Pianificare una distribuzione automatica del provisioning utenti in Microsoft Entra ID
Molte organizzazioni si basano su applicazioni software come un servizio (SaaS), come ServiceNow, Zscaler, e Slack per la produttività degli utenti finali. Storicamente, il personale IT si è basato su metodi di provisioning manuali, ad esempio il caricamento di file CSV o l'uso di script personalizzati per gestire in modo sicuro le identità utente in ogni applicazione SaaS. Questi processi sono soggetti a errori, non sono sicuri e sono difficili da gestire.
Il provisioning utenti automatico di Microsoft Entra semplifica tale processo automatizzando in modo sicuro la creazione, la manutenzione e la rimozione delle identità utente nelle applicazioni SaaS in base alle regole di business. Questa automazione consente di ridimensionare in modo efficace i sistemi di gestione delle identità in ambienti cloud e ibridi man mano che si espande la dipendenza dalle soluzioni basate sul cloud.
Vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID per comprenderne meglio la funzionalità.
Oltre al provisioning in applicazioni SaaS, il provisioning utenti automatico di Microsoft Entra supporta anche il provisioning in molte applicazioni cloud locali e private. Per altre informazioni, vedere Architettura di provisioning delle identità dell'applicazione locale di Microsoft Entra.
Apprendere
Il provisioning utenti crea le basi per la governance delle identità continuativa e migliora la qualità dei processi aziendali che si basano sui dati delle identità autorevoli.
Vantaggi chiave
I principali vantaggi dell'abilitazione del provisioning utenti automatico sono i seguenti:
Aumento della produttività. È possibile gestire le identità utente tra applicazioni SaaS con un'unica interfaccia di gestione del provisioning utenti. Questa interfaccia include un singolo set di criteri di provisioning.
Gestire il rischio. È possibile aumentare la sicurezza automatizzando le modifiche in base allo stato dei dipendenti o alle appartenenze ai gruppi che definiscono i ruoli e/o gli accessi.
Gestire la conformità e la governance. Microsoft Entra ID supporta i log di provisioning nativi per ogni richiesta di provisioning utenti. Le richieste vengono eseguite sia nei sistemi di origine che in quelli di destinazione. I log di provisioning consentono di tenere traccia di chi può accedere alle applicazioni in un'unica schermata.
Riduzione dei costi. Il provisioning utenti automatico riduce i costi evitando le inefficienze e gli errori umani associati ai processi di provisioning manuali. Riduce la necessità di soluzioni di provisioning, script e log di provisioning utente sviluppati in modo personalizzato.
Licenze
Microsoft Entra ID offre integrazione self-service di qualsiasi applicazione mediante i modelli forniti nel menu della raccolta di applicazioni. Per un elenco completo dei requisiti di licenza, vedere pagina dei prezzi di Microsoft Entra.
Gestione delle licenze per le applicazioni
Sono necessarie le licenze appropriate per le applicazioni di cui si vuole effettuare automaticamente il provisioning. Discutere con i proprietari dell'applicazione se gli utenti assegnati all'applicazione hanno le licenze appropriate per i ruoli dell'applicazione. Se Microsoft Entra ID gestisce il provisioning automatico in base ai ruoli, i ruoli assegnati in Microsoft Entra ID devono essere allineati alle licenze dell'applicazione. Le licenze non corrette possedute nell'applicazione possono causare errori durante il provisioning/aggiornamento di un utente.
Terms
Questo articolo usa i seguenti termini:
Operazioni CRUD: azioni eseguite sugli account utente (creazione, lettura, aggiornamento, eliminazione).
Single Sign-On (SSO): la possibilità per un utente di effettuare l'accesso una sola volta e di accedere a tutte le applicazioni abilitate al SSO. Nel contesto del provisioning utenti, l'accesso SSO è il risultato di un singolo account per accedere a tutti i sistemi che utilizzano il provisioning utenti automatico.
