Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Bagian ini menguraikan pertimbangan saat Anda menyimpan data profil pengguna di direktori pengguna. Temukan pertimbangan desain untuk atribut yang akan disimpan di ID Microsoft Entra. Pelajari cara mengelola residensi data, dan persyaratan kepatuhan.
Direktori pengguna
Model pengguna adalah skema logis untuk rekaman pengguna. Model berisi atribut yang disepakati oleh admin direktori dan pemilik aplikasi untuk disimpan di direktori. Ini adalah sumber otoritatif untuk masing-masing: dikumpulkan dari pengguna, tidak diminta dari sistem eksternal.
Klaim yang diperlukan untuk autentikasi dapat mencakup data rahasia dan sensitif yang disimpan di sumber eksternal, seperti manajemen hubungan pelanggan (CRM), atau sistem catatan kesehatan elektronik (EHR). Menyimpan data ini di direktori untuk autentikasi tidak diperlukan. Sebaliknya, data tersebut diambil menggunakan panggilan API RESTful dengan ekstensi autentikasi kustom Microsoft Entra ID. Dalam token, itu dikeluarkan sebagai pernyataan.
Pemilihan atribut
Tabel berikut ini memiliki atribut untuk menentukan model pengguna Anda, dan skenario mana yang akan digunakan.
| Jenis | Skenario |
|---|---|
| Atribut bawaan direktori | - Nilai bertahan dan disimpan dalam direktori - Nama yang bermakna dan jenis - Tersedia dalam daftar default atribut - Jika tidak tersedia, nilai atribut diatur secara administratif |
| Atribut pengguna pelanggan | - Nilai bertahan dan disimpan dalam direktori - Tidak ada atribut bawaan yang tersedia - Persyaratan jenis data sudah cukup |
| Ekstensi kustom | - Nilai yang disimpan dan disimpan dalam CRM atau penyimpanan eksternal - Nilai diambil dari sumber eksternal selama autentikasi, menggunakan penanganan aktivitas - Nilai yang diambil dipancarkan ke token |
Diagram berikut mengilustrasikan bagaimana opsi dalam tabel sebelumnya terintegrasi ke dalam alur pengguna.
Atribut dalam direktori pengguna
MICROSOFT Entra External ID memiliki atribut default untuk objek pengguna. Saat model pengguna diperlukan, Anda dapat membuat atribut ekstensi.
Untuk menggunakan atribut ekstensi ID Eksternal Microsoft Entra, perlu diterapkan ekstensi skema ke direktori Anda. Ekstensi dikaitkan dengan objek aplikasi dan kemudian dapat digunakan sebagai atribut untuk semua objek pengguna direktori, dan untuk semua aplikasi. Objek aplikasi default untuk memperluas skema adalah b2c-extensions-app, yang disediakan dengan direktori Anda, secara default.
Saat Anda menentukan atribut ekstensi, nama yang disimpan dalam direktori mengikuti format: extension_GUID_Name. GUID adalah ID Aplikasi dari objek aplikasi, yang didaftarkan oleh ekstensi skema. Nilai ini spesifik untuk direktori. Cuplikan layar berikut menunjukkan b2c-extensions-app, ID Aplikasi miliknya, dan nama atribut yang dikembalikan oleh Microsoft Graph API.
GET: properti Ekstensi
"value": [</br>
{</br>
"id": "b7271a2b-a03e-48f7-abf0-54d21427987a",</br>
"deletedDateTime": null,</br>
"appDisplayName": "",</br>
"dataType": "String",</br>
"isMultiValued": false,</br>
"isSyncedFromOnPremises": false,</br>
"name": "extension_8beb06b77e314e2393cc5453a6a56756_lastName",</br>
"targetObjects": [</br>
"User"</br>
]</br>
}
Format data yang didukung meliputi:
- String (maksimum 56 karakter)
- Boolean
- Bilangan bulat (nilai 32-bit)
Kelola ekstensi direktori melalui portal admin Microsoft Entra , atau dengan Microsoft Graph API.
Migrasi data pengguna
Saat bermigrasi ke MICROSOFT Entra External ID, pertimbangkan kunci utama, kunci asing (atau kunci gabungan), atau atribut yang digunakan oleh sistem identitas dan aplikasi untuk kompatibilitas. Contohnya adalah ID objek dari sistem identitas warisan, dikeluarkan sebagai pengidentifikasi subjek atau nama persisten dalam token. Selain itu, contohnya adalah atribut direktori lain yang digunakan sebagai pengidentifikasi unik oleh sistem terintegrasi: alamat email, nama masuk pendek, ID CRM, dan ID sistem manajemen pesanan. Untuk melayani dua tujuan, pertahankan nilai-nilai ini:
- Riwayat audit - Saat menyelidiki aktivitas, lihat log yang diarsipkan dari sistem lama. Kunci gabungan di seluruh sistem memfasilitasi skenario ini. Bantu memenuhi persyaratan kepatuhan seperti:
- Fungsi berkelanjutan dari sistem terintegrasi - Migrasi mungkin melibatkan konsolidasi sistem identitas yang menggunakan pengidentifikasi utama yang berbeda. Pertahankan pengidentifikasi agar konfigurasi bentuk token yang khusus untuk aplikasi bisa dilakukan dengan pengidentifikasi subjek atau nama yang tepat. Aplikasi berfungsi seperti yang diharapkan. Contoh: Sistem manajemen pesanan menunjukkan pembelian sebelumnya untuk pengguna, pascamigrasi.
Informasi dokumen untuk mencegah potensi masalah nanti. Buat kamus atribut untuk pengembang aplikasi saat ini dan yang akan datang. Dalam tabel berikut ini adalah sampel.
| Nama atribut | Jenis | Jenis data | Sumber atau pemilik data | Gunakan |
|---|---|---|---|---|
| Bawaan atau kustomisasi | String, int, dll. | Dari pengaturan pengguna atau admin | Aplikasi atau audit |
Sertakan informasi tentang sumber otoritas, juga siapa, apa, kapan, dan bagaimana atribut diperbarui.
Penting
Tidak setiap bagian data aplikasi termasuk dalam direktori. Untuk skala yang lebih besar, pembaruan berkelanjutan dan sinkronisasi data menghadirkan tantangan dan dapat menyebabkan hasil yang tidak dapat diprediksi.
Desain
Di bagian ini, pelajari tentang aspek desain: penamaan dan konvensi, arsitektur referensi, pola integrasi, dan banyak lagi.
Konvensi penamaan
Penggunaan standar dan konvensi direktori membuat struktur direktori mudah dipahami. Pendekatan ini berlaku untuk penamaan aplikasi, pengguna, atribut, dll.
Arsitektur referensi dan pola integrasi
Keputusan dokumen dan pola integrasi sehingga tim aplikasi dapat independen dan konsisten. Sertakan detail organisasi seperti prinsip desain, arsitektur integrasi, diagram urutan dan aliran data, sumber data, kebijakan penyimpanan, standar keamanan, dll.
Jika memungkinkan, lihat dokumentasi produk daripada menduplikasi konten dalam dokumentasi referensi. Aplikasi sampel terbukti sebagai akselerator untuk pengembang dan integrator.
Administrasi
Di ID Microsoft Entra, jika administrator atau nonadministrator lain perlu mengelola sumber daya Microsoft Entra, tetapkan peran Microsoft Entra dengan izin yang mereka butuhkan.
Cari tahu lebih lanjut tentang peran bawaan Microsoft Entra.
Meskipun tidak ada batasan untuk penetapan peran pengguna di direktori identitas eksternal, kami sarankan Anda mengundang akun administratif dari direktori tenaga kerja perusahaan.
Nota
Ada tujuan di masa mendatang untuk menyertakan fitur manajemen identitas istimewa di ID Eksternal Microsoft Entra.
Operasi data direktori
Data direktori mencakup objek yang disimpan dalam direktori seperti pengguna, aplikasi, dan perwakilan layanan.
Nota
Microsoft mencadangkan data direktori secara teratur, dan cadangannya tersedia untuk pemulihan oleh Microsoft.
Direktori membuat beberapa nilai selama pembuatan objek, seperti ID objek dan aplikasi. Mereka tidak dapat diduplikasi atau dibuat ulang dengan nilai yang sama.
Anda dapat memulihkan atau menghapus pengguna yang baru saja dihapus secara permanen.
Untuk objek yang relevan dengan identitas eksternal, seperti pengguna, grup, dan perwakilan layanan, lihat pulih dari penghapusan di ID Microsoft Entra.
Kami merekomendasikan semua pekerjaan batch yang memproses data direktori, untuk tugas pemeliharaan atau sinkronisasi, menghasilkan log aktivitas selain log audit yang dihasilkan sistem. Periksa mereka setelah operasi batch.
Kepatuhan
Kumpulkan persyaratan kepatuhan yang dikenakan pada direktori. Mendasarkan informasi ini pada pasar operasi. Di beberapa industri, atau wilayah operasi negara, detail ini dapat berubah.
Untuk mempelajari selengkapnya, lihat dokumentasi kepatuhan Azure .
