurasi proses bisnis joiner-mover-leaver yang sesuai menggunakan Alur Kerja Siklus Hidup.
Skenario yang didukung
Beberapa skenario provisi pengguna masuk diaktifkan menggunakan provisi masuk berbasis API. Diagram ini menunjukkan skenario yang paling umum.
Skenario 1: Memungkinkan tim TI mengimpor ekstrak data SDM menggunakan alat otomatisasi apa pun
File datar, file CSV, dan tabel penahapan SQL umumnya digunakan dalam skenario integrasi perusahaan. Informasi karyawan, kontraktor, dan vendor secara berkala diekspor ke dalam salah satu format ini dan alat otomatisasi digunakan untuk menyinkronkan data ini dengan direktori identitas perusahaan. Dengan provisi masuk berbasis API, tim TI dapat menggunakan alat otomatisasi apa pun pilihan mereka (misalnya: skrip PowerShell atau Azure Logic Apps) untuk memodernisasi dan menyederhanakan integrasi ini.
Skenario 2: Mengaktifkan ISV untuk membangun integrasi langsung dengan ID Microsoft Entra
Dengan provisi masuk berbasis API, HR ISV dapat mengirimkan pengalaman sinkronisasi asli sehingga perubahan sistem SDM secara otomatis mengalir ke ID Microsoft Entra dan domain Active Directory lokal yang terhubung. Misalnya, aplikasi SDM atau aplikasi sistem informasi siswa dapat mengirim data ke ID Microsoft Entra segera setelah transaksi selesai atau sebagai pembaruan massal akhir hari.
Skenario 3: Mengaktifkan integrator sistem untuk membangun lebih banyak konektor ke sistem rekaman
Mitra dapat membangun konektor SDM kustom untuk memenuhi persyaratan integrasi yang berbeda sekeliling aliran data dari sistem rekaman ke ID Microsoft Entra.
Dalam semua skenario di atas, integrasi disederhanakan karena layanan provisi Microsoft Entra mengambil alih tanggung jawab melakukan perbandingan profil identitas, membatasi sinkronisasi data untuk mencakup logika yang dikonfigurasi oleh admin TI, dan menjalankan alur atribut berbasis aturan dan transformasi yang dikelola di pusat admin Microsoft Entra.
Alur end-to-end
Langkah-langkah alur kerja
- Admin TI mengonfigurasi aplikasi provisi pengguna masuk berbasis API dari galeri Aplikasi Microsoft Entra Enterprise.
- Admin TI memberikan izin akses dan menyediakan detail akses titik akhir ke pengembang API/mitra/integrator sistem.
- Pengembang API/mitra/integrator sistem membangun klien API untuk mengirim data identitas otoritatif ke ID Microsoft Entra.
- Klien API membaca data identitas dari sumber otoritatif.
- Klien API mengirimkan permintaan POST ke provisi titik akhir API /bulkUpload yang terkait dengan aplikasi provisi.
Catatan
Klien API tidak perlu melakukan perbandingan apa pun antara atribut sumber dan nilai atribut target untuk menentukan operasi apa (buat/perbarui/aktifkan/nonaktifkan) untuk dipanggil. Ini secara otomatis ditangani oleh layanan provisi. Klien API hanya mengunggah data identitas yang dibaca dari sistem sumber dengan mengemasnya sebagai permintaan massal menggunakan konstruksi skema SCIM.
- Jika berhasil, akan
Accepted 202 Statusdikembalikan. - Layanan provisi Microsoft Entra memproses data yang diterima, menerapkan aturan pemetaan atribut, dan menyelesaikan provisi pengguna.
- Bergantung pada aplikasi provisi yang dikonfigurasi, pengguna disediakan baik ke Active Directory lokal (untuk pengguna hibrid) atau ID Microsoft Entra (untuk pengguna khusus cloud).
- Klien API kemudian meminta titik akhir API log provisi untuk status setiap rekaman yang dikirim.
