Abilitare il provisioning utenti automatico per l'applicazione multi-tenant in Microsoft Entra ID

Il provisioning utenti automatico è il processo di automazione della creazione, della manutenzione e della rimozione delle identità utente nei sistemi di destinazione come le applicazioni software-as-a-service.

Perché abilitare il provisioning utenti automatico?

Le applicazioni che richiedono che un record utente sia presente nell'applicazione prima del primo accesso di un utente richiedono il provisioning degli utenti. Sono disponibili vantaggi per l'utente come provider di servizi e vantaggi per i clienti.

Vantaggi offerti dall'utente come provider di servizi

• Aumentare la sicurezza dell'applicazione usando Microsoft Identity Platform.

• Ridurre il lavoro effettivo e percepito dei clienti per adottare l'applicazione.

• Ridurre i costi di integrazione con più provider di identità (IDP) per il provisioning utenti automatico tramite il provisioning basato su System for Cross-Domain Identity Management (SCIM).

• Ridurre i costi di supporto fornendo log avanzati per aiutare i clienti a risolvere i problemi di provisioning degli utenti.

• Aumentare la visibilità dell'applicazione nella raccolta di app Microsoft Entra.

• Ottenere un elenco con priorità nella pagina Esercitazioni per le app.

Vantaggi per i clienti

• Aumentare la sicurezza rimuovendo automaticamente l'accesso all'applicazione per gli utenti che modificano i ruoli o lasciano l'organizzazione all'applicazione.

• Semplificare la gestione degli utenti per l'applicazione evitando errori umani e operazioni ripetitive associate al provisioning manuale.

• Ridurre i costi di hosting e gestione di soluzioni di provisioning personalizzate.

Scegliere un metodo di provisioning

Microsoft Entra ID fornisce diversi percorsi di integrazione per abilitare il provisioning utenti automatico per l'applicazione.

• Il servizio di provisioning Microsoft Entra gestisce il provisioning e il deprovisioning degli utenti dall'ID Microsoft Entra all'applicazione (provisioning in uscita) e dall'applicazione all'ID Microsoft Entra (provisioning in ingresso). Il servizio si connette agli endpoint api di gestione degli utenti SCIM (System for Cross-Domain Identity Management) forniti dall'applicazione.

• Quando si usa Microsoft Graph, l'applicazione gestisce il provisioning in ingresso e in uscita di utenti e gruppi dall'ID Microsoft Entra all'applicazione eseguendo una query sull'API Microsoft Graph.

• Il provisioning utenti JIT (Security Assertion Markup Language) può essere abilitato se l'applicazione usa SAML per la federazione. Usa le informazioni sulle attestazioni inviate nel token SAML per effettuare il provisioning degli utenti.

Per determinare l'opzione di integrazione da usare per l'applicazione, fare riferimento alla tabella di confronto di alto livello e quindi visualizzare le informazioni più dettagliate su ogni opzione.

Funzionalità abilitate o migliorate dal provisioning automatico	Servizio di provisioning Microsoft Entra (SCIM 2.0)	API Microsoft Graph (OData v4.0)	SAML JIT
Gestione utenti e gruppi in Microsoft Entra ID	√	√	Solo utente
Gestire utenti e gruppi sincronizzati da Active Directory locale	√*	√*	Solo utente*
Accedere ai dati oltre utenti e gruppi durante il provisioning Accesso ai dati di Microsoft 365 (Teams, SharePoint, Posta elettronica, Calendario, Documenti e così via)	+X	√	X
Creare, leggere e aggiornare gli utenti in base alle regole business	√	√	√
Eliminare gli utenti in base alle regole business	√	√	X
Gestire il provisioning utenti automatico per tutte le applicazioni dall'interfaccia di amministrazione di Microsoft Entra	√	X	√
Supportare più provider di identità	√	X	√
Supportare gli account guest (B2B)	√	√	√
Supporto di account non aziendali (B2C)	X	√	√

^*: è necessaria la configurazione di Microsoft Entra Connessione per sincronizzare gli utenti da AD a Microsoft Entra ID.
⁺: l'uso di SCIM per il provisioning non impedisce l'integrazione dell'applicazione con Microsoft Graph per altri scopi.

Servizio di provisioning Microsoft Entra (SCIM)

Il servizio di provisioning Microsoft Entra usa SCIM, uno standard di settore per il provisioning supportato da molti provider di identità (IDP) e applicazioni (ad esempio Slack, G Suite, Dropbox). È consigliabile usare il servizio di provisioning Microsoft Entra se si desidera supportare gli IDP oltre all'ID Microsoft Entra, in quanto qualsiasi IDP conforme a SCIM può connettersi all'endpoint SCIM. La creazione di un semplice endpoint /User consente di abilitare il provisioning senza dover gestire il proprio motore di sincronizzazione.

Per altre informazioni su come gli utenti del servizio di provisioning di Microsoft Entra SCIM, vedere:

• Altre informazioni sullo standard SCIM

• Uso di System for Cross-Domain Identity Management (SCIM) per effettuare automaticamente il provisioning di utenti e gruppi da Microsoft Entra ID alle applicazioni

• Informazioni sull'implementazione di Microsoft Entra SCIM

Microsoft Graph per il provisioning

Quando si usa Microsoft Graph per il provisioning, è possibile accedere a tutti i dati utente avanzati disponibili in Graph. Oltre ai dettagli di utenti e gruppi, è anche possibile recuperare informazioni aggiuntive come i ruoli dell'utente, il manager e i report diretti, i dispositivi di proprietà e registrati e centinaia di altre parti di dati disponibili in Microsoft Graph.

Oltre 15 milioni di organizzazioni e il 90% delle aziende di fortune 500 usa Microsoft Entra ID durante la sottoscrizione a servizi cloud Microsoft come Microsoft 365, Microsoft Azure o Enterprise Mobility Suite. È possibile usare Microsoft Graph per integrare l'app con flussi di lavoro amministrativi, ad esempio l'onboarding dei dipendenti (e la terminazione), la manutenzione del profilo e altro ancora.

Altre informazioni sull'uso di Microsoft Graph per il provisioning:

• Home page di Microsoft Graph

• Overview of Microsoft Graph (Panoramica di Microsoft Graph)

• Panoramica dell'autenticazione di Microsoft Graph

• Introduzione a Microsoft Graph

Uso di SAML JIT per il provisioning

Se si vuole effettuare il provisioning degli utenti solo al primo accesso all'applicazione e non è necessario effettuare automaticamente il deprovisioning degli utenti, SAML JIT è un'opzione. L'applicazione deve supportare SAML 2.0 come protocollo federativo per usare SAML JIT.

SAML JIT usa le informazioni sulle attestazioni nel token SAML per creare e aggiornare le informazioni utente nell'applicazione. I clienti possono configurare queste attestazioni necessarie nell'applicazione Microsoft Entra in base alle esigenze. A volte il provisioning JIT deve essere abilitato dal lato applicazione in modo che il cliente possa usare questa funzionalità. SAML JIT è utile per la creazione e l'aggiornamento degli utenti, ma non può eliminare o disattivare gli utenti nell'applicazione.

Passaggi successivi

• Abilitare Single Sign-On per l'applicazione

• Inviare l'inserzione dell'applicazione e collaborare con Microsoft per creare la documentazione nel sito Microsoft.

• Partecipa a Microsoft Partner Network (gratuito) e crea il tuo piano di commercializzazione.