Merencanakan penyebaran provisi pengguna otomatis di MICROSOFT Entra ID
Banyak organisasi mengandalkan perangkat lunak sebagai aplikasi layanan (SaaS) seperti ServiceNow, Zscaler, dan Slack untuk produktivitas pengguna akhir. Secara historis staf IT telah mengandalkan metode provisi manual seperti mengunggah file CSV, atau menggunakan skrip kustom untuk mengelola identitas pengguna dengan aman di setiap aplikasi SaaS. Proses ini rentan terhadap kesalahan, tidak aman, dan sulit dikelola.
Provisi pengguna otomatis Microsoft Entra menyederhanakan proses ini dengan mengotomatiskan pembuatan, pemeliharaan, dan penghapusan identitas pengguna dengan aman di aplikasi SaaS berdasarkan aturan bisnis. Otomatisasi ini memungkinkan Anda untuk secara efektif menskalakan sistem pengelolaan identitas pada lingkungan khusus cloud dan hibrid saat Anda memperluas ketergantungannya pada solusi berbasis cloud.
Lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra untuk lebih memahami fungsionalitasnya.
Selain provisi ke dalam aplikasi SaaS, provisi pengguna otomatis Microsoft Entra juga mendukung provisi ke banyak aplikasi cloud lokal dan privat. Untuk informasi selengkapnya, lihat Arsitektur provisi identitas aplikasi lokal Microsoft Entra.
Learn
Provisi pengguna membuat dasar untuk tata kelola identitas yang sedang berlangsung dan meningkatkan kualitas proses bisnis yang bergantung pada data identitas otoritatif.
Manfaat utama
Manfaat utama dari mengaktifkan provisi pengguna otomatis adalah:
Peningkatan produktivitas. Anda dapat mengelola identitas pengguna di seluruh aplikasi SaaS dengan satu antarmuka pengelolaan provisi pengguna. Antarmuka ini memiliki satu set kebijakan provisi.
Mengelola risiko. Anda dapat meningkatkan keamanan dengan mengotomatiskan perubahan berdasarkan status karyawan atau keanggotaan grup yang menentukan peran dan/atau akses.
Menangani kepatuhan dan tata kelola. MICROSOFT Entra ID mendukung log provisi asli untuk setiap permintaan provisi pengguna. Permintaan dijalankan dalam sistem sumber dan target. Log provisi memungkinkan Anda melacak siapa yang memiliki akses ke aplikasi dari satu layar.
Mengurangi biaya. Provisi pengguna otomatis mengurangi biaya dengan menghindari inefisiensi dan kesalahan manusia yang terkait dengan provisi manual. Ini mengurangi kebutuhan akan solusi provisi pengguna, skrip, dan log provisi yang dikembangkan khusus.
Pelisensian
MICROSOFT Entra ID menyediakan integrasi layanan mandiri dari aplikasi apa pun menggunakan templat yang disediakan di menu galeri aplikasi. Untuk daftar lengkap persyaratan lisensi, lihat halaman harga Microsoft Entra.
Pemberian lisensi aplikasi
Anda memerlukan lisensi yang sesuai untuk aplikasi yang ingin Anda provisikan secara otomatis. Diskusikan dengan pemilik aplikasi apakah pengguna yang ditetapkan ke aplikasi memiliki lisensi yang tepat untuk peran aplikasi mereka. Jika MICROSOFT Entra ID mengelola provisi otomatis berdasarkan peran, peran yang ditetapkan dalam ID Microsoft Entra harus selaras dengan lisensi aplikasi. Lisensi yang salah yang dimiliki dalam aplikasi dapat menyebabkan kesalahan selama proses provisi/pembaruan pengguna.
Syarat
Artikel ini menggunakan istilah berikut:
Operasi CRUD - Tindakan yang diambil pada akun pengguna: Buat, Baca, Perbarui, Hapus.
Akses menyeluruh (SSO) - Kemampuan bagi pengguna untuk masuk sekali dan mengakses semua aplikasi yang diaktifkan SSO. Dalam konteks provisi pengguna, SSO adalah hasil dari pengguna yang memiliki satu akun untuk mengakses semua sistem yang menggunakan provisi pengguna otomatis.
