Concepten voor binnenkomende inrichting op basis van API
Dit document biedt een conceptueel overzicht van het inrichten van binnenkomende gebruikers op basis van de Microsoft Entra-API.
Inleiding
Tegenwoordig hebben ondernemingen verschillende gezaghebbende systemen van record. Om een end-to-end identiteitslevenscyclus tot stand te brengen, moet het beveiligingspostuur worden versterkt en voldoen aan regelgeving. Identiteitsgegevens in Microsoft Entra ID moeten worden gesynchroniseerd met personeelsgegevens die worden beheerd in deze systemen van record. Het recordsysteem kan een HR-app, een salarisadministratie-app, een spreadsheet of SQL-tabellen in een database zijn die on-premises of in de cloud wordt gehost.
Met API-gestuurde binnenkomende inrichting biedt de Microsoft Entra-inrichtingsservice nu ondersteuning voor integratie met elk recordsysteem. Klanten en partners kunnen elk automatiseringsprogramma van hun keuze gebruiken om personeelsgegevens op te halen uit het recordsysteem en deze op te nemen in Microsoft Entra-id. De IT-beheerder heeft volledige controle over hoe de gegevens worden verwerkt en getransformeerd met kenmerktoewijzingen. Zodra de personeelsgegevens beschikbaar zijn in Microsoft Entra ID, kan de IT-beheerder de juiste joiner-mover-leaver-bedrijfsprocessen configureren met behulp van levenscycluswerkstromen.
Ondersteunde scenario's
Er zijn verschillende scenario's voor het inrichten van binnenkomende gebruikers ingeschakeld met behulp van API-gestuurde binnenkomende inrichting. In dit diagram ziet u de meest voorkomende scenario's.
Scenario 1: IT-teams in staat stellen HR-gegevensextracten te importeren met behulp van een automatiseringsprogramma
Platte bestanden, CSV-bestanden en SQL-faseringstabellen worden vaak gebruikt in bedrijfsintegratiescenario's. Gegevens van werknemers, contractanten en leveranciers worden periodiek geƫxporteerd naar een van deze indelingen en er wordt een automatiseringsprogramma gebruikt om deze gegevens te synchroniseren met ondernemingsidentiteitsmappen. Met api-gestuurde binnenkomende inrichting kunnen IT-teams elk automatiseringsprogramma van hun keuze gebruiken (bijvoorbeeld PowerShell-scripts of Azure Logic Apps) om deze integratie te moderniseren en te vereenvoudigen.
Scenario 2: ISV's inschakelen om directe integratie met Microsoft Entra-id te bouwen
Met API-gestuurde binnenkomende inrichting kunnen HR ISV's systeemeigen synchronisatie-ervaringen verzenden, zodat wijzigingen in het HR-systeem automatisch worden doorgevoerd in Microsoft Entra ID en verbonden on-premises Active Directory-domeinen. Een HR-app of app voor studentinformatiesystemen kan bijvoorbeeld gegevens verzenden naar Microsoft Entra-id zodra een transactie is voltooid of als bulkupdate van het einde van de dag.
Scenario 3: Systeemintegrators in staat stellen om meer connectors te bouwen op systemen van record
Partners kunnen aangepaste HR-connectors bouwen om te voldoen aan verschillende integratievereisten voor gegevensstromen van systemen van records naar Microsoft Entra ID.
In alle bovenstaande scenario's wordt de integratie vereenvoudigd omdat de Microsoft Entra-inrichtingsservice de verantwoordelijkheid neemt voor het uitvoeren van vergelijking van identiteitsprofielen, het beperken van de gegevenssynchronisatie tot bereiklogica die is geconfigureerd door de IT-beheerder en het uitvoeren van een op regels gebaseerde kenmerkstroom en transformatie die wordt beheerd in het Microsoft Entra-beheercentrum.
End-to-endstroom
Stappen van de werkstroom
- IT-Beheer configureert een API-gestuurde app voor binnenkomende gebruikersinrichting vanuit de galerie met Microsoft Entra Enterprise-apps.
- IT-Beheer verleent toegangsmachtigingen en biedt details over eindpunttoegang tot de API-ontwikkelaar/partner/systeemintegrator.
- De API-ontwikkelaar/partner-/systeemintegrator bouwt een API-client om gezaghebbende identiteitsgegevens naar Microsoft Entra-id te verzenden.
- De API-client leest identiteitsgegevens uit de gezaghebbende bron.
- De API-client verzendt een POST-aanvraag naar het inrichtings -/bulkUpload-API-eindpunt dat is gekoppeld aan de inrichtings-app.