Sistema di origine: repository di utenti da cui Microsoft Entra ID effettua il provisioning. Microsoft Entra ID è il sistema di origine per la maggior parte dei connettori di provisioning preintegrati. Esistono tuttavia alcune eccezioni per le applicazioni cloud, ad esempio SAP, Workday e AWS. Per esempio, vedere Provisioning utenti da Workday ad AD.
Sistema di destinazione: repository di utenti a cui Microsoft Entra ID effettua il provisioning. Il sistema di destinazione è in genere un'applicazione SaaS, ad esempio ServiceNow, Zscaler e Slack. Il sistema di destinazione può essere anche un sistema locale, ad esempio AD.
SCIM (System for Cross-domain Identity Management): standard aperto che consente di automatizzare il provisioning degli utenti. SCIM comunica i dati di identità utente tra provider di identità e provider di servizi. Microsoft è un esempio di provider di identità. Salesforce è un esempio di provider di servizi. I provider di servizi richiedono informazioni sull'identità utente e un provider di identità soddisfa tale esigenza. SCIM è il meccanismo usato dal provider di identità e dal provider di servizi per inviare e ricevere informazioni.
Risorse di formazione
Risorse | Collegamento e descrizione |
---|---|
Webinar on demand | Gestire le applicazioni aziendali con Microsoft Entra ID Informazioni su come Microsoft Entra ID consente di ottenere l'accesso SSO alle applicazioni SaaS aziendali e alle procedure consigliate per controllare l'accesso. |
Video | Cos'è il provisioning utenti in Azure Active Directory? Come implementare il provisioning utenti in Azure Active Directory? Integrazione di Salesforce con Microsoft Entra ID: come automatizzare il provisioning utenti |
Corsi online | SkillUp Online: Gestione delle identità Informazioni su come integrare Microsoft Entra ID con molte applicazioni SaaS e proteggere l'accesso utente a tali applicazioni. |
Libri | Autenticazione moderna con Microsoft Entra ID per applicazioni Web (Developer Reference) prima edizione. Si tratta di una guida approfondita e autorevole alla creazione di soluzioni di autenticazione di Active Directory per questi nuovi ambienti. |
Esercitazioni | Vedi l’elenco di esercitazioni su come integrare app SaaS con Microsoft Entra ID. |
Domande frequenti | Domande frequenti sul provisioning utenti automatizzato |
Architetture delle soluzioni
Il servizio di provisioning di Microsoft Entra effettua il provisioning degli utenti nelle app SaaS e in altri sistemi connettendosi agli endpoint dell'API di gestione utenti specificati dai fornitori di ogni applicazione. Gli endpoint dell'API di gestione utenti consentono a Microsoft Entra ID di creare, aggiornare e rimuovere utenti a livello di codice.
Provisioning utenti automatico per le aziende ibride
In questo esempio gli utenti e i gruppi vengono creati in un database HR connesso a una directory locale. Il servizio di provisioning Microsoft Entra gestisce il provisioning utenti automatico nelle applicazioni SaaS di destinazione.
Descrizione del flusso di lavoro:
Gli utenti o i gruppi vengono creati in un'applicazione/sistema HR locale, ad esempio SAP.
Agente Microsoft Entra Connect esegue sincronizzazioni pianificate di identità (utenti e gruppi) da AD locale a Microsoft Entra ID.
Il servizio di provisioning di Microsoft Entraavvia un ciclo iniziale rispetto al sistema di origine e a quello di destinazione.
Il servizio di provisioning di Microsoft Entra esegue una query sul sistema di origine per tutti gli utenti e i gruppi modificati dopo il ciclo iniziale ed esegue il push delle modifiche nei cicli incrementali.
Provisioning utenti automatico per le aziende cloud
In questo esempio, la creazione dell'utente avviene in Microsoft Entra ID e il servizio di provisioning Microsoft Entra gestisce il provisioning utenti automatico nelle applicazioni SaaS di destinazione.
