SCIM en Microsoft Graph samen gebruiken om gebruikers in te richten en uw toepassing te verrijken met de gegevens die nodig zijn

Doelgroep: dit artikel is gericht op ontwikkelaars die toepassingen bouwen die moeten worden geïntegreerd met Microsoft Entra ID. Als u toepassingen wilt gebruiken die al zijn geïntegreerd met Microsoft Entra ID, zoals Zoom, ServiceNow en DropBox, kunt u dit artikel overslaan en de toepassingsspecifieke zelfstudies bekijken of controleren hoe de inrichtingsservice werkt.

Algemene scenario's

Microsoft Entra ID biedt een kant-en-klare service voor het inrichten en een uitbreidbaar platform om uw toepassingen op te bouwen. In de beslissingsstructuur wordt beschreven hoe een ontwikkelaar SCIM en Microsoft Graph zou gebruiken om het inrichten te automatiseren.

• Automatisch gebruikers maken in mijn toepassing
• Gebruikers automatisch verwijderen uit mijn toepassing wanneer ze geen toegang meer mogen hebben
• Mijn toepassing integreren met meerdere id-providers voor inrichting
• Verrijk mijn toepassing met gegevens van Microsoft-services zoals Teams, Outlook en Office.
• Automatisch gebruikers en groepen maken, bijwerken en verwijderen in Microsoft Entra ID en Active Directory

Scenario 1: Automatisch gebruikers maken in mijn app

Tegenwoordig richten IT-beheerders gebruikers in door handmatig gebruikersaccounts te maken of periodiek csv-bestanden te uploaden naar mijn toepassing. Het proces is tijdrovend voor klanten en vertraagt de acceptatie van mijn toepassing. Ik heb alleen basisgebruikersgegevens nodig, zoals naam, e-mailadres en userPrincipalName om een gebruiker te maken.

Aanbeveling:

• Als uw klanten verschillende id-providers gebruiken en u geen synchronisatie-engine wilt onderhouden om met elke provider te integreren, ondersteunt u een SCIM-compatibel /Gebruikers-eindpunt. Uw klanten kunnen dit eindpunt eenvoudig gebruiken om te integreren met de Microsoft Entra-inrichtingsservice en automatisch gebruikersaccounts te maken wanneer ze toegang nodig hebben. U kunt het eindpunt eenmaal bouwen; dit is daarna compatibel met alle id-providers. Bekijk de onderstaande voorbeeldaanvraag voor de wijze waarop een gebruiker wordt gemaakt met SCIM.
• Als u gebruikersgegevens nodig hebt die zijn gevonden op het gebruikersobject in Microsoft Entra ID en andere gegevens van microsoft, kunt u overwegen om een SCIM-eindpunt te bouwen voor het inrichten van gebruikers en het aanroepen van Microsoft Graph om de rest van de gegevens op te halen.

POST /Users
{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User",
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
    "externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
    "userName": "BillG",
    "active": true,
    "meta": {
        "resourceType": "User"
    },
    "name": {
        "formatted": "Bill Gates",
        "familyName": "Gates",
        "givenName": "Bill"
    },
    "roles": []
}

Scenario 2: Gebruikers automatisch verwijderen uit mijn app

De klanten die mijn toepassing gebruiken, vinden beveiliging belangrijk en hebben governancevereisten om accounts te verwijderen wanneer werknemers ze niet meer nodig hebben. Hoe kan ik het verwijderen van de inrichting automatiseren vanuit mijn toepassing?

Aanbeveling: biedt ondersteuning voor een SCIM-compatibel eindpunt/gebruikerseindpunt. De Microsoft Entra-inrichtingsservice verzendt aanvragen om uit te schakelen en te verwijderen wanneer de gebruiker geen toegang meer heeft. Het wordt aangeraden om zowel het uitschakelen als verwijderen van gebruikers te ondersteunen. Zie de onderstaande voorbeelden om te zien hoe een aanvraag voor uitschakelen en verwijderen eruitziet.