Notitie
De API-client hoeft geen vergelijkingen uit te voeren tussen de bronkenmerken en de waarden van het doelkenmerk om te bepalen welke bewerking (maken/bijwerken/inschakelen/uitschakelen) moet worden aangeroepen. Dit wordt automatisch afgehandeld door de inrichtingsservice. De API-client uploadt de identiteitsgegevens die uit het bronsysteem worden gelezen door deze als bulkaanvraag te verpakken met behulp van SCIM-schemaconstructies.
- Als dit lukt, wordt er een
Accepted 202 Statusgeretourneerd. - De Microsoft Entra-inrichtingsservice verwerkt de ontvangen gegevens, past de kenmerktoewijzingsregels toe en voltooit het inrichten van gebruikers.
- Afhankelijk van de inrichtings-app die is geconfigureerd, wordt de gebruiker ingericht in on-premises Active Directory (voor hybride gebruikers) of Microsoft Entra ID (voor gebruikers in de cloud).
- De API-client voert vervolgens een query uit op het API-eindpunt van de inrichtingslogboeken voor de status van elke verzonden record.
- Als de verwerking van een record mislukt, kan de API-client de foutdetails controleren en records opnemen die overeenkomen met de mislukte bewerkingen in de volgende bulkaanvraag (stap 5).
- Op elk gewenst moment kan de IT-Beheer de status van de inrichtingstaak controleren en gebeurtenissen bekijken in de inrichtingslogboeken.
Belangrijkste functies van api-gestuurde inrichting van binnenkomende gebruikers
- Beschikbaar als een inrichtings-app waarmee een asynchroon Microsoft Graph-inrichtings -/bulkUpload-API-eindpunt wordt geopend met behulp van een geldig OAuth-token.
- Tenantbeheerders moeten API-clients die communiceren met deze inrichtings-app de Graph-machtiging
SynchronizationData-User.Uploadverlenen. - Het Graph API-eindpunt accepteert geldige nettoladingen voor bulkaanvragen met behulp van SCIM-schemaconstructies.
- Met SCIM-schema-extensies kunt u elk kenmerk in de nettolading van de bulkaanvraag verzenden.
- De frequentielimiet voor de inkomende inrichtings-API is 40 aanvragen voor bulksgewijs uploaden per seconde. Elke bulkaanvraag kan maximaal 50 gebruikersrecords bevatten, waardoor een uploadsnelheid van 2000 records per seconde wordt ondersteund.
- Elk API-eindpunt is gekoppeld aan een specifieke inrichtings-app in Microsoft Entra-id. U kunt meerdere gegevensbronnen integreren door een inrichtings-app te maken voor elke gegevensbron.
- Binnenkomende bulksgewijs aanvragen worden in bijna realtime verwerkt.
- Beheer s kunnen de voortgang van de inrichting controleren door de inrichtingslogboeken te bekijken.
- API-clients kunnen de voortgang bijhouden door een query uit te voeren op de API voor inrichtingslogboeken.
Licentievereisten
Deze functie is beschikbaar met Licenties voor Microsoft Entra ID P1, P2 en Microsoft Entra ID-governance. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.
Richtlijnen voor API-gebruik
Het /bulkUpload API-eindpunt breidt het aantal manieren uit waarop u gebruikers in Entra-id kunt beheren. Als u wilt bepalen of het /bulkUpload API-eindpunt geschikt is voor uw integratiescenario, raadpleegt u deze tabel die deze vergelijkt met andere api-integratieopties.