Descrizione del flusso di lavoro:
Gli utenti o i gruppi vengono creati in Microsoft Entra ID.
Il servizio di provisioning di Microsoft Entraavvia un ciclo iniziale rispetto al sistema di origine e a quello di destinazione.
Il servizio di provisioning di Microsoft Entra esegue una query sul sistema di origine per tutti gli utenti e i gruppi aggiornati dopo il ciclo iniziale ed esegue eventuali cicli incrementali.
Provisioning utenti automatico per le applicazioni HR cloud
In questo esempio, gli utenti e i gruppi vengono creati in un'applicazione HR cloud, ad esempio Workday e SuccessFactors. Il servizio di provisioning Microsoft Entra e l'agente di provisioning Microsoft Entra Connect effettuano il provisioning dei dati utente dal tenant dell'app HR cloud in AD. Dopo aver aggiornato gli account in AD, questo viene sincronizzato con Microsoft Entra ID tramite Microsoft Entra Connect e gli indirizzi di posta elettronica e gli attributi del nome utente possono essere riscritti nel tenant dell'app HR cloud.
- Il team HR esegue le transazioni nel tenant dell'app HR cloud.
- Il servizio di provisioning Microsoft Entra esegue i cicli pianificati dal tenant dell'app HR cloud e identifica le modifiche che necessitano di essere elaborate per la sincronizzazione con AD.
- Il servizio di provisioning di Microsoft Entra richiama l'agente di provisioning locale di Microsoft Entra con un payload di richiesta contenente operazioni di creazione/aggiornamento/abilitazione o disabilitazione dell'account AD.
- L’agente di provisioning di Microsoft Entra Connect usa un account del servizio per gestire i dati dell'account AD.
- Microsoft Entra Connect esegue la sincronizzazione delta per eseguire il pull degli aggiornamenti in AD.
- Gli aggiornamenti di AD vengono sincronizzati con Microsoft Entra ID.
- Il servizio di provisioning Microsoft Entra esegue il writeback dell'attributo di e-mail e del nome utente da Microsoft Entra ID al tenant dell'app HR cloud.
Pianificare il progetto di distribuzione
Considerare le esigenze organizzative al fine di determinare la strategia per la distribuzione del provisioning utenti nell'ambiente in uso.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici non hanno successo, in genere è dovuto alle diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder nel progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder e sui rispettivi input e responsabilità in merito al progetto.
Pianificare le comunicazioni
La comunicazione è fondamentale per il successo di un nuovo servizio. Comunicare in modo proattivo con gli utenti spiegando loro il tipo di esperienza, come cambierà l'esperienza, quando attendersi delle modifiche e come ottenere supporto in caso di problemi.
Pianificare un progetto pilota
È consigliabile che la configurazione iniziale del provisioning utenti automatico si trovi in un ambiente di test con un piccolo subset di utenti prima di dimensionarlo a tutti gli utenti nell'ambiente di produzione. Vedi le procedure consigliate per l'esecuzione di un progetto pilota.
Procedure consigliate per un progetto pilota
Un progetto pilota consente di testare una funzionalità su un piccolo gruppo prima di effettuarne la distribuzione a tutti. Assicurarsi che nell'ambito del test ogni caso d'uso all'interno dell'organizzazione venga testato accuratamente.
Nella prima fase, porre come obiettivo il reparto IT, l'usabilità e altri utenti appropriati che possono testare e fornire feedback. Usare questo feedback per sviluppare ulteriormente le comunicazioni e le istruzioni inviate agli utenti e fornire informazioni dettagliate sui tipi di problemi che il personale di supporto potrebbe rilevare.
Ampliare l'implementazione a gruppi più estesi di utenti aumentando l'ambito dei gruppi di destinazione. L'aumento dell'ambito dei gruppi viene eseguito tramite gruppi di appartenenza dinamica oppure aggiungendo manualmente gli utenti ai gruppi di destinazione.