- Jika pemrosesan rekaman apa pun gagal, klien API dapat memeriksa detail kesalahan dan menyertakan rekaman yang sesuai dengan operasi yang gagal dalam permintaan massal berikutnya (langkah 5).
- Kapan saja, Admin TI dapat memeriksa status pekerjaan provisi dan melihat peristiwa di log provisi.
Fitur utama provisi pengguna masuk berbasis API
- Tersedia sebagai aplikasi provisi yang mengekspos provisi Microsoft Graph asinkron /bulkUpload TITIK akhir API yang diakses menggunakan token OAuth yang valid.
- Admin penyewa harus memberikan klien API yang berinteraksi dengan aplikasi provisi ini izin
SynchronizationData-User.UploadGraph . - Titik akhir Graph API menerima payload permintaan massal yang valid menggunakan konstruksi skema SCIM.
- Dengan ekstensi skema SCIM, Anda dapat mengirim atribut apa pun dalam payload permintaan massal.
- Batas tarif untuk API provisi masuk adalah 40 permintaan pengunggahan massal per detik. Setiap permintaan massal dapat berisi maksimum 50 rekaman pengguna, sehingga mendukung tingkat pengunggahan 2000 rekaman per detik.
- Setiap titik akhir API dikaitkan dengan aplikasi provisi tertentu di ID Microsoft Entra. Anda dapat mengintegrasikan beberapa sumber data dengan membuat aplikasi provisi untuk setiap sumber data.
- Payload permintaan massal yang masuk diproses mendekati real-time.
- Admin dapat memeriksa kemajuan provisi dengan melihat log provisi.
- Klien API dapat melacak kemajuan dengan mengkueri API log provisi.
Persyaratan lisensi
Fitur ini tersedia dengan lisensi Microsoft Entra ID P1, P2, dan Tata Kelola ID Microsoft Entra. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Tata Kelola ID Microsoft Entra dasar-dasar lisensi.
Panduan penggunaan API
Titik /bulkUpload akhir API memperluas jumlah cara Anda dapat mengelola pengguna di ID Entra. Untuk membantu Anda menentukan apakah /bulkUpload titik akhir API tepat untuk skenario integrasi Anda, lihat tabel ini yang membandingkannya dengan opsi integrasi berbasis API lainnya.
| Gunakan Skenario Kasus untuk pemetaan API | API pembuatan pengguna | API massal masuk HR | API undangan pengguna | API penugasan langsung |
|---|---|---|---|---|
| Ketika skenario pembuatan identitas Anda adalah... | Pembuatan pengguna ad-hoc di ID Entra untuk pengguna yang tidak terkait dengan pekerja apa pun di sumber SDM | Sumber catatan karyawan dari sumber SDM otoritatif, dan Anda ingin karyawan tersebut memiliki akun "anggota" di ID Entra atau Active Directory lokal | Pembuatan pengguna tamu ad-hoc di ID Entra, untuk tujuan berbagi, di mana tamu memiliki hak akses unik | Penetapan akses untuk pengguna yang sudah ada, dan (pratinjau) pembuatan tamu di ID Entra, untuk memberikan akses standar tamu baru |
| ... gunakan API... | Membuat pengguna | Lakukan bulkUpload. | Membuat undangan | Membuat accessPackageAssignmentRequest |
| Pengguna yang dihasilkan pertama kali dibuat di... | Entra ID | Active Directory lokal atau ID Entra | Entra ID | Entra ID |
| Pengguna yang dihasilkan mengautentikasi ke... | ID Entra, dengan kata sandi yang Anda berikan | Active Directory ID Entra lokal, dengan Kode Akses Sementara yang disediakan oleh alur kerja Siklus Hidup Entra | Penyewa rumah atau penyedia identitas lainnya | Penyewa rumah atau penyedia identitas lainnya |
