Wat is app-inrichting in Azure Active Directory?

In Azure Active Directory (Azure AD) verwijst de term app-inrichting naar het automatisch maken van gebruikersidentiteiten en -rollen voor toepassingen.

Diagram that shows provisioning scenarios.

Inrichting van Azure AD-toepassingen verwijst naar het automatisch maken van gebruikersidentiteiten en -rollen in de toepassingen waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Veelvoorkomende scenario's zijn het inrichten van een Azure AD-gebruiker in SaaS-toepassingen, zoals Dropbox, Salesforce, ServiceNow en meer.

Azure AD biedt ook ondersteuning voor het inrichten van gebruikers in toepassingen die on-premises of op een virtuele machine worden gehost, zonder dat er firewalls hoeven te worden geopend. Als uw toepassing SCIM ondersteunt of als u een SCIM-gateway hebt gebouwd om verbinding te maken met uw verouderde toepassing, kunt u de Azure AD-inrichtingsagent gebruiken om rechtstreeks verbinding te maken met uw toepassing en inrichting te automatiseren en de inrichting ongedaan te maken. Als u verouderde toepassingen hebt die SCIM niet ondersteunen en afhankelijk zijn van een LDAP-gebruikersarchief of een SQL-database, kan Azure AD deze ook ondersteunen.

Met app-inrichting kunt u het volgende doen:

  • Inrichting automatiseren: Automatisch nieuwe accounts maken in de juiste systemen voor nieuwe personen wanneer ze deelnemen aan uw team of organisatie.
  • Ongedaan maken van inrichting automatiseren: accounts in de juiste systemen automatisch deactiveren wanneer mensen het team of de organisatie verlaten.
  • Gegevens synchroniseren tussen systemen: zorg ervoor dat de identiteiten in uw apps en systemen up-to-date blijven op basis van wijzigingen in de directory of uw human resources-systeem.
  • Groepen inrichten: Groepen inrichten voor toepassingen die deze ondersteunen.
  • Toegang beheren: Controleren en controleren wie in uw toepassingen is ingericht.
  • Naadloos implementeren in bruine veldscenario's: Bestaande identiteiten tussen systemen vergelijken en eenvoudige integratie mogelijk maken, zelfs wanneer gebruikers al in het doelsysteem bestaan.
  • Gebruik uitgebreide aanpassingen: profiteer van aanpasbare kenmerktoewijzingen die bepalen welke gebruikersgegevens van het bronsysteem naar het doelsysteem moeten stromen.
  • Ontvang waarschuwingen voor kritieke gebeurtenissen: de inrichtingsservice biedt waarschuwingen voor kritieke gebeurtenissen en maakt log Analytics-integratie mogelijk, waar u aangepaste waarschuwingen kunt definiëren die aansluiten bij uw bedrijfsbehoeften.

Wat is SCIM?

Om te helpen bij het automatiseren van de inrichting of het ongedaan maken van de inrichting, maken apps gebruik van eigen gebruikers-API’s en groeps-API’s. Maar iedereen die gebruikers in meer dan één app probeert te beheren, vertelt u dat elke app dezelfde acties probeert uit te voeren, zoals het maken of bijwerken van gebruikers, het toevoegen van gebruikers aan groepen of het ongedaan maken van de inrichting van gebruikers. Al deze acties worden echter iets anders geïmplementeerd met behulp van verschillende eindpuntpaden, verschillende methoden om gebruikersgegevens op te geven en een ander schema om elk element van informatie weer te geven.

Om deze uitdagingen aan te pakken, biedt de SCIM-specificatie (System for Cross-Domain Identity Management) een gemeenschappelijk gebruikersschema om gebruikers te helpen bij het verplaatsen naar, uit en rond apps. SCIM wordt de feitelijke standaard voor inrichting en biedt beheerders een end-to-end oplossing voor toegangsbeheer wanneer deze wordt gebruikt met federatiestandaarden zoals Security Assertions Markup Language (SAML) of OpenID Verbinding maken (OIDC).

Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor gedetailleerde richtlijnen over het ontwikkelen van een SCIM-eindpunt voor het automatiseren van het inrichten en het ongedaan maken van de inrichting van gebruikers en groepen in een toepassing. Voor vooraf geïntegreerde toepassingen in de galerie, zoals Slack, Azure Databricks en Snowflake, kunt u de documentatie voor ontwikkelaars overslaan en de zelfstudies in zelfstudies gebruiken voor het integreren van SaaS-toepassingen met Azure Active Directory.