Meskipun platform mematuhi standar tertentu, operator bertanggung jawab atas upkeep data direktori dan memastikan kepatuhan bagi pelanggan. Misalnya, produk Microsoft Entra mematuhi Peraturan Perlindungan Data Umum (GDPR) dan memiliki API untuk operasi direktori. Dengan demikian, Microsoft adalah prosesor data. Pemilik direktori dalam peran Pengontrol memberi pengguna opsi lupakan saya. Pemilik menjalankan API untuk menghapus pengguna dari direktori.
Kumpulkan persyaratan kepatuhan dan libatkan tim hukum. Berikut adalah tabel sebagai alat bantu untuk mengumpulkan persyaratan.
| Parameter | Kepatuhan dan persyaratan |
|---|---|
| Negara atau wilayah operasi 1 | |
| Negara atau wilayah operasi 2 | |
| Industri | |
| Otoritas peraturan |
Gunakan informasi ini untuk memverifikasi data yang disimpan di direktori dan konfigurasinya. Informasi mungkin berkaitan dengan atribut dalam direktori. Kenali bahwa kombinasi atribut tertentu, seperti nama depan, nama keluarga, dan kota mungkin termasuk dalam batas kepatuhan. Selain itu, skenario ini dapat berlaku untuk retensi log dan persyaratan enkripsi yang ditentukan dalam konfigurasi. Dokumentasikan persyaratan konfigurasi khusus untuk membantu mempertahankan konfigurasi. Persyaratan kepatuhan berkembang lebih cepat sebagai respons terhadap ancaman cyber, perubahan politik, dan sosial. Gunakan bantuan pekerjaan berikut.
| Konfigurasi penyewa | Referensi kepatuhan |
|---|---|
| Penyimpanan Log | |
| Konfigurasi kripto | |
| Penyimpanan atribut | |
| Pemisahan tugas | |
| Kompleksitas kata sandi | |
| ... |
Nota
Saat menginterpretasikan persyaratan kepatuhan dan konfigurasi, konsultasikan dengan tim hukum dan kepatuhan untuk panduan dan konensi.
Batas layanan
Titik akhir penyewa Microsoft Entra External ID tunduk pada batas pembatasan , yang membatasi panggilan bersamaan dan mencegah penggunaan sumber daya yang berlebihan. Ini membantu melindungi produk dan layanan Microsoft yang dikirimkan kepada semua pelanggan.
Tabel berikut ini mencantumkan skenario utama dan komponen layanan untuk merancang solusi dengan ID Eksternal Microsoft Entra.
| Skenario | Komponen | Panduan pembatasan kecepatan |
|---|---|---|
| Tugas administratif yang melakukan pembuatan, baca, perbarui, dan hapus (CRUD) pada penyewa ID Eksternal Microsoft Entra, seperti alur pengguna atau objek | Microsoft Graph API | panduan pembatasan grafik - - batas pembatasan layanan Graph |
| Mendaftar, masuk, dan mengatur ulang kata sandi dengan alur pengguna | ID Eksternal Microsoft Entra | batas penggunaan layanan ID Eksternal Microsoft Entra |
Microsoft Graph API memiliki berbagai jenis batas dan kuota terkait. Prioritas penegakan yang tertinggi adalah aplikasi + penyewa, dan yang terendah adalah penyewa . Karena MICROSOFT Entra External ID tidak mendukung aplikasi multipenyewa, batas per aplikasi tidak berlaku.
Sebagai contoh, aplikasi + penyewa mencapai batas kuotanya sebelum kuota penyewa tercapai. Tindakan ini memungkinkan aplikasi lain untuk berkomunikasi dengan penyewa.
Dengan operasi direktori volume besar satu kali seperti migrasi pengguna, tingkatkan throughput dengan menggunakan operasi batch dan hingga enam pendaftaran aplikasi untuk melakukan operasi Microsoft Graph.
Pendekatan ini dapat melebihi batas pembatasan penyewa. Ketika aplikasi mencapai batas, aplikasi tidak dapat berinteraksi dengan direktori, yang dapat menyebabkan beban kerja lain gagal. Gunakan hati-hati saat beberapa aplikasi meningkatkan throughput beban kerja tertentu.
Nota
Beberapa jenis sumber daya Microsoft Graph API mungkin memiliki batas pembatasan yang berbeda dan lebih ketat untuk keamanan. Buka tiket dukungan dengan Dukungan Microsoft untuk merencanakan mitigasi berdasarkan kasus per kasus.
Langkah berikutnya
Gunakan artikel berikut untuk membantu Anda memulai penyebaran ID Eksternal Microsoft Entra:
- Pengantar panduan penyebaran Microsoft Entra External ID
- Desain untuk penyewa
- pengalaman autentikasi pelanggan
- Operasi
- Autentikasi dan arsitektur kontrol akses
- Audit dan pemantauan