| Use Case-scenario voor API-toewijzing | API voor het maken van gebruikers | Binnenkomende BULK-API voor HR | API voor gebruikersuitnodiging | Directe toewijzings-API |
|---|---|---|---|---|
| Wanneer het scenario voor het maken van uw identiteit... | Ad-hoc gebruikers maken in Entra-id voor een gebruiker die niet is gekoppeld aan een werknemer in een HR-bron | Werknemersrecords ophalen uit een gezaghebbende HR-bron en u wilt dat deze werknemers lidaccounts hebben in Entra-id of on-premises Active Directory | Ad-hoc gastgebruiker maken in Entra ID, voor delen doeleinden, waarbij de gast unieke toegangsrechten heeft | Toegangstoewijzing voor bestaande gebruikers en (preview) voor het maken van gasten in Entra ID, om de nieuwe gestandaardiseerde gasttoegang te geven |
| ... de API gebruiken... | Create user | Voer bulkUpload uit. | Uitnodiging maken | AccessPackageAssignmentRequest maken |
| De resulterende gebruiker wordt voor het eerst gemaakt in... | Entra-id | On-premises Active Directory of Entra-id | Entra-id | Entra-id |
| De resulterende gebruiker wordt geverifieerd bij... | Entra-id, met het wachtwoord dat u opgeeft | On-premises Active Directory van Entra-id, met een tijdelijke toegangspas geleverd door entra-levenscycluswerkstromen | Thuistenant of andere id-provider | Thuistenant of andere id-provider |
| Volgende updates voor de gebruiker kunnen worden uitgevoerd via | Graph API- of Entra-portal | Graph API- of HR-bulk-API of Entra-portal | Graph API- of Entra-portal | Graph API- of Entra-portal |
| De levenscyclus van gebruikers wanneer hun dienstverband begint, wordt bepaald door... | Handmatige processen | Onboarding Lifecycle-werkstromen die worden geactiveerd op basis van het employeeHireDate kenmerk |
Rechtenbeheer | Automatische toewijzing met rechtenbeheertoegangspakketten |
| De levenscyclus van de gebruiker wanneer hun dienstverband wordt beƫindigd, wordt bepaald door... | Handmatige processen | Levenscycluswerkstromen voor offboarding die worden geactiveerd op basis van het employeeLeaveDateTime kenmerk |
Toegangsbeoordelingen | Rechtenbeheer wanneer de gebruiker de laatste toewijzing van het toegangspakket verliest, wordt deze verwijderd |
Aanbevolen leertraject
| # | Leerdoel | Richtlijn |
|---|---|---|
| 1. | U wilt meer informatie over de specificaties van de inkomende inrichtings-API. | Raadpleeg het document /bulkUpload-API-specificatie. |
| 2. | U wilt meer vertrouwd raken met de api-gestuurde inrichtingsconcepten, scenario's en beperkingen. | Raadpleeg de veelgestelde vragen over api-gestuurde binnenkomende inrichting. |
| 3. | Als Beheer gebruiker wilt u de binnenkomende inrichtings-API snel testen. | * Api-gestuurde inkomende inrichtings-app maken * API testen met Graph Explorer |
| 4. | Met een serviceaccount of beheerde identiteit wilt u de binnenkomende inrichtings-API snel testen. | * Api-gestuurde inkomende inrichtings-app maken * API-machtigingen verlenen * API testen met cURL of Postman |
| 5. | U wilt de API-gestuurde inrichtings-app uitbreiden om meer aangepaste kenmerken te verwerken. | Raadpleeg de zelfstudie Api-gestuurde inrichting uitbreiden om aangepaste kenmerken te synchroniseren |
| 6. | U wilt het uploaden van gegevens vanuit uw systeem van record automatiseren naar het eindpunt van de inkomende inrichtings-API. | Raadpleeg de zelfstudies * Snel aan de slag met PowerShell * Snel aan de slag met Azure Logic Apps |
| 7. | U wilt problemen met de inkomende inrichtings-API oplossen | Raadpleeg de gids voor probleemoplossing. |
Externe leerbronnen
De volgende inhoud, gemaakt door onze partners en Microsoft MVP's, biedt extra richtlijnen voor het implementeren en configureren van API-gestuurde inrichting voor verschillende integratiescenario's.
Videozelfstudies
- John Savill legt uit hoe API-gestuurde inrichting werkt
- Microsoft MVP Nick Ross legt uit hoe u API-gestuurde inrichting configureert
- Microsoft MVP Nick Ross legt uit hoe u HR-gegevens kunt ophalen uit een Excel-bestand in SharePoint met behulp van Power Automate en API-gestuurde inrichting
- Microsoft Partner IdentityXP 4-delige reeks over API-gestuurde inrichting
Blogberichten, presentaties en andere nuttige koppelingen
- Microsoft MVP Pim Jacob's artikel waarin wordt uitgelegd hoe u Bamboo HR API-gestuurde inrichting uitvoert voor on-premises Active Directory
- Microsoft MVP Pim Jacob's presentatie over het configureren van het joiner- en verlofproces met behulp van API-gestuurde inrichtings- en levenscycluswerkstromen
- Het artikel van Microsoft MVP Marius Solbakken waarin wordt uitgelegd hoe u Excel-gegevens op basis van PowerShell-script en API-inrichting kunt bronen
- Artikel van Suryendu Bhattacharyya over het aanroepen van API-driving-inrichting met behulp van aangepaste GitHub Action
- Bicep-sjabloon van Microsoft MVP Jan Vidar Elven voor API-gestuurde inrichting