Implementare il provisioning utente basato sulle applicazioni
In Microsoft Entra ID, il termine provisioning di app si riferisce alla creazione automatica di identità e ruoli utente nelle applicazioni cloud (SaaS) a cui gli utenti devono accedere. Oltre a creare le identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente quando lo stato o i ruoli cambiano. Uno scenario comune è il provisioning di un utente di Microsoft Entra in applicazioni come Dropbox, Salesforce, ServiceNow e altre ancora.
Questa funzionalità consente di eseguire le azioni che seguono.
- Automatizzare il provisioning: creare automaticamente nuovi account nei sistemi appropriati per i nuovi membri di un team o l'organizzazione.
- Automatizzare il deprovisioning: disattivare automaticamente account nei sistemi appropriati per i membri che lasciano un team o l'organizzazione.
- Sincronizzare i dati tra i sistemi: assicurarsi che le identità nelle app e nei sistemi siano sempre aggiornate in base alle modifiche nella directory o nel sistema di risorse umane.
- Provisioning di gruppi: effettuare il provisioning di un gruppo per le applicazioni che lo supportano.
- Gestire l'accesso: monitorare e controllare gli utenti di cui è stato effettuato il provisioning nelle applicazioni.
- Eseguire facilmente la distribuzione in scenari brownfield: abbinare le identità esistenti tra i diversi sistemi per facilitare l'integrazione, anche quando gli utenti sono già presenti nel sistema di destinazione.
- Usare la personalizzazione avanzata: sfruttare i mapping personalizzabili degli attributi che definiscono quali dati degli utenti devono essere trasferiti dal sistema di origine a quello di destinazione.
- Ricevere avvisi per gli eventi critici: il servizio di provisioning fornisce avvisi per gli eventi critici e supporta l'integrazione di Log Analytics, in cui è possibile definire avvisi personalizzati per soddisfare le esigenze aziendali.
Provisioning manuale o automatico
Le applicazioni della raccolta Microsoft Entra ID supportano il provisioning manuale o automatico.
- Provisioning manuale significa che non è ancora disponibile alcun connettore di provisioning Automatico di Microsoft Entra per l'app. Gli account utente devono essere creati manualmente. Ad esempio, si possono aggiungere gli utenti direttamente nel portale di amministrazione dell'app o caricando un foglio di calcolo con i dettagli degli account utente. Per determinare i meccanismi disponibili, consultare la documentazione o contattare lo sviluppatore dell'app.
- Automatico significa che per questa applicazione è stato sviluppato un connettore di provisioning Microsoft Entra. Seguire l'esercitazione sulla configurazione del provisioning per l'applicazione.
Nella raccolta Microsoft Entra ID, le applicazioni che supportano il provisioning automatico sono contrassegnate dall'iconaProvisioning.
La modalità di provisioning supportata da un'applicazione è visibile anche nella scheda Provisioning dopo l'aggiunta dell'applicazione in App aziendali.
SCIM (System for Cross-domain Identity Management)
Per automatizzare il provisioning e il deprovisioning, le app espongono API proprietarie per utenti e gruppi. Tuttavia, ogni app tenta di eseguire le stesse azioni, come la creazione o l'aggiornamento di utenti, l'aggiunta di utenti a gruppi o il deprovisioning degli utenti. Tutte queste semplici azioni vengono però implementate in modo leggermente diverso, usando percorsi di endpoint diversi, metodi diversi per specificare le informazioni sugli utenti e uno schema diverso per rappresentare ogni elemento di informazioni.
Per risolvere questi problemi, la specifica SCIM (System for Cross-domain Identity Management) fornisce uno schema utente comune che facilita il provisioning e il deprovisioning degli utenti nelle app. SCIM sta diventando lo standard per il provisioning e, in combinazione con standard di federazione come OpenID Connect o SAML, offre agli amministratori una soluzione end-to-end basata su standard per la gestione degli accessi.
Creare un endpoint SCIM (System for Cross-domain Identity Management) e configurare il provisioning utenti con Microsoft Entra ID
Gli sviluppatori di applicazioni possono utilizzare l'API di gestione utenti SCIM (System for Cross-Domain Identity Management) per abilitare il provisioning automatico di utenti e gruppi tra l'applicazione e Microsoft Entra ID. La specifica SCIM offre uno schema utente comune per il provisioning. In combinazione con standard di federazione come OpenID Connect o SAML, SCIM offre agli amministratori una soluzione end-to-end basata su standard per la gestione degli accessi.
SCIM è una definizione standardizzata di due endpoint: un endpoint /Users e un endpoint /Groups. Usa verbi REST comuni per creare, aggiornare ed eliminare oggetti e uno schema predefinito per attributi comuni come nome del gruppo, nome utente, nome, cognome e indirizzo di posta elettronica. Le app che offrono un'API REST SCIM 2.0 possono ridurre o eliminare le difficoltà associate all'uso di un'API proprietaria di gestione degli utenti. Tutti i client SCIM conformi, ad esempio, sono in grado di inviare un HTTP POST di un oggetto JSON all'endpoint /Users per creare una nuova voce utente. Invece di richiedere un'API leggermente diversa per le stesse azioni di base, le app conformi allo standard SCIM possono sfruttare immediatamente i vantaggi del codice, dei client e degli strumenti preesistenti.
Lo schema dell'oggetto utente standard e le API REST per la gestione definiti in SCIM 2.0 facilitano l'integrazione tra provider di identità e app. Gli sviluppatori di applicazioni che creano un endpoint SCIM possono eseguire l'integrazione con qualsiasi client conforme a SCIM senza che siano necessarie operazioni di personalizzazione. Anziché iniziare da zero e creare autonomamente l'intera implementazione, è possibile usare diverse librerie SCIM open source pubblicate dalla community SCIM.