Wat is app-inrichting in Microsoft Entra ID?
In Microsoft Entra ID verwijst de term app-inrichting naar het automatisch maken van gebruikersidentiteiten en -rollen voor toepassingen.
Microsoft Entra-toepassingsinrichting verwijst naar het automatisch maken van gebruikersidentiteiten en -rollen in de toepassingen waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Veelvoorkomende scenario's zijn het inrichten van een Microsoft Entra-gebruiker in SaaS-toepassingen zoals Dropbox, Salesforce, ServiceNow en nog veel meer.
Microsoft Entra ID biedt ook ondersteuning voor het inrichten van gebruikers in toepassingen die on-premises of op een virtuele machine worden gehost, zonder dat er firewalls hoeven te worden geopend. De onderstaande tabel bevat een toewijzing van protocollen aan ondersteunde connectors.
Protocol | Connector |
---|---|
SCIM | SCIM - SaaS SCIM - on-premises / particulier netwerk |
LDAP | LDAP |
SQL | SQL |
REST | Webservices |
SOAP | Webservices |
Plat bestand | Powershell |
Aanpassen | Aangepaste ECMA-connectors Connectors en gateways die zijn gebouwd door partners |
- Automatisch inrichten automatiseren: maak automatisch nieuwe accounts in de juiste systemen voor nieuwe personen wanneer ze lid worden van uw team of organisatie.
- Inrichting ongedaan maken automatiseren: Schakel accounts automatisch uit in de juiste systemen wanneer mensen het team of de organisatie verlaten.
- Gegevens synchroniseren tussen systemen: houd de identiteiten in apps en systemen up-to-date op basis van wijzigingen in het directory- of human resources-systeem.
- Groepen inrichten: Richt groepen in voor toepassingen die deze ondersteunen.
- Toegang beheren: gebruikers bewaken en controleren die zijn ingericht in toepassingen.
- Naadloos implementeren in brownfield-scenario's: Vergelijk bestaande identiteiten tussen systemen en sta eenvoudige integratie toe, zelfs wanneer gebruikers al bestaan in het doelsysteem.
- Uitgebreide aanpassing gebruiken: Profiteer van aanpasbare toewijzingen van kenmerken, waarmee wordt gedefinieerd welke gebruikersgegevens van het bronsysteem naar het doelsysteem moeten stromen.
- Waarschuwingen krijgen voor kritieke gebeurtenissen: De inrichtingsservice geeft waarschuwingen voor kritieke gebeurtenissen en maakt integratie van Log Analytics mogelijk. Hiermee kunt u aangepaste waarschuwingen definiëren voor de behoeften van uw bedrijf.
Wat is SCIM?
Om te helpen bij het automatiseren van de inrichting of het ongedaan maken van de inrichting, maken apps gebruik van eigen gebruikers-API’s en groeps-API’s. Gebruikersbeheer in meer dan één app is een uitdaging omdat elke app probeert dezelfde acties uit te voeren. Bijvoorbeeld het maken of bijwerken van gebruikers, het toevoegen van gebruikers aan groepen of het ongedaan maken van de inrichting van gebruikers. Ontwikkelaars implementeren deze acties vaak iets anders. Als u bijvoorbeeld verschillende eindpuntpaden gebruikt, verschillende methoden om gebruikersgegevens op te geven en een ander schema om elk element van informatie weer te geven.
Om deze uitdagingen aan te pakken, biedt de SCIM-specificatie (System for Cross-domain Identity Management) een gemeenschappelijk gebruikersschema om gebruikers van apps te helpen bij het toevoegen, verwijderen en verplaatsen. SCIM wordt de standaard voor het inrichten en, wanneer het wordt gebruikt in combinatie met federatiestandaarden zoals SAML (Security Assertions Markup Language) of OIDC (OpenID Connect), biedt het beheerders een end-to-end, op standaarden gebaseerde oplossing voor toegangsbeheer.
Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor gedetailleerde richtlijnen over het ontwikkelen van een SCIM-eindpunt voor het automatiseren van het inrichten en het ongedaan maken van de inrichting van gebruikers en groepen in een toepassing. Veel toepassingen kunnen rechtstreeks worden geïntegreerd met Microsoft Entra ID. Enkele voorbeelden zijn Slack, Azure Databricks en Snowflake. Voor deze apps slaat u de documentatie voor ontwikkelaars over en gebruikt u de zelfstudies in zelfstudies voor het integreren van SaaS-toepassingen met Microsoft Entra ID.
Handmatige en automatische inrichting
Toepassingen in de Microsoft Entra-galerie ondersteunen een van de twee inrichtingsmodi:
- Handmatig inrichten betekent dat er nog geen automatische Microsoft Entra-inrichtingsconnector voor de app is. U moet ze handmatig maken. Bijvoorbeeld door gebruikers rechtstreeks toe te voegen aan de beheerportal van de app of een spreadsheet met gegevens van een gebruikersaccount te uploaden. Raadpleeg de documentatie van de app of neem contact op met de app-ontwikkelaar om te bepalen welke mechanismen beschikbaar zijn.