Pianificare le connessioni e l'amministrazione delle applicazioni
Usare l'interfaccia di amministrazione di Microsoft Entra per visualizzare e gestire tutte le applicazioni che supportano il provisioning. Vedi Individuazione delle app nel portale.
Determinare il tipo di connettore da usare
I passaggi necessari per abilitare e configurare il provisioning automatico variano a seconda dell'applicazione. Se l'applicazione di cui si vuole eseguire automaticamente il provisioning viene elencata nella raccolta di app SaaS di Microsoft Entra, è necessario selezionare l'esercitazione sull'integrazione specifica dell'app per configurare il connettore di provisioning utenti preintegrato.
In caso contrario, attenersi alla procedura:
Creare una richiesta per un connettore di provisioning utenti preintegrato. Il team collabora con l'utente e lo sviluppatore di applicazioni per eseguire l'onboarding dell'applicazione nella piattaforma, se supporta SCIM.
Usare il supporto generico per il provisioning utenti BYOA SCIM per l'app. L'uso di SCIM è un requisito di Microsoft Entra ID per il provisioning degli utenti nell'app in assenza di un connettore di provisioning preintegrato.
Se l'applicazione è in grado di usare il connettore SCIM BYOA, vedere l'esercitazione sull'integrazione SCIM BYOA per configurare il connettore SCIM BYOA per l'applicazione.
Per altre informazioni, vedere Quali applicazioni e sistemi è possibile usare con il provisioning utenti automatico di Microsoft Entra?
Raccogliere informazioni per autorizzare l'accesso alle applicazioni
La configurazione del provisioning utenti automatico è un processo per applicazione. Per ogni applicazione, è necessario fornire credenziali di amministratore per connettersi all'endpoint di gestione utenti del sistema di destinazione.
L'immagine mostra una versione delle credenziali di amministratore necessarie:
Anche se alcune applicazioni richiedono il nome utente e la password dell'amministratore, altri potrebbero richiedere un token di connessione.
Pianificare il provisioning di utenti e gruppi
Se si abilita il provisioning degli utenti per le applicazioni aziendali, il centro di amministrazione di Microsoft Entra controlla i valori degli attributi attraverso la mappatura degli attributi.
Determinare le operazioni per ciascuna app SaaS
Ogni applicazione può avere attributi utente o gruppo univoci di cui è necessario eseguire il mapping agli attributi in Microsoft Entra ID. L'applicazione può avere solo un subset di operazioni CRUD disponibili.
Per ogni applicazione, documentare le informazioni seguenti:
Operazioni di provisioning CRUD da eseguire sugli oggetti utente e/o gruppo per i sistemi di destinazione. Ad esempio, ogni proprietario di un’applicazione SaaS potrebbe non volere tutte le operazioni possibili.
Attributi disponibili nel sistema di origine
Attributi disponibili nel sistema di destinazione
Mapping degli attributi tra sistemi.
Scegliere gli utenti e i gruppi di cui effettuare il provisioning
Prima di implementare il provisioning utenti automatico, è necessario determinare gli utenti e i gruppi di cui eseguire il provisioning nell'applicazione.
Usare i filtri di ambito per definire regole basate su attributi per determinare gli utenti per i quali viene eseguito il provisioning per un'applicazione.
Usare quindi assegnazioni di utenti e gruppi in base alle esigenze per altri filtri.
Definire il mapping degli attributi di utenti e gruppi
Per implementare il provisioning utenti automatico, è necessario definire gli attributi utente e gruppo necessari per l'applicazione. Esiste un set preconfigurato di attributi e mapping degli attributi tra gli oggetti utente di Microsoft Entra e gli oggetti utente di ogni app SaaS. Non tutte le app SaaS abilitano gli attributi del gruppo.
Microsoft Entra ID supporta il mapping diretto tra attributi fornendo valori costanti o scrivendo espressioni per i mapping degli attributi. Questa flessibilità consente di controllare in modo accurato gli elementi popolati nell'attributo del sistema di destinazione. È possibile usare API Microsoft Graph e Graph Explorer per esportare i mapping e lo schema degli attributi del provisioning utenti in un file JSON e importarlo nuovamente in Microsoft Entra ID.
Per altre informazioni, vedere Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID.
Considerazioni speciali per il provisioning utenti
Considerare quanto segue per ridurre i problemi dopo la distribuzione:
assicurarsi che gli attributi utilizzati per eseguire il mapping degli oggetti utente/gruppo tra le applicazioni di origine e di destinazione siano resilienti. Non dovrebbero causare il provisioning errato di utenti/gruppi se gli attributi cambiano (ad esempio, un utente passa a un altro reparto dell'azienda).
Le applicazioni possono avere restrizioni e/o requisiti specifici che devono essere soddisfatti per il corretto funzionamento del provisioning utenti. Ad esempio, Slack tronca i valori per determinati attributi. Fare riferimento alle esercitazioni sul provisioning utenti automatico specifiche per ogni applicazione.
Verificare la coerenza dello schema tra i sistemi di origine e di destinazione. I problemi comuni includono attributi come UPN o posta elettronica che non corrispondono. Ad esempio, UPN in Microsoft Entra ID impostato come john_smith@contoso.com mentre nell'app è jsmith@contoso.com. Per altre informazioni, vedere Informazioni di riferimento sullo schema di utenti e gruppi.
Pianificare test e sicurezza
In ogni fase della distribuzione assicurarsi che i risultati siano quelli previsti e di controllare i cicli di provisioning.
Panificare i test
Innanzitutto, configurare il provisioning utenti automatico per l’applicazione. Eseguire quindi test case per verificare che la soluzione soddisfi i requisiti dell'organizzazione.
Scenari | Risultati previsti |
---|---|
L'utente viene aggiunto a un gruppo assegnato al sistema di destinazione. | Viene effettuato il provisioning dell'oggetto utente nel sistema di destinazione. L'utente può accedere al sistema di destinazione ed eseguire le azioni desiderate. |
L'utente viene rimosso da un gruppo assegnato al sistema di destinazione. | Viene effettuato il deprovisioning dell'oggetto utente nel sistema di destinazione. L'utente non può accedere al sistema di destinazione. |
Aggiornamenti delle informazioni utente in Microsoft Entra ID tramite qualsiasi metodo. | Gli attributi utente aggiornati si riflettono nel sistema di destinazione dopo un ciclo incrementale. |
L’utente è fuori ambito. | L'oggetto utente è disabilitato o eliminato. Nota: questo comportamento viene sottoposto a override per il provisioning di Workday. |
Pianificare la sicurezza
È comune che sia necessaria una verifica della sicurezza come parte della distribuzione. Se è necessaria una verifica della sicurezza, vedere i numerosi white paper di Microsoft Entra ID che forniscono una panoramica per l'identità distribuita come servizio.
Pianificare il rollback
Se l'implementazione del provisioning utenti automatico non funziona come desiderato nell'ambiente di produzione, i passaggi di ripristino dello stato precedente seguenti consentono di ripristinare uno stato valido noto precedente:
Esaminare i log di provisioning per determinare le operazioni non corrette eseguite su utenti e/o gruppi interessati.
Usare i log di provisioning per determinare l'ultimo stato valido noto degli utenti e/o dei gruppi interessati. Esaminare anche i sistemi di origine (Microsoft Entra ID o AD).
Collaborare con il proprietario dell'applicazione per aggiornare gli utenti e/o i gruppi interessati direttamente all’interno dell'applicazione usando gli ultimi valori di stato valido noti.
