Concetti relativi al provisioning in ingresso basato sulle API
Questo documento offre una panoramica concettuale del provisioning utenti in ingresso basato sull'API Microsoft Entra.
Introduzione
Oggi le aziende hanno diversi sistemi autorevoli di record. Per stabilire un ciclo di vita delle identità end-to-end, rafforzare il comportamento di sicurezza e mantenere la conformità alle normative, i dati di identità in Microsoft Entra ID devono essere mantenuti sincronizzati con i dati della forza lavoro gestiti in questi sistemi di record. Il sistema di record può essere un'app HR, un'app per le retribuzioni, un foglio di calcolo o tabelle SQL in un database ospitato in locale o nel cloud.
Con il provisioning in ingresso basato sulle API, il servizio di provisioning Microsoft Entra supporta ora l'integrazione con qualsiasi sistema di record. I clienti e i partner possono usare qualsiasi strumento di automazione di propria scelta per recuperare i dati della forza lavoro dal sistema di registrazione e inserirli in Microsoft Entra ID. L'amministratore IT ha il controllo completo sulla modalità di elaborazione e trasformazione dei dati con mapping degli attributi. Quando i dati della forza lavoro sono disponibili in Microsoft Entra ID, l'amministratore IT può configurare i processi aziendali joiner-mover-leaver appropriati usando i flussi di lavoro del ciclo di vita.
Scenari supportati
Diversi scenari di provisioning utenti in ingresso sono abilitati usando il provisioning in ingresso basato sulle API. Questo diagramma illustra gli scenari più comuni.
Scenario 1: Consentire ai team IT di importare estratti di dati HR usando qualsiasi strumento di automazione
I file flat, i file CSV e le tabelle di staging SQL vengono comunemente usati negli scenari di integrazione aziendale. Le informazioni sui dipendenti, i terzisti e i fornitori vengono periodicamente esportati in uno di questi formati e uno strumento di automazione viene usato per sincronizzare questi dati con le directory di identità aziendali. Con il provisioning in ingresso basato sulle API, i team IT possono usare qualsiasi strumento di automazione preferito (ad esempio, script di PowerShell o App per la logica di Azure) per modernizzare e semplificare questa integrazione.
Scenario 2: Abilitare gli ISV per creare l'integrazione diretta con Microsoft Entra ID
Con il provisioning in ingresso basato sulle API, gli ISV HR possono offrire esperienze di sincronizzazione native in modo che le modifiche nel sistema HR vengano automaticamente propagate all'ID Microsoft Entra e ai domini di Active Directory locale connessi. Ad esempio, un'app HR o un'app per i sistemi informativi degli studenti può inviare dati all'ID Microsoft Entra non appena una transazione viene completata o come aggiornamento bulk di fine giorno.
Scenario 3: Consentire agli integratori di sistemi di creare più connettori ai sistemi di record
I partner possono creare connettori HR personalizzati per soddisfare requisiti di integrazione diversi per il flusso di dati dai sistemi di record a Microsoft Entra ID.
In tutti gli scenari precedenti, l'integrazione viene semplificata perché il servizio di provisioning di Microsoft Entra assume la responsabilità di eseguire il confronto del profilo di identità, limitando la sincronizzazione dei dati alla logica di ambito configurata dall'amministratore IT ed eseguendo il flusso e la trasformazione degli attributi basati su regole gestiti nell'interfaccia di amministrazione di Microsoft Entra.
Flusso end-to-end
Passaggi del flusso di lavoro
- L'amministratore IT configura un'app di provisioning utenti in ingresso guidata dalle API dalla raccolta di app Microsoft Entra Enterprise.
- L'amministratore IT concede le autorizzazioni di accesso e fornisce i dettagli di accesso agli endpoint per sviluppatori/partner/integratori di sistemi.
- L'integratore di api sviluppatore/partner/sistema compila un client API per inviare dati di identità autorevoli a Microsoft Entra ID.
- Il client API legge i dati di identità dall'origine autorevole.
- Il client API invia una richiesta POST all'endpoint dell'API /bulkUpload associato all'app di provisioning.
Nota
Il client API non deve eseguire confronti tra gli attributi di origine e i valori degli attributi di destinazione per determinare quale operazione (creare/aggiornare/abilitare/disabilitare) da richiamare. Questa operazione viene gestita automaticamente dal servizio di provisioning. Il client API carica semplicemente i dati di identità letti dal sistema di origine creando un pacchetto come richiesta in blocco usando costrutti di schema SCIM.
- In caso di esito positivo, viene restituito un oggetto
Accepted 202 Status. - Il servizio di provisioning Microsoft Entra elabora i dati ricevuti, applica le regole di mapping degli attributi e completa il provisioning utenti.
- A seconda dell'app di provisioning configurata, viene effettuato il provisioning dell'utente in Active Directory locale (per gli utenti ibridi) o microsoft Entra ID (per gli utenti solo cloud).
- Il client API esegue quindi una query sull'endpoint API dei log di provisioning per verificare lo stato di ogni record inviato.
- Se l'elaborazione di un record ha esito negativo, il client API può controllare i dettagli dell'errore e includere i record corrispondenti alle operazioni non riuscite nella richiesta bulk successiva (passaggio 5).
- In qualsiasi momento, l'amministratore IT può controllare lo stato del processo di provisioning e visualizzare gli eventi nei log di provisioning.
Funzionalità principali del provisioning utenti in ingresso basato sulle API
- Disponibile come app di provisioning che espone un endpoint api /bulkUpload asincrono di provisioning di Microsoft Graph a cui si accede usando un token OAuth valido.
- Gli amministratori tenant devono concedere ai client API che interagiscono con questa app di provisioning l'autorizzazione
SynchronizationData-User.UploadGraph. - L'endpoint dell'API Graph accetta payload di richieste bulk valide usando costrutti di schema SCIM.
- Con le estensioni dello schema SCIM, è possibile inviare qualsiasi attributo nel payload della richiesta in blocco.
- Il limite di velocità per l'API di provisioning in ingresso è di 40 richieste di caricamento bulk al secondo. Ogni richiesta in blocco può contenere un massimo di 50 record utente, supportando così una velocità di caricamento di 2000 record al secondo.
- Ogni endpoint API è associato a un'app di provisioning specifica in Microsoft Entra ID. È possibile integrare più origini dati creando un'app di provisioning per ogni origine dati.
- I payload delle richieste bulk in ingresso vengono elaborati quasi in tempo reale.
- Gli amministratori possono controllare lo stato di avanzamento del provisioning visualizzando i log di provisioning.
- I client API possono tenere traccia dello stato di avanzamento eseguendo query nell'API dei log di provisioning.
Requisiti di licenza
Questa funzionalità è disponibile con le licenze microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Per trovare la licenza appropriata per i requisiti, vedere Nozioni fondamentali sulla governance degli ID di Microsoft Entra ID.
Indicazioni sull'utilizzo delle API
L'endpoint /bulkUpload API espande il numero di modi in cui è possibile gestire gli utenti in Microsoft Entra ID. Per determinare se l'endpoint /bulkUpload API è adatto allo scenario di integrazione, fare riferimento a questa tabella che la confronta con altre opzioni di integrazione basate su API.
| Scenario caso d'uso per il mapping delle API | API di creazione utente | API in ingresso hr | API di invito dell'utente | API di assegnazione diretta |
|---|---|---|---|---|
| Quando lo scenario di creazione dell'identità è... | Creazione di utenti ad hoc in Microsoft Entra ID per un utente non associato ad alcun ruolo di lavoro in un'origine HR | Origine dei record dei dipendenti da un'origine HR autorevole e si vuole che i dipendenti abbiano account "membri" in Microsoft Entra ID o Active Directory locale | Creazione di utenti guest ad hoc in Microsoft Entra ID, a scopo di condivisione, in cui l'utente guest dispone di diritti di accesso univoci | Assegnazione di accesso per gli utenti esistenti e (anteprima) creazione guest in Microsoft Entra ID, per concedere al nuovo guest l'accesso standardizzato |
| ... usare l'API... | Creare un utente | Eseguire bulkUpload. | Creare un invito | Creare accessPackageAssignmentRequest |
| L'utente risultante viene prima creato in... | Microsoft Entra ID | Active Directory locale o Microsoft Entra ID | Microsoft Entra ID | Microsoft Entra ID |
| L'utente risultante esegue l'autenticazione in... | MICROSOFT Entra ID, con la password specificata | Active Directory locale di Microsoft Entra ID, con un pass di accesso temporaneo fornito dai flussi di lavoro entra lifecycle | Tenant principale o altro provider di identità | Tenant principale o altro provider di identità |
| Gli aggiornamenti successivi all'utente possono essere eseguiti tramite | API Graph o interfaccia di amministrazione di Microsoft Entra | API Graph o API in ingresso HR o interfaccia di amministrazione di Microsoft Entra | API Graph o interfaccia di amministrazione di Microsoft Entra | API Graph o interfaccia di amministrazione di Microsoft Entra |
| Il ciclo di vita dell'utente all'inizio dell'impiego è determinato da... | Processi manuali | Entra onboarding Flussi di lavoro del ciclo di vita che si attivano in base all'attributo employeeHireDate |
Gestione dei diritti | Assegnazione automatica tramite pacchetti di accesso di gestione entitlement |
| Il ciclo di vita dell'utente quando il loro impiego viene terminato è determinato da... | Processi manuali | Flussi di lavoro del ciclo di vita di offboarding attivati in base all'attributo employeeLeaveDateTime |
Verifiche di accesso | Gestione entitlement quando l'utente perde l'ultima assegnazione del pacchetto di accesso, viene rimossa |
Percorso di apprendimento consigliato
| # | Obiettivi di apprendimento | Indicazioni |
|---|---|---|
| 1. | Si vogliono ottenere altre informazioni sulle specifiche api di provisioning in ingresso. | Fare riferimento al documento della specifica dell'API /bulkUpload . |
| 2. | Si vuole acquisire familiarità con i concetti, gli scenari e le limitazioni del provisioning basati sulle API. | Fare riferimento alle domande frequenti sul provisioning in ingresso basato su API. |
| 3. | In qualità di utente amministratore, si vuole testare rapidamente l'API di provisioning in ingresso. | * Creare un'app di provisioning in ingresso guidata dall'API * Testare l'API con Graph Explorer |
| 4. | Con un account del servizio o un'identità gestita, si vuole testare rapidamente l'API di provisioning in ingresso. | * Creare un'app di provisioning in ingresso guidata dall'API * Concedere autorizzazioni API * Testare l'API con cURL o Postman |
| 5. | Si vuole estendere l'app di provisioning basata sulle API per elaborare attributi più personalizzati. | Vedere l'esercitazione Estendere il provisioning basato su API per sincronizzare gli attributi personalizzati |
| 6. | Si vuole automatizzare il caricamento dei dati dal sistema di record all'endpoint dell'API di provisioning in ingresso. | Fare riferimento alle esercitazioni * Guida introduttiva a PowerShell * Avvio rapido con App per la logica di Azure |
| 7. | Si vuole risolvere i problemi relativi all'API di provisioning in ingresso | Fare riferimento alla guida alla risoluzione dei problemi. |
Risorse di apprendimento esterne
Il contenuto seguente, creato dai partner e dai MVP Microsoft, offre indicazioni aggiuntive su come distribuire e configurare il provisioning basato sulle API per diversi scenari di integrazione.
Esercitazioni in video
- John Savill spiega il funzionamento del provisioning basato sulle API
- Microsoft MVP Nick Ross spiega come configurare il provisioning basato sulle API
- Microsoft MVP Nick Ross spiega come eseguire l'origine dei dati delle risorse umane da un file di Excel in SharePoint usando Power Automate e il provisioning basato sulle API
- Serie in 4 parti di IdentityXP del partner Microsoft sul provisioning basato su API
Post di blog, presentazioni e altri collegamenti utili
- Articolo di Microsoft MVP Pim Jacob che spiega come eseguire il provisioning basato sulle API Di Bamboo HR per Active Directory locale
- Presentazione di Microsoft MVP Pim Jacob su come configurare il processo joiner e leaver usando i flussi di lavoro del ciclo di vita e del provisioning basati sulle API
- Articolo di Microsoft MVP Marius Solbakken che illustra come eseguire l'origine dei dati di Excel usando script di PowerShell e provisioning basato sulle API
- Articolo di Suryendu Bhattacharyya su come richiamare il provisioning di guida api usando GitHub Action personalizzato
- Modello Bicep di Microsoft MVP Jan Vidar Elven per il provisioning basato sulle API
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per