Che cos'è il provisioning delle app in Azure Active Directory?

In Azure Active Directory (Azure AD), il termine provisioning delle app fa riferimento alla creazione automatica di identità utente e ruoli per le applicazioni.

Diagram that shows provisioning scenarios.

Azure AD provisioning delle applicazioni fa riferimento alla creazione automatica di identità utente e ruoli nelle applicazioni a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Gli scenari comuni includono il provisioning di un utente Azure AD in applicazioni SaaS come Dropbox, Salesforce, ServiceNow e altro ancora.

Azure AD supporta anche il provisioning degli utenti nelle applicazioni ospitate in locale o in una macchina virtuale, senza dover aprire alcun firewall. Se l'applicazione supporta SCIM o è stato creato un gateway SCIM per connettersi all'applicazione legacy, è possibile usare l'agente di provisioning Azure AD per connettersi direttamente all'applicazione e automatizzare il provisioning e il deprovisioning. Se si dispone di applicazioni legacy che non supportano SCIM e si basano su un archivio utenti LDAP o un database SQL, Azure AD può supportare anche tali applicazioni.

Il provisioning delle app consente di:

  • Automatizzare il provisioning: creare automaticamente nuovi account nei sistemi appropriati per i membri che si uniscono al team o all'organizzazione.
  • Automatizzare il deprovisioning: disattivare automaticamente gli account nei sistemi corretti quando le persone lasciano il team o l'organizzazione.
  • Sincronizzare i dati tra i sistemi: assicurarsi che le identità nelle app e nei sistemi vengano mantenute aggiornate in base alle modifiche apportate alla directory o al sistema delle risorse umane.
  • Effettuare il provisioning dei gruppi: effettuare il provisioning di gruppi in applicazioni che li supportano.
  • Regola l'accesso: monitorare e controllare chi è stato effettuato il provisioning nelle applicazioni.
  • Eseguire facilmente la distribuzione in scenari brownfield: abbinare le identità esistenti tra i diversi sistemi per facilitare l'integrazione, anche quando gli utenti sono già presenti nel sistema di destinazione.
  • Usare la personalizzazione avanzata: sfruttare i mapping personalizzabili degli attributi che definiscono quali dati degli utenti devono essere trasferiti dal sistema di origine a quello di destinazione.
  • Ricevere avvisi per gli eventi critici: il servizio di provisioning fornisce avvisi per gli eventi critici e supporta l'integrazione di Log Analytics, in cui è possibile definire avvisi personalizzati per soddisfare le esigenze aziendali.

Che cos'è SCIM?

Per automatizzare il provisioning e il deprovisioning, le app espongono API proprietarie per utenti e gruppi. Tuttavia, chiunque abbia tentato di gestire gli utenti in più di un'app ti dirà che ogni app tenta di eseguire le stesse azioni, ad esempio la creazione o l'aggiornamento degli utenti, l'aggiunta di utenti ai gruppi o il deprovisioning degli utenti. Tuttavia, tutte queste azioni vengono implementate leggermente diversamente usando percorsi endpoint diversi, metodi diversi per specificare le informazioni utente e uno schema diverso per rappresentare ogni elemento di informazioni.

Per risolvere questi problemi, la specifica SCIM (System for Cross-domain Identity Management) fornisce uno schema utente comune che facilita il provisioning e il deprovisioning degli utenti nelle app. SCIM sta diventando lo standard de facto per il provisioning e, quando viene usato con standard di federazione come Security Asserzioni Markup Language (SAML) o OpenID Connessione (OIDC), offre agli amministratori una soluzione basata su standard end-to-end per la gestione degli accessi.

Per istruzioni dettagliate sullo sviluppo di un endpoint SCIM per automatizzare il provisioning e il deprovisioning di utenti e gruppi in un'applicazione, vedere Creare un endpoint SCIM e configurare il provisioning utenti. Per le applicazioni pre-integrate nella raccolta, ad esempio Slack, Azure Databricks e Snowflake, è possibile ignorare la documentazione per gli sviluppatori e usare le esercitazioni fornite in Esercitazioni per l'integrazione di applicazioni SaaS con Azure Active Directory.

Provisioning manuale o automatico

Le applicazioni nella raccolta di Azure AD supportano una delle due modalità di provisioning seguenti:

  • Il provisioning manuale indica che non è ancora disponibile Azure AD connettore di provisioning automatico per l'app. Gli account utente devono essere creati manualmente. Gli esempi sono l'aggiunta di utenti direttamente nel portale amministrativo dell'app o il caricamento di un foglio di calcolo con i dettagli dell'account utente. Per determinare i meccanismi disponibili, consultare la documentazione o contattare lo sviluppatore dell'app.
  • Automatico significa che è stato sviluppato un connettore di provisioning Azure AD per l'applicazione. Seguire l'esercitazione di configurazione specifica per configurare il provisioning per l'applicazione. Le esercitazioni sulle app sono disponibili in Esercitazioni per l'integrazione di applicazioni SaaS con Azure Active Directory.

La modalità di provisioning supportata da un'applicazione è visibile anche nella scheda Provisioning dopo aver aggiunto l'applicazione alle app aziendali.

Vantaggi del provisioning automatico

Dal momento che il numero di applicazioni usate nelle organizzazioni moderne continua a crescere, gli amministratori IT si trovano a dover gestire gli accessi su larga scala. Gli standard come SAML o OIDC consentono agli amministratori di configurare rapidamente l'accesso Single Sign-On (SSO), ma l'accesso richiede anche il provisioning degli utenti nell'app. Per molti amministratori, il provisioning significa creare manualmente ogni account utente o caricare file CSV ogni settimana. Questi processi richiedono tempo, costoso e soggetto a errori. Sono state adottate soluzioni come SAML just-in-time (JIT) per automatizzare il provisioning. Le aziende necessitano anche di una soluzione per deprovisionare gli utenti quando lasciano l'organizzazione o non richiedono più l'accesso a determinate app in base al cambiamento del ruolo.

Alcune motivazioni comuni per l'uso del provisioning automatico sono:

  • Ottimizzare l'efficienza e l'accuratezza dei processi di provisioning.
  • Risparmiare sui costi associati all'hosting e alla gestione di soluzioni e script di provisioning sviluppati in modo personalizzato.
  • Proteggere l'organizzazione rimuovendo immediatamente dalle app SaaS principali le identità degli utenti che lasciano l'organizzazione.
  • Importare facilmente un numero elevato di utenti in un'applicazione o un sistema SaaS specifico.
  • Usare un unico set di criteri per determinare gli utenti di cui è stato effettuato il provisioning e che possono accedere a un'app.

Il provisioning utenti di Azure AD può aiutare a realizzare questi obiettivi. Per altre informazioni su come i clienti usano Azure AD provisioning utenti, leggere il case study asOS. Il video seguente offre una panoramica del provisioning utenti in Azure AD.

Quali applicazioni e sistemi è possibile usare con il provisioning utenti automatico di Azure AD?

Azure AD offre il supporto preintegrato per numerosi sistemi di risorse umane e app SaaS comuni, oltre al supporto generico per le app che implementano parti specifiche dello standard SCIM 2.0.

  • Applicazioni pre-integrate (app SaaS della raccolta): è possibile trovare tutte le applicazioni per le quali Azure AD supporta un connettore di provisioning pre-integrato in Esercitazioni per l'integrazione di applicazioni SaaS con Azure Active Directory. Le applicazioni preintegrate elencate nella raccolta usano in genere le API di gestione utenti basate su SCIM 2.0 per il provisioning.

    Image that shows logos for DropBox, Salesforce, and others.

    Se si vuole richiedere una nuova applicazione per il provisioning, è possibile inviare una richiesta di integrazione dell'applicazione nella raccolta di app. Affinché la richiesta di provisioning venga accettata, l'applicazione deve avere un endpoint conforme a SCIM. Richiedere al fornitore dell'applicazione di seguire lo standard SCIM in modo da poter eseguire rapidamente l'onboarding dell'app nella piattaforma.

  • Applicazioni che supportano SCIM 2.0: per informazioni su come connettere genericamente le applicazioni che implementano API di gestione utenti basate su SCIM 2.0, vedere Creare un endpoint SCIM e configurare il provisioning utenti.

Come è possibile configurare il provisioning automatico in un'applicazione?

Per le applicazioni preintegrate elencate nella raccolta sono disponibili istruzioni dettagliate per la configurazione del provisioning automatico. Vedere Esercitazioni per l'integrazione di applicazioni SaaS con Azure Active Directory. Il video seguente illustra come configurare il provisioning utenti automatico per SalesForce.

Per altre applicazioni che supportano SCIM 2.0, seguire la procedura descritta in Compilare un endpoint SCIM e configurare il provisioning utenti.

Passaggi successivi