Distribuire il servizio di provisioning utenti automatico
Scegliere i passaggi che corrispondono ai requisiti della propria soluzione.
Preparazione per il ciclo iniziale
Quando il servizio di provisioning di Microsoft Entra viene eseguito per la prima volta, il ciclo iniziale rispetto al sistema di origine e ai sistemi di destinazione crea uno snapshot di tutti gli oggetti utente per ciascun sistema di destinazione.
Quando si abilita il provisioning automatico per un'applicazione, il ciclo iniziale richiede da 20 minuti a diverse ore. La durata dipende dalle dimensioni della directory Microsoft Entra e dal numero di utenti nell'ambito del provisioning.
Il servizio di provisioning archivia lo stato di entrambi i sistemi dopo il ciclo iniziale, migliorando le prestazioni dei cicli incrementali successivi.
Configurare il provisioning automatico degli utenti
Utilizzare l’interfaccia di amministrazione di Microsoft Entra per gestire il provisioning e il deprovisioning automatici degli account utente per le applicazioni che li supportano. Seguire i passaggi in Come è possibile configurare il provisioning automatico in un'applicazione?
Il servizio di provisioning utenti di Microsoft Entra può essere configurato e gestito anche con l'API di Microsoft Graph.
Abilitare il provisioning utenti automatico
Ora che è stata effettuata la distribuzione, è necessario gestire la soluzione.
Monitorare l'integrità dell'operazione di provisioning utenti
Dopo il completamento di un ciclo iniziale, il servizio di provisioning di Microsoft Entra eseguirà aggiornamenti incrementali per un periodo illimitato, a intervalli specifici per ogni applicazione, fino a quando non si verifica uno dei seguenti eventi:
Il servizio viene bloccato manualmente e un nuovo ciclo iniziale viene attivato tramite l'interfaccia di amministrazione di Microsoft Entra o utilizzando il comando appropriato dell'API Microsoft Graph.
Un nuovo ciclo iniziale attiva una modifica nel mapping degli attributi o nei filtri di ambito.
Il processo di provisioning entra in quarantena a causa di errori molto frequenti e resta in quarantena per più di quattro settimane, dopodiché viene disabilitato automaticamente.
Per esaminare questi eventi e tutte le altre attività eseguite dal servizio di provisioning, fare riferimento ai log di provisioning di Microsoft Entra.
Per comprendere quanto tempo i cicli di provisioning richiedono e come monitorare lo stato del processo di provisioning, è possibile controllare lo stato del provisioning utenti.
Ottenere informazioni dettagliate dai report
Microsoft Entra ID può fornire più informazioni dettagliate sull'utilizzo e sull'integrità operativa del provisioning degli utenti dell'organizzazione tramite i log e i report di provisioning. Per altre informazioni dettagliate sugli utenti, vedere Controllare lo stato del provisioning utenti.
Gli amministratori devono verificare il report di riepilogo del provisioning per monitorare l'integrità operativa del processo di provisioning. Tutte le attività eseguite dal servizio di provisioning vengono registrate nei log di provisioning di Microsoft Entra. Vedere Esercitazione: creazione di report sul provisioning automatico degli account utente.
È consigliabile assumere la proprietà di questi rapporti e di utilizzarli con una cadenza che soddisfi i requisiti dell'organizzazione. Microsoft Entra ID conserva la maggior parte dei dati di controllo per 30 giorni.
Risoluzione dei problemi
Fare riferimento ai link seguenti per risolvere eventuali problemi che possono verificarsi durante il provisioning:
Non viene effettuato il provisioning di alcun utente a un'applicazione di Microsoft Entra Gallery
È in corso il provisioning di un set di utenti errato a un'applicazione di Microsoft Entra Gallery
Documentazione utile
Ignorare l'eliminazione degli account utente che non rientrano più nell'ambito
Agente di provisioning di Microsoft Entra Connect: cronologia di rilascio delle versioni