Pojęcia dotyczące aprowizacji ruchu przychodzącego opartego na interfejsie API
Ten dokument zawiera koncepcyjne omówienie aprowizacji użytkowników przychodzących opartych na interfejsie API firmy Microsoft.
Wprowadzenie
Obecnie przedsiębiorstwa mają różne autorytatywne systemy rekordów. Aby ustanowić pełny cykl życia tożsamości, zwiększyć poziom zabezpieczeń i zachować zgodność z przepisami, dane tożsamości w identyfikatorze Entra firmy Microsoft muszą być zsynchronizowane z danymi pracowników zarządzanymi w tych systemach rekordów. System rekordów może być aplikacją kadrową, aplikacją płacową, arkuszem kalkulacyjnym lub tabelami SQL w bazie danych hostowanej lokalnie lub w chmurze.
W przypadku aprowizacji przychodzącej opartej na interfejsie API usługa aprowizacji firmy Microsoft obsługuje teraz integrację z dowolnym systemem rekordów. Klienci i partnerzy mogą użyć dowolnego wybranego narzędzia automatyzacji, aby pobrać dane pracowników z systemu rekordów i pozyskać je do identyfikatora Entra firmy Microsoft. Administrator IT ma pełną kontrolę nad sposobem przetwarzania i przekształcania danych za pomocą mapowań atrybutów. Gdy dane pracowników będą dostępne w identyfikatorze Entra firmy Microsoft, administrator IT może skonfigurować odpowiednie procesy biznesowe dołączania mover-leaver przy użyciu przepływów pracy cyklu życia.
Obsługiwane scenariusze
Kilka scenariuszy aprowizacji użytkowników przychodzących jest włączanych przy użyciu aprowizacji przychodzącej opartej na interfejsie API. Ten diagram przedstawia najbardziej typowe scenariusze.
Scenariusz 1. Umożliwienie zespołom IT importowania wyodrębniania danych HR przy użyciu dowolnego narzędzia automatyzacji
Pliki proste, pliki CSV i tabele przejściowe SQL są często używane w scenariuszach integracji przedsiębiorstwa. Informacje o pracownikach, wykonawcach i dostawcach są okresowo eksportowane do jednego z tych formatów, a narzędzie automatyzacji służy do synchronizowania tych danych z katalogami tożsamości przedsiębiorstwa. W przypadku aprowizacji przychodzącej opartej na interfejsie API zespoły IT mogą korzystać z dowolnego wybranego narzędzia automatyzacji (na przykład skryptów programu PowerShell lub usługi Azure Logic Apps), aby zmodernizować i uprościć tę integrację.