Gebruiker uitschakelen

PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
    "Operations": [
        {
            "op": "Replace",
            "path": "active",
            "value": false
        }
    ],
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ]
}

Gebruiker verwijderen

DELETE /Users/5171a35d82074e068ce2 HTTP/1.1

Scenario 3: Het beheren van groepslidmaatschappen in mijn app automatiseren

Mijn toepassing is afhankelijk van groepen voor toegang tot verschillende resources en klanten willen de groepen die ze hebben in Microsoft Entra-id opnieuw gebruiken. Hoe kan ik groepen importeren uit De Microsoft Entra-id en ze bijwerken naarmate de lidmaatschappen veranderen?

Aanbeveling: biedt ondersteuning voor een SCIM-compatibel eindpunt/groepseindpunt. De Microsoft Entra-inrichtingsservice zorgt voor het maken van groepen en het beheren van lidmaatschapsupdates in uw toepassing.

Scenario 4: Mijn app verrijken met gegevens van Microsoft-services zoals Teams, Outlook en OneDrive

Mijn toepassing is ingebouwd in Microsoft Teams en is afhankelijk van berichtgegevens. Daarnaast slaan we bestanden op voor gebruikers in OneDrive. Hoe kan ik mijn toepassing verrijken met de gegevens van deze services en in Microsoft?

Aanbeveling: de Microsoft Graph is uw toegangspunt voor toegang tot Microsoft-gegevens. Elke workload maakt API's beschikbaar met de gegevens die u nodig hebt. Microsoft Graph kan worden gebruikt in combinatie met SCIM-inrichting voor de bovenstaande scenario's. U kunt SCIM gebruiken om basiskenmerken van gebruikers in uw toepassing in te richten terwijl u Graph aanroept om andere gegevens op te halen die u nodig hebt.

Scenario 5: Wijzigingen bijhouden in Microsoft-services zoals Teams, Outlook en Microsoft Entra-id

Ik moet wijzigingen in Teams- en Outlook-berichten kunnen bijhouden en er in real time op kunnen reageren. Hoe kan ik deze wijzigingen naar mijn toepassing pushen?

Aanbeveling: Microsoft Graph biedt wijzigingsmeldingen en wijzigingen bijhouden voor verschillende resources. Let op de volgende beperkingen van wijzigingsmeldingen:

• Als een gebeurtenisontvanger een gebeurtenis erkent maar om welke reden dan ook niet reageert, kan de gebeurtenis verloren gaan.
• De volgorde waarin wijzigingen worden ontvangen, zijn niet gegarandeerd chronologisch.
• Wijzigingsmeldingen bevatten niet altijd de resourcegegevens. Om de bovenstaande redenen gebruiken ontwikkelaars vaak wijzigingsmeldingen, samen met het bijhouden van wijzigingen voor synchronisatiescenario's.

Scenario 6: Gebruikers en groepen inrichten in Microsoft Entra-id

Mijn toepassing maakt informatie over een gebruiker die klanten nodig hebben in Microsoft Entra ID. Dit kan een HR-toepassing zijn dan het inhuren beheren, een communicatie-app waarmee telefoonnummers voor gebruikers worden gemaakt of een andere app die gegevens genereert die waardevol zijn in Microsoft Entra ID. Hoe kan ik de gebruikersrecord in Microsoft Entra ID vullen met die gegevens?

Aanbeveling De Microsoft-grafiek bevat eindpunten /Users en /Groups waarmee u vandaag kunt integreren om gebruikers in te richten in Microsoft Entra-id. Houd er rekening mee dat Microsoft Entra ID geen ondersteuning biedt voor het terugschrijven van deze gebruikers naar Active Directory.

Notitie

Microsoft heeft een inrichtingsservice die gegevens ophaalt uit HR-toepassingen zoals Workday en SuccessFactors. Deze integraties worden gebouwd en beheerd door Microsoft. Voor het onboarden van een nieuwe HR-toepassing in onze service kunt u deze aanvragen op UserVoice.

Verwante artikelen:

• De Microsoft Graph-documentatie voor synchronisatie raadplegen
• Een aangepaste SCIM-app integreren met Microsoft Entra-id