Handmatige en automatische inrichting

Toepassingen in de Azure AD-galerie ondersteunen een van de twee inrichtingsmodi:

  • Handmatig inrichten betekent dat er nog geen automatische Azure AD-inrichtingsconnector voor de app is. Gebruikersaccounts moeten handmatig worden gemaakt. Voorbeelden zijn het rechtstreeks toevoegen van gebruikers aan de beheerportal van de app of het uploaden van een spreadsheet met gebruikersaccountdetails. Raadpleeg de documentatie van de app of neem contact op met de app-ontwikkelaar om te bepalen welke mechanismen beschikbaar zijn.
  • Automatisch houdt in dat er al een Azure AD-inrichtingsconnector is ontwikkeld voor deze toepassing. Volg de installatiezelfstudie die specifiek is voor het instellen van inrichting voor de toepassing. App-zelfstudies vindt u in zelfstudies voor het integreren van SaaS-toepassingen met Azure Active Directory.

De inrichtingsmodus die wordt ondersteund door een toepassing, is ook zichtbaar op het tabblad Inrichten nadat u de toepassing hebt toegevoegd aan uw bedrijfs-apps.

Voordelen van automatische inrichting

Naarmate het aantal toepassingen dat in moderne organisaties wordt gebruikt groeit, moeten IT-beheerders voor toegangsbeheer op schaal zorgen. Met standaarden zoals SAML of OIDC kunnen beheerders snel eenmalige aanmelding (SSO) instellen, maar voor toegang moeten gebruikers ook worden ingericht in de app. Voor veel beheerders betekent het inrichten handmatig elk gebruikersaccount of het uploaden van CSV-bestanden per week. Deze processen zijn tijdrovend, duur en foutgevoelig. Oplossingen zoals SAML Just-In-Time (JIT) zijn gebruikt om inrichting te automatiseren. Ondernemingen hebben ook een oplossing nodig om de inrichting van gebruikers ongedaan te maken wanneer ze de organisatie verlaten of geen toegang meer nodig hebben tot bepaalde apps op basis van rolwijziging.

Enkele veelvoorkomende motivaties voor het gebruik van automatische inrichting zijn:

  • Maximale efficiëntie en nauwkeurigheid van inrichtingsprocessen.
  • Besparen op kosten die zijn gekoppeld aan het hosten en onderhouden van op maat gemaakte inrichtingsoplossingen en -scripts.
  • Beveiliging van uw organisatie door de identiteit van gebruikers direct te verwijderen uit belangrijke SaaS-apps wanneer ze de organisatie verlaten.
  • Eenvoudig een groot aantal gebruikers importeren in een bepaalde SaaS-toepassing of -systeem.
  • Beschikking over één set beleidsregels om te bepalen wie er wordt ingericht en wie zich kan aanmelden bij een app.

Het inrichten van Azure AD-gebruikers kan helpen bij het oplossen van deze uitdagingen. Lees de asos-casestudy voor meer informatie over hoe klanten azure AD-gebruikersinrichting hebben gebruikt. De volgende video biedt een overzicht van het inrichten van gebruikers in Azure AD.

Welke toepassingen en systemen kan ik gebruiken met automatische gebruikersinrichting van Azure AD?

Azure AD bevat vooraf geïntegreerde ondersteuning voor veel populaire SaaS-toepassingen en HR-systemen en algemene ondersteuning voor apps die specifieke onderdelen van de SCIM 2.0-standaard implementeren.

Hoe kan ik automatische inrichting instellen voor een toepassing?

Voor vooraf geïntegreerde toepassingen die in de galerie worden vermeld, zijn stapsgewijze instructies beschikbaar voor het instellen van automatische inrichting. Zie zelfstudies voor het integreren van SaaS-toepassingen met Azure Active Directory. De volgende video laat zien hoe u automatische gebruikersinrichting instelt voor SalesForce.

Voor andere toepassingen die SCIM 2.0 ondersteunen, volgt u de stappen in Het bouwen van een SCIM-eindpunt en configureert u het inrichten van gebruikers.

Volgende stappen