Sistem sumber - Repositori pengguna tempat ID Microsoft Entra disediakan. ID Microsoft Entra adalah sistem sumber untuk sebagian besar konektor provisi yang telah diintegasikan sebelumnya. Namun, ada beberapa pengecualian untuk aplikasi cloud seperti SAP, Workday, dan AWS. Misalnya, lihat Provisi pengguna dari Workday ke AD.
Sistem target - Repositori pengguna yang disediakan id Microsoft Entra. Sistem Target biasanya berupa aplikasi SaaS seperti ServiceNow, Zscaler, dan Slack. Sistem target juga dapat menjadi sistem lokal seperti AD.
System for Cross-domain Identity Management (SCIM) - Standar terbuka yang memungkinkan otomatisasi provisi pengguna. SCIM mengkomunikasikan data identitas pengguna antara penyedia identitas dan penyedia layanan. Microsoft adalah contoh penyedia identitas. Salesforce adalah contoh penyedia layanan. Penyedia layanan memerlukan informasi identitas pengguna dan penyedia identitas memenuhi kebutuhan tersebut. SCIM adalah mekanisme yang digunakan penyedia identitas dan penyedia layanan untuk mengirim informasi bolak-balik.
Sumber daya pelatihan
| Sumber | Tautan dan Deskripsi |
|---|---|
| Webinar sesuai permintaan | Mengelola Aplikasi Perusahaan Anda dengan ID Microsoft Entra Pelajari bagaimana MICROSOFT Entra ID dapat membantu Anda mencapai SSO ke aplikasi SaaS perusahaan Anda dan praktik terbaik untuk mengontrol akses. |
| Video | Apa yang dimaksud dengan provisi pengguna di Azure Active Directory? Bagaimana cara menerapkan provisi pengguna di Azure Active Directory? Mengintegrasikan Salesforce dengan MICROSOFT Entra ID: Cara mengotomatiskan Provisi Pengguna |
| Kursus online | SkillUp Online: Mengelola Identitas Pelajari cara mengintegrasikan ID Microsoft Entra dengan banyak aplikasi SaaS dan untuk mengamankan akses pengguna ke aplikasi tersebut. |
| Buku | Autentikasi Modern dengan ID Microsoft Entra untuk Aplikasi Web (Referensi Pengembang) Edisi Ke-1. Ini wajib, panduan mendalam untuk membuat solusi autentikasi Active Directory untuk lingkungan baru tersebut. |
| Tutorial | Lihat daftar tutorial tentang cara mengintegrasikan aplikasi SaaS dengan ID Microsoft Entra. |
| FAQ | Tanya jawab umum tentang provisi pengguna otomatis |
Arsitektur solusi
Layanan provisi Microsoft Entra memprovisikan pengguna ke aplikasi SaaS dan sistem lain dengan menyambungkan ke titik akhir API manajemen pengguna yang disediakan oleh setiap vendor aplikasi. Titik akhir API manajemen pengguna ini memungkinkan MICROSOFT Entra ID membuat, memperbarui, dan menghapus pengguna secara terprogram.
Provisi pengguna otomatis untuk perusahaan hibrid
Dalam contoh ini, pengguna dan atau grup dibuat dalam database HR yang terhubung ke direktori lokal. Layanan provisi Microsoft Entra mengelola provisi pengguna otomatis ke aplikasi SaaS target.
Deskripsi alur kerja:
Pengguna/grup dibuat dalam aplikasi/sistem HR lokal, seperti SAP.
Agen Microsoft Entra Koneksi menjalankan sinkronisasi identitas terjadwal (pengguna dan grup) dari AD lokal ke ID Microsoft Entra.
Layanan provisi Microsoft Entra memulai siklus awal terhadap sistem sumber dan sistem target.
Layanan provisi Microsoft Entra mengkueri sistem sumber untuk setiap pengguna dan grup yang berubah sejak siklus awal, dan mendorong perubahan dalam siklus bertambah bertahap.