- Automatisch betekent dat een Microsoft Entra-inrichtingsconnector beschikbaar is voor deze toepassing. U moet de specifieke zelfstudie volgen om inrichting voor de toepassing in te stellen. Zoek de app-zelfstudies in zelfstudies voor het integreren van SaaS-toepassingen met Microsoft Entra ID.
De inrichtingsmodus die door een toepassing wordt ondersteund, wordt ook weergegeven op het tabblad Inrichting nadat u de toepassing hebt toegevoegd aan uw bedrijfsapps.
Voordelen van automatische inrichting
Het aantal toepassingen dat wordt gebruikt in moderne organisaties blijft groeien. Als IT-beheerder moet u toegangsbeheer op schaal beheren. U gebruikt standaarden zoals SAML of OIDC voor eenmalige aanmelding (SSO), maar voor toegang moet u ook gebruikers inrichten in een app. U kunt denken dat het inrichten betekent dat u elke week handmatig elk gebruikersaccount maakt of CSV-bestanden uploadt. Deze processen zijn tijdrovend, duur en foutgevoelig. Gebruik SAML Just-In-Time (JIT) om het inrichten te automatiseren om het proces te stroomlijnen. Gebruik hetzelfde proces om de inrichting van gebruikers ongedaan te maken wanneer ze de organisatie verlaten of geen toegang meer nodig hebben tot bepaalde apps op basis van rolwijziging.
Enkele veelvoorkomende motivaties voor het gebruik van automatische inrichting zijn:
- Maximale efficiëntie en nauwkeurigheid van inrichtingsprocessen.
- Besparen op kosten die zijn gekoppeld aan het hosten en onderhouden van op maat gemaakte inrichtingsoplossingen en -scripts.
- Beveiliging van uw organisatie door de identiteit van gebruikers direct te verwijderen uit belangrijke SaaS-apps wanneer ze de organisatie verlaten.
- Eenvoudig een groot aantal gebruikers importeren in een bepaalde SaaS-toepassing of -systeem.
- Eén set beleidsregels om ingerichte gebruikers te bepalen die zich kunnen aanmelden bij een app.
Microsoft Entra-inrichting van gebruikers kan helpen deze uitdagingen aan te pakken. Lees de asos-casestudy voor meer informatie over hoe klanten microsoft Entra-gebruikersinrichting gebruiken. De volgende video biedt een overzicht van het inrichten van gebruikers in Microsoft Entra ID.
Welke toepassingen en systemen kan ik gebruiken met automatische gebruikersinrichting van Microsoft Entra?
Microsoft Entra biedt vooraf geïntegreerde ondersteuning voor veel populaire SaaS-apps en human resources-systemen, en algemene ondersteuning voor apps die specifieke onderdelen van de SCIM 2.0-standaard implementeren.
Vooraf geïntegreerde toepassingen (galerie SaaS-apps): u vindt alle toepassingen waarvoor Microsoft Entra ID een vooraf geïntegreerde inrichtingsconnector ondersteunt in zelfstudies voor het integreren van SaaS-toepassingen met Microsoft Entra ID. De vooraf geïntegreerde toepassingen die in de galerie worden vermeld, maken doorgaans gebruik van OP SCIM 2.0 gebaseerde API's voor gebruikersbeheer voor inrichting.
Zie Een aanvraag indienen om uw toepassing te publiceren in de galerie met Microsoft Entra-toepassingen om een nieuwe toepassing aan te vragen voor inrichting. Voor een aanvraag voor gebruikersinrichting moet de toepassing een SCIM-compatibel eindpunt hebben. Vraag of de leverancier van de toepassing de SCIM-standaard volgt, zodat we de app snel naar ons platform kunnen onboarden.
Toepassingen die SCIM 2.0 ondersteunen: Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor meer algemene informatie over het verbinden van toepassingen die op SCIM 2.0 gebaseerde API's voor gebruikersbeheer implementeren.
Toepassingen die gebruikmaken van een bestaande map of database, of een inrichtingsinterface bieden: zie zelfstudies voor het inrichten van LDAP-directory , een SQL-database , een REST- of SOAP-interface , of kan worden bereikt via PowerShell, een aangepaste ECMA-connector of -connectors en gateways die zijn gebouwd door partners.
Toepassingen die Just-In-Time-inrichting via SAML ondersteunen.
Hoe kan ik automatische inrichting instellen voor een toepassing?
Voor vooraf geïntegreerde toepassingen die worden vermeld in de galerie, gebruikt u bestaande stapsgewijze richtlijnen voor het instellen van automatische inrichting. Zie zelfstudies voor het integreren van SaaS-toepassingen met Microsoft Entra ID. In de volgende video ziet u hoe u automatische inrichting van gebruikers instelt voor SalesForce.
Voor andere toepassingen die SCIM 2.0 ondersteunen, volgt u de stappen in Een SCIM-eindpunt bouwen en gebruikersinrichting configureren.