Implementare il provisioning utenti basato su applicazioni

Completato

In Microsoft Entra ID il termine provisioning delle app si riferisce alla creazione automatica di identità utente e ruoli nelle applicazioni Cloud (SaaS) a cui gli utenti devono accedere. Oltre a creare identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente man mano che cambiano lo stato o i ruoli. Uno scenario comune è il provisioning di un utente di Microsoft Entra in applicazioni come Dropbox, Salesforce, ServiceNow e altro ancora.

Questa funzionalità consente di eseguire le azioni seguenti.

• Automatizzare il provisioning: creare automaticamente nuovi account nei sistemi giusti per i nuovi utenti quando si uniscono a un team o a un'organizzazione.
• Automatizzare il deprovisioning: disattivare automaticamente gli account nei sistemi corretti quando gli utenti lasciano un team o un'organizzazione.
• Sincronizzare i dati tra sistemi: Assicurarsi che le identità nelle app e nei sistemi vengano mantenute aggiornate in base alle modifiche apportate alla directory o al sistema delle risorse umane.
• Gruppi di provisioning: provisioning di un gruppo nelle applicazioni che le supportano.
• Gestire l'accesso: Monitorare e controllare chi è stato effettuato il provisioning nelle applicazioni.
• Distribuzione senza problemi in scenari di campo marrone: trovare le corrispondenze tra le identità esistenti tra i sistemi e consentire un'integrazione semplice, anche quando gli utenti esistono già nel sistema di destinazione.
• Usa personalizzazione avanzata: sfrutta i mapping personalizzabili degli attributi che definiscono i dati utente che devono essere trasmessi dal sistema di origine al sistema di destinazione.
• Ottenere avvisi per gli eventi critici: il servizio di provisioning fornisce avvisi per gli eventi critici e consente l'integrazione di Log Analytics in cui è possibile definire avvisi personalizzati in base alle esigenze aziendali.

Provisioning manuale e automatico

Le applicazioni nella raccolta microsoft Entra ID supportano il provisioning manuale o automatico.

• Il provisioning manuale significa che non è ancora disponibile alcun connettore di provisioning Microsoft Entra automatico per l'app. Gli account utente devono essere creati manualmente. Ad esempio, l'aggiunta di utenti direttamente nel portale amministrativo dell'app o il caricamento di un foglio di calcolo con i dettagli dell'account utente. Consultare la documentazione fornita dall'app o contattare lo sviluppatore dell'app per determinare quali meccanismi sono disponibili.
• Automatico significa che per questa applicazione è stato sviluppato un connettore di provisioning Microsoft Entra. Seguire l'esercitazione sull'installazione per configurare il provisioning per l'applicazione.

Nella raccolta microsoft Entra ID le applicazioni che supportano il provisioning automatico sono designate da un'icona Provisioning .

La modalità di provisioning supportata da un'applicazione è visibile anche nella scheda Provisioning dopo aver aggiunto l'applicazione alle app aziendali.

Sistema per la gestione delle identità tra domini

Per automatizzare il provisioning e il deprovisioning, le app espongono API proprietarie di utenti e gruppi. Tuttavia, ogni app tenta di eseguire le stesse azioni, ad esempio la creazione o l'aggiornamento di utenti, l'aggiunta di utenti a gruppi o il deprovisioning degli utenti. Tuttavia, tutte queste semplici azioni vengono implementate in modo leggermente diverso, usando percorsi endpoint diversi, metodi diversi per specificare le informazioni utente e uno schema diverso per rappresentare ogni elemento di informazioni.

Per risolvere questi problemi, la specifica SCIM (System for Cross-Domain Identity Management) fornisce uno schema utente comune per consentire agli utenti di spostarsi, uscire e aggirare le app. SCIM sta diventando lo standard per il provisioning e, se usato in combinazione con gli standard federativi come SAML o OpenID Connect, offre agli amministratori una soluzione end-to-end basata su standard per la gestione degli accessi.

Creare un endpoint di System for Cross-domain Identity Management e configurare il provisioning utenti con Microsoft Entra ID

Gli sviluppatori di applicazioni possono utilizzare l'API di gestione utenti SCIM (System for Cross-Domain Identity Management) per abilitare il provisioning automatico di utenti e gruppi tra l'applicazione e Microsoft Entra ID. La specifica SCIM offre uno schema utente comune per il provisioning. Se usato in combinazione con standard federativi come SAML o OpenID Connect, SCIM offre agli amministratori una soluzione end-to-end basata su standard per la gestione degli accessi.

SCIM è una definizione standardizzata di due endpoint: un endpoint /Users e un endpoint /Groups. Usa verbi REST (Representational State Transfer) comuni per creare, aggiornare ed eliminare oggetti e uno schema predefinito per attributi comuni, ad esempio nome del gruppo, nome utente, nome utente, cognome e posta elettronica. Le app che offrono un'API REST SCIM 2.0 possono ridurre o eliminare le difficoltà associate all'uso di un'API proprietaria di gestione degli utenti. Ad esempio, qualsiasi client SCIM conforme sa come creare una voce http POST di un oggetto JSON all'endpoint /Users per creare una nuova voce utente. Invece di richiedere un'API leggermente diversa per le stesse azioni di base, le app conformi allo standard SCIM possono sfruttare immediatamente i vantaggi di client, strumenti e codice preesistenti.

Lo schema degli oggetti utente standard e le API REST per la gestione definite in SCIM 2.0 consentono ai provider di identità e alle app di integrarsi tra loro più facilmente. Gli sviluppatori di applicazioni che creano un endpoint SCIM possono integrarsi con qualsiasi client conforme a SCIM senza dover eseguire operazioni personalizzate, invece di iniziare da zero e compilare completamente l'implementazione autonomamente, è possibile basarsi su una serie di librerie SCIM open source pubblicate dalla community SCIM.