| Pembaruan berikutnya untuk pengguna dapat dilakukan melalui | Graph API atau portal Entra | API Grafik atau API massal masuk HR atau portal Entra | Graph API atau portal Entra | Graph API atau portal Entra |
| Siklus hidup pengguna ketika pekerjaan mereka dimulai, ditentukan oleh... | Proses manual | Alur kerja Siklus Hidup entra onboarding yang memicu berdasarkan employeeHireDate atribut |
Pengelolaan pemberian hak | Penugasan otomatis menggunakan paket akses pengelolaan pemberian hak |
| Siklus hidup pengguna ketika pekerjaan mereka dihentikan ditentukan oleh... | Proses manual | Alur kerja siklus hidup offboarding entra yang memicu berdasarkan employeeLeaveDateTime atribut |
Tinjauan akses | Pengelolaan pemberian hak saat pengguna kehilangan penetapan paket akses terakhir mereka, mereka dihapus |
Jalur pembelajaran yang direkomendasikan
| # | Tujuan pembelajaran | Panduan |
|---|---|---|
| 1. | Anda ingin mempelajari selengkapnya tentang spesifikasi API provisi masuk. | Lihat dokumen spesifikasi API /bulkUpload. |
| 2. | Anda ingin lebih terbiasa dengan konsep, skenario, dan batasan provisi berbasis API. | Lihat Tanya jawab umum tentang provisi masuk berbasis API. |
| 3. | Sebagai pengguna Admin, Anda ingin menguji API provisi masuk dengan cepat. | * Buat aplikasi provisi masuk berbasis API * Uji API menggunakan Graph Explorer |
| 4. | Dengan akun layanan atau identitas terkelola, Anda ingin menguji API provisi masuk dengan cepat. | * Buat aplikasi provisi masuk berbasis API * Berikan izin API * Menguji API menggunakan cURL atau Postman |
| 5. | Anda ingin memperluas aplikasi provisi berbasis API untuk memproses lebih banyak atribut kustom. | Lihat tutorial Memperluas provisi berbasis API untuk menyinkronkan atribut kustom |
| 6. | Anda ingin mengotomatiskan pengunggahan data dari sistem rekaman Anda ke titik akhir API provisi masuk. | Lihat tutorial * Mulai cepat dengan PowerShell * Mulai cepat dengan Azure Logic Apps |
| 7. | Anda ingin memecahkan masalah API provisi masuk | Lihat panduan Pemecahan Masalah. |
Sumber daya pembelajaran eksternal
Konten berikut, yang dibuat oleh mitra kami dan Microsoft MVP, menawarkan panduan tambahan tentang cara menyebarkan dan mengonfigurasi provisi berbasis API untuk berbagai skenario integrasi.
Tutorial video
- John Savill menjelaskan cara kerja provisi berbasis API
- Microsoft MVP Nick Ross menjelaskan cara mengonfigurasi provisi berbasis API
- Microsoft MVP Nick Ross menjelaskan cara sumber data SDM dari file Excel di SharePoint menggunakan Power Automate dan provisi berbasis API
- Seri 4 bagian IdentityXP mitra Microsoft pada provisi berbasis API
Posting blog, presentasi, dan tautan berguna lainnya
- Artikel Microsoft MVP Pim Jacob menjelaskan cara melakukan provisi berbasis API SDM Bamboo ke Active Directory lokal
- Presentasi Microsoft MVP Pim Jacob tentang cara mengonfigurasi proses joiner dan leaver menggunakan provisi berbasis API dan alur kerja siklus hidup
- Artikel Microsoft MVP Marius Solbakken menjelaskan cara sumber data Excel menggunakan skrip PowerShell dan provisi berbasis API
- Artikel Suryendu Bhattacharyya tentang cara memanggil provisi mengemudi API menggunakan GitHub Action kustom
- Templat Bicep Microsoft MVP Jan Vidar Elven untuk provisi berbasis API