Mengaktifkan provisi pengguna otomatis untuk aplikasi multi-penyewa Anda di ID Microsoft Entra

  • Artikel

Provisi pengguna otomatis adalah proses mengotomatiskan pembuatan, pemeliharaan, dan penghapusan identitas pengguna dalam sistem target seperti aplikasi perangkat lunak sebagai layanan Anda.

Mengapa mengaktifkan provisi pengguna otomatis?

Aplikasi yang mengharuskan adanya catatan pengguna di aplikasi sebelum masuk pertama pengguna memerlukan provisi pengguna. Ada keuntungan bagi Anda sebagai penyedia layanan, dan keuntungan bagi pelanggan Anda.

Keuntungan bagi Anda sebagai penyedia layanan

  • Meningkatkan keamanan aplikasi Anda dengan menggunakan platform identitas Microsoft.

  • Mengurangi upaya pelanggan yang sebenarnya dan dirasakan untuk mengadopsi aplikasi Anda.

  • Mengurangi biaya Anda dalam mengintegrasikan dengan beberapa penyedia identitas (IdP) untuk provisi pengguna otomatis dengan menggunakan provisi berbasis System for Cross-Domain Identity Management (SCIM).

  • Mengurangi biaya dukungan dengan menyediakan log kaya untuk membantu pelanggan memecahkan masalah provisi pengguna.

  • Tingkatkan visibilitas aplikasi Anda di galeri aplikasi Microsoft Entra.

  • Mendapatkan daftar yang diprioritaskan di halaman Tutorial Aplikasi.

Keuntungan bagi pelanggan Anda

  • Meningkatkan keamanan dengan otomatis menghapus akses ke aplikasi Anda untuk pengguna yang mengubah peran atau meninggalkan organisasi ke aplikasi Anda.

  • Menyederhanakan pengelolaan pengguna untuk aplikasi Anda dengan menghindari kesalahan manusia dan pekerjaan berulang yang terkait dengan provisi manual.

  • Mengurangi biaya hosting dan mempertahankan solusi provisi yang dikembangkan khusus.

Memilih metode provisi

MICROSOFT Entra ID menyediakan beberapa jalur integrasi untuk mengaktifkan provisi pengguna otomatis untuk aplikasi Anda.

  • Layanan provisi Microsoft Entra mengelola provisi dan deprovisi pengguna dari ID Microsoft Entra ke aplikasi Anda (provisi keluar) dan dari aplikasi Anda ke ID Microsoft Entra (provisi masuk). Layanan ini terhubung ke titik akhir API pengelolaan pengguna System for Cross-Domain Identity Management (SCIM) yang disediakan oleh aplikasi Anda.

  • Saat menggunakan Microsoft Graph, aplikasi Anda mengelola provisi pengguna dan grup masuk dan keluar dari ID Microsoft Entra ke aplikasi Anda dengan mengkueri Microsoft Graph API.

  • Provisi pengguna Security Assertion Markup Language Just in Time (SAML JIT) dapat diaktifkan jika aplikasi Anda menggunakan SAML untuk federasi. Ini menggunakan informasi klaim yang dikirim dalam token SAML untuk memprovisikan pengguna.

Untuk membantu menentukan opsi integrasi mana yang akan digunakan untuk aplikasi Anda, lihat tabel perbandingan tingkat tinggi, lalu lihat informasi mendetail pada setiap opsi.

Kemampuan diaktifkan atau ditingkatkan oleh Provisi Otomatis Layanan provisi Microsoft Entra (SCIM 2.0) Microsoft Graph API (OData v4.0) SAML JIT
Manajemen pengguna dan grup di ID Microsoft Entra Hanya pengguna
Mengelola pengguna dan grup yang disinkronkan dari Direktori Aktif lokal √* √* Hanya pengguna*
Akses data di luar pengguna dan grup selama provisi Akses ke data Microsoft 365 (Teams, SharePoint, Email, Kalender, Dokumen, dll.) +X X
Membuat, membaca, dan memperbarui pengguna berdasarkan aturan bisnis
Menghapus pengguna berdasarkan aturan bisnis X
Mengelola provisi pengguna otomatis untuk semua aplikasi dari pusat admin Microsoft Entra X
Mendukung beberapa penyedia identitas X
Mendukung akun tamu (B2B)
Mendukung akun non-perusahaan (B2C) X

*– Penyiapan Microsoft Entra Koneksi diperlukan untuk menyinkronkan pengguna dari AD ke ID Microsoft Entra.
+– Menggunakan SCIM untuk provisi tidak menghalangi Anda untuk mengintegrasikan aplikasi Anda dengan Microsoft Graph untuk tujuan lain.

Layanan provisi Microsoft Entra (SCIM)

Layanan provisi Microsoft Entra menggunakan SCIM, standar industri untuk provisi yang didukung oleh banyak penyedia identitas (IdP) serta aplikasi (misalnya Slack, G Suite, Dropbox). Sebaiknya gunakan layanan provisi Microsoft Entra jika Anda ingin mendukung IdP selain ID Microsoft Entra, karena IdP yang mematuhi SCIM dapat tersambung ke titik akhir SCIM Anda. Membuat titik akhir /Pengguna yang sederhana, Anda dapat mengaktifkan provisi tanpa harus mempertahankan mesin sinkronisasi Anda sendiri.

Untuk informasi selengkapnya tentang bagaimana pengguna layanan provisi Microsoft Entra SCIM, lihat:

Microsoft Graph untuk Provisi

Saat Anda menggunakan Microsoft Graph untuk provisi, Anda memiliki akses ke semua data pengguna kaya yang tersedia di Graph. Selain detail pengguna dan grup, Anda juga dapat mengambil informasi tambahan seperti peran pengguna, pengelola dan laporan langsung, perangkat yang dimiliki dan terdaftar, serta ratusan bagian data lainnya yang tersedia di Microsoft Graph.

Lebih dari 15 juta organisasi, dan 90% perusahaan fortune 500 menggunakan ID Microsoft Entra sambil berlangganan layanan cloud Microsoft seperti Microsoft 365, Microsoft Azure, atau Enterprise Mobility Suite. Anda dapat menggunakan Microsoft Graph untuk mengintegrasikan aplikasi Anda dengan alur kerja administratif, seperti onboarding (dan penghentian karyawan), pemeliharaan profil, dan lainnya.

Pelajari lebih lanjut tentang menggunakan Microsoft Graph untuk provisi:

Menggunakan SAML JIT untuk provisi

Jika Anda ingin memprovisikan pengguna hanya setelah pertama kali masuk ke aplikasi Anda, dan tidak perlu membatalkan provisi pengguna secara otomatis, SAML JIT merupakan pilihannya. Aplikasi Anda harus mendukung SAML 2.0 sebagai protokol federasi untuk menggunakan SAML JIT.

SAML JIT menggunakan informasi klaim dalam token SAML untuk membuat dan memperbarui informasi pengguna dalam aplikasi. Pelanggan dapat mengonfigurasi klaim yang diperlukan ini di aplikasi Microsoft Entra sesuai kebutuhan. Terkadang provisi JIT perlu diaktifkan dari sisi aplikasi sehingga pelanggan dapat menggunakan fitur ini. SAML JIT berguna untuk membuat dan memperbarui pengguna, tetapi tidak dapat menghapus atau menonaktifkan pengguna dalam aplikasi.

Langkah berikutnya