Provisi pengguna otomatis untuk perusahaan khusus cloud
Dalam contoh ini, pembuatan pengguna terjadi di ID Microsoft Entra dan layanan provisi Microsoft Entra mengelola provisi pengguna otomatis ke aplikasi target (SaaS).
Deskripsi alur kerja:
Pengguna/grup dibuat di ID Microsoft Entra.
Layanan provisi Microsoft Entra memulai siklus awal terhadap sistem sumber dan sistem target.
Layanan provisi Microsoft Entra meminta sistem sumber untuk setiap pengguna dan grup yang diperbarui sejak siklus awal, dan melakukan siklus inkremental apa pun.
Provisi pengguna otomatis untuk aplikasi HR cloud
Dalam contoh ini, pengguna dan atau grup dibuat di aplikasi HR cloud seperti Workday dan SuccessFactors. Layanan provisi Microsoft Entra dan agen provisi Microsoft Entra Koneksi menyediakan data pengguna dari penyewa aplikasi SDM cloud ke ad. Setelah akun diperbarui di AD, akun disinkronkan dengan ID Microsoft Entra melalui Microsoft Entra Koneksi, dan alamat email dan atribut nama pengguna dapat ditulis kembali ke penyewa aplikasi HR cloud.
- Tim HR melakukan transaksi di penyewa aplikasi HR cloud.
- Layanan provisi Microsoft Entra menjalankan siklus terjadwal dari penyewa aplikasi SDM cloud dan mengidentifikasi perubahan yang perlu diproses untuk disinkronkan dengan AD.
- Layanan provisi Microsoft Entra memanggil microsoft Entra Koneksi agen provisi dengan payload permintaan yang berisi operasi buat/perbarui/aktifkan/nonaktifkan akun AD.
- Microsoft Entra Koneksi agen provisi menggunakan akun layanan untuk mengelola data akun AD.
- Microsoft Entra Koneksi menjalankan sinkronisasi delta untuk menarik pembaruan di AD.
- Pembaruan AD disinkronkan dengan ID Microsoft Entra.
- Layanan provisi Microsoft Entra menulis balik atribut email dan nama pengguna dari ID Microsoft Entra ke penyewa aplikasi HR cloud.
Merencanakan proyek penerapan
Pertimbangkan kebutuhan organisasi Anda untuk menentukan strategi penyebaran provisi pengguna di lingkungan Anda.
Melibatkan pemangku kepentingan yang tepat
Jika proyek teknologi gagal, hal ini biasanya karena harapan yang tidak cocok pada dampak, hasil, dan tanggung jawab. Untuk menghindari perangkap ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik dengan mendokumentasikan pemangku kepentingan dan input serta akuntabilitas proyeknya.
Merencanakan komunikasi
Komunikasi sangat penting untuk keberhasilan semua layanan baru. Berkomunikasi secara proaktif kepada pengguna Anda tentang pengalaman mereka, bagaimana pengalaman berubah, kapan harus mengharapkan perubahan apa pun, dan cara mendapatkan dukungan jika mereka mengalami masalah.
Merencanakan uji coba
Sebaiknya konfigurasi awal provisi pengguna otomatis berada di lingkungan pengujian dengan subset kecil pengguna sebelum menskalakannya ke semua pengguna dalam produksi. Lihat praktik terbaik untuk menjalankan pilot.
Praktik terbaik untuk uji coba
Uji coba memungkinkan Anda menguji dengan kelompok kecil sebelum menyebarkan kemampuan untuk semua orang. Pastikan bahwa sebagai bagian dari pengujian, setiap kasus penggunaan dalam organisasi Anda diuji secara menyeluruh.
Pada gelombang pertama, targetkan IT, kegunaan, dan pengguna lain yang sesuai yang dapat menguji dan memberikan umpan balik. Gunakan umpan balik ini untuk lebih mengembangkan komunikasi dan instruksi yang Anda kirimkan kepada pengguna, dan untuk memberikan wawasan tentang jenis masalah yang mungkin dilihat staf dukungan Anda.
Perlebar peluncuran ke grup pengguna yang lebih besar dengan meningkatkan cakupan grup yang ditargetkan. Meningkatkan cakupan grup dilakukan melalui keanggotaan grup dinamis, atau dengan menambahkan pengguna secara manual ke grup yang ditargetkan.
Merencanakan koneksi dan administrasi aplikasi
Gunakan pusat admin Microsoft Entra untuk melihat dan mengelola semua aplikasi yang mendukung provisi. Lihat Menemukan aplikasi Anda di portal.
Menentukan jenis konektor yang akan digunakan
Langkah-langkah aktual yang diperlukan untuk mengaktifkan dan mengonfigurasi provisi otomatis berbeda-beda bergantung pada aplikasi. Jika aplikasi yang ingin Anda provisikan secara otomatis tercantum di galeri aplikasi Microsoft Entra SaaS, maka Anda harus memilih tutorial integrasi khusus aplikasi untuk mengonfigurasi konektor provisi pengguna yang telah ditentukan sebelumnya.
Jika tidak, ikuti langkah-langkahnya:
Buat permintaan untuk konektor provisi pengguna yang telah diintegrasi sebelumnya. Tim kami bekerja sama dengan Anda dan pengembang aplikasi untuk onboarding aplikasi Anda ke platform kami jika mendukung SCIM.
Gunakan dukungan provisi pengguna generik BYOA SCIM untuk aplikasi. Menggunakan SCIM adalah persyaratan untuk ID Microsoft Entra untuk memprovisikan pengguna ke aplikasi tanpa konektor provisi yang telah ditentukan sebelumnya.
Jika aplikasi mampu memanfaatkan konektor BYOA SCIM, lihat tutorial integrasi BYOA SCIM untuk mengonfigurasi konektor BYOA SCIM untuk aplikasi.
Untuk informasi selengkapnya, lihat Aplikasi dan sistem apa yang dapat saya gunakan dengan provisi pengguna otomatis Microsoft Entra?
Mengumpulkan informasi untuk mengotorisasi akses aplikasi
Menyiapkan provisi pengguna otomatis adalah proses per aplikasi. Untuk setiap aplikasi, Anda perlu memberikan info masuk administrator untuk terhubung ke titik akhir pengelolaan pengguna sistem target.
Gambar menunjukkan satu versi kredensial admin yang diperlukan:
Meskipun beberapa aplikasi memerlukan nama pengguna dan kata sandi admin, yang lain mungkin memerlukan token pembawa.
Merencanakan provisi pengguna dan grup
Jika Anda mengaktifkan provisi pengguna untuk aplikasi perusahaan, pusat admin Microsoft Entra mengontrol nilai atributnya melalui pemetaan atribut.
Menentukan operasi untuk setiap aplikasi SaaS
Setiap aplikasi mungkin memiliki atribut pengguna atau grup unik yang harus dipetakan ke atribut di ID Microsoft Entra Anda. Aplikasi mungkin hanya memiliki subset operasi CRUD yang tersedia.
Untuk setiap aplikasi, dokumentasikan informasi berikut:
Operasi provisi CRUD yang akan dilakukan pada pengguna dan atau objek Grup untuk sistem target. Misalnya, setiap pemilik bisnis aplikasi SaaS mungkin tidak menginginkan semua operasi yang dimungkinkan.
Atribut yang tersedia dalam sistem sumber
Atribut yang tersedia dalam sistem target
Pemetaan atribut antar sistem.
Memilih pengguna dan grup mana yang akan diprovisikan
Sebelum menerapkan provisi pengguna otomatis, Anda harus menentukan pengguna dan grup yang akan diprovisikan untuk aplikasi Anda.
Gunakan filter pencakupan untuk menentukan aturan berbasis atribut yang menentukan pengguna yang akan diprovisikan untuk aplikasi.
Selanjutnya, gunakan penetapan pengguna dan grup sesuai kebutuhan untuk pemfilteran lainnya.
Menentukan pemetaan atribut pengguna dan grup
Untuk menerapkan provisi pengguna otomatis, Anda perlu menentukan atribut pengguna dan grup yang diperlukan untuk aplikasi. Ada serangkaian atribut dan pemetaan atribut yang telah dikonfigurasi sebelumnya antara objek pengguna Microsoft Entra, dan setiap objek pengguna aplikasi SaaS. Tidak semua aplikasi SaaS yang mengaktifkan atribut grup.
MICROSOFT Entra ID mendukung pemetaan atribut-ke-atribut langsung, menyediakan nilai konstanta, atau menulis ekspresi untuk pemetaan atribut. Fleksibilitas ini memberi Anda kontrol yang baik atas apa yang diisi dalam atribut sistem yang ditargetkan. Anda dapat menggunakan Microsoft Graph API dan Graph Explorer untuk mengekspor pemetaan atribut provisi pengguna dan skema ke file JSON dan mengimpornya kembali ke ID Microsoft Entra.
Untuk informasi selengkapnya, lihat Menyesuaikan Pemetaan Atribut Provisi Pengguna untuk Aplikasi SaaS di ID Microsoft Entra.
Pertimbangan khusus untuk provisi pengguna
Pertimbangkan hal berikut untuk mengurangi masalah pasca-penyebaran:
Pastikan atribut yang digunakan untuk memetakan objek pengguna/grup antara aplikasi sumber dan target tangguh. Atribut tidak akan menyebabkan pengguna/grup salah diprovisikan jika atribut berubah (misalnya, pengguna dipindahkan ke bagian lain dari perusahaan).
Aplikasi mungkin memiliki batasan dan/atau persyaratan khusus yang harus dipenuhi agar provisi pengguna berfungsi dengan benar. Misalnya, Slack memangkas nilai untuk atribut tertentu. Lihat tutorial provisi pengguna otomatis khusus untuk setiap aplikasi.
Konfirmasi konsistensi skema antara sistem sumber dan target. Masalah umum termasuk atribut seperti UPN atau email tidak cocok. Misalnya, UPN di ID Microsoft Entra diatur sebagai john_smith@contoso.com dan di aplikasi, itu jsmith@contoso.comadalah . Untuk informasi selengkapnya, lihat Referensi skema pengguna dan grup.
Merencanakan pengujian dan keamanan
Pada setiap tahap penyebaran Anda, pastikan bahwa Anda menguji bahwa hasil sesuai harapan, dan mengaudit siklus provisi.
Merencanakan pengujian
Pertama, konfigurasikan provisi pengguna otomatis untuk aplikasi. Kemudian jalankan kasus pengujian untuk memverifikasi solusi memenuhi persyaratan organisasi Anda.
| Skenario | Hasil yang diharapkan |
|---|---|
| Pengguna ditambahkan ke grup yang ditetapkan ke sistem target. | objek pengguna diprovisikan dalam sistem target. Pengguna dapat masuk ke sistem target dan melakukan tindakan yang diinginkan. |
| Pengguna dihapus dari grup yang ditetapkan ke sistem target. | Objek pengguna dicabut aksesnya dalam sistem target. Pengguna tidak dapat masuk ke sistem target. |
| Pembaruan informasi pengguna di ID Microsoft Entra dengan metode apa pun. | Atribut pengguna yang diperbarui mencerminkan sistem target setelah siklus bertahap. |
| Pengguna berada di luar cakupan. | Objek pengguna dinonaktifkan atau dihapus. Catatan: Perilaku ini ditimpa untuk provisi Workday. |
Merencanakan keamanan
Peninjauan keamanan umumnya diperlukan sebagai bagian dari pengembangan. Jika Anda memerlukan tinjauan keamanan, lihat banyak whitepaper ID Microsoft Entra yang memberikan gambaran umum untuk identitas sebagai layanan.
Rencanakan pembatalan
Jika implementasi provisi pengguna otomatis gagal berfungsi seperti yang diinginkan di lingkungan produksi, langkah-langkah putar kembali berikut dapat membantu Anda kembali ke keadaan baik yang diketahui sebelumnya:
Tinjau log provisi untuk menentukan operasi salah yang terjadi pada pengguna dan/atau grup yang terpengaruh.
Gunakan log provisi untuk menentukan status baik terakhir yang diketahui dari pengguna dan/atau grup yang terpengaruh. Tinjau juga sistem sumber (MICROSOFT Entra ID atau AD).
Bekerja sama dengan pemilik aplikasi untuk memperbarui pengguna dan/atau grup yang terpengaruh secara langsung dalam aplikasi menggunakan nilai status baik terakhir yang diketahui.
Menyebarkan layanan provisi pengguna otomatis
Pilih langkah-langkah yang sesuai dengan persyaratan solusi Anda.
Persiapan untuk siklus awal
Ketika layanan provisi Microsoft Entra berjalan untuk pertama kalinya, siklus awal terhadap sistem sumber dan sistem target membuat rekam jepret semua objek pengguna untuk setiap sistem target.
Saat Anda mengaktifkan provisi otomatis untuk aplikasi, siklus awal membutuhkan waktu dari 20 menit hingga beberapa jam. Durasi tergantung pada ukuran direktori Microsoft Entra dan jumlah pengguna dalam cakupan provisi.
Layanan provisi menyimpan status kedua sistem setelah siklus awal, yang meningkatkan performa siklus bertahap berikutnya.
Konfigurasi Penyediaan Pengguna Otomatis
Gunakan pusat admin Microsoft Entra untuk mengelola provisi dan deprovisi akun pengguna otomatis untuk aplikasi yang mendukungnya. Ikuti langkah-langkah dalam Bagaimana cara menyiapkan provisi otomatis ke aplikasi?
Layanan provisi pengguna Microsoft Entra juga dapat dikonfigurasi dan dikelola menggunakan Microsoft Graph API.
Mengelola provisi pengguna otomatis
Setelah penyebaran, Anda perlu mengelola solusi.
Memantau kesehatan operasi provisi pengguna
Setelah siklus awal berhasil, layanan provisi Microsoft Entra akan menjalankan pembaruan bertahap tanpa batas waktu, pada interval khusus untuk setiap aplikasi, sampai salah satu peristiwa berikut terjadi:
Layanan dihentikan secara manual, dan siklus awal baru dipicu menggunakan pusat admin Microsoft Entra, atau menggunakan perintah Microsoft Graph API yang sesuai.
Siklus awal baru memicu perubahan pemetaan atribut atau filter cakupan.
Proses provisi masuk ke karantina karena tingkat kesalahan yang tinggi dan tetap berada di karantina selama lebih dari empat minggu maka secara otomatis dinonaktifkan.
Untuk meninjau peristiwa ini, dan semua aktivitas lain yang dilakukan oleh layanan provisi, lihat log provisi Microsoft Entra.
Untuk memahami durasi siklus provisi yang diperlukan dan memantau kemajuan pekerjaan provisi, Anda dapat memeriksa status provisi pengguna.
Mendapatkan wawasan dari laporan
ID Microsoft Entra dapat memberikan lebih banyak wawasan tentang penggunaan provisi pengguna dan kesehatan operasional organisasi Anda melalui log provisi dan laporan. Untuk mempelajari selengkapnya tentang wawasan pengguna, lihat Memeriksa status provisi pengguna.
Admin harus memeriksa laporan ringkasan provisi guna memantau kesehatan operasional pekerjaan provisi. Semua aktivitas yang dilakukan oleh layanan provisi dicatat dalam log provisi Microsoft Entra. Lihat Tutorial: Pelaporan tentang provisi akun pengguna otomatis.
Sebaiknya Anda mengasumsikan kepemilikan dan menggunakan laporan tentang irama yang memenuhi persyaratan organisasi Anda. MICROSOFT Entra ID menyimpan sebagian besar data audit selama 30 hari.
Pecahkan masalah
Lihat tautan berikut untuk memecahkan masalah apa pun yang mungkin muncul selama provisi:
Masalah saat mengonfigurasi provisi pengguna ke aplikasi Microsoft Entra Gallery
Tidak ada pengguna yang diprovisikan ke aplikasi Microsoft Entra Gallery
Sekumpulan pengguna yang salah sedang diprovisikan ke aplikasi Microsoft Entra Gallery
Dokumentasi yang bermanfaat
Mengabaikan penghapusan akun pengguna yang keluar dari cakupan
Microsoft Entra Koneksi Provisioning Agent: Riwayat rilis versi
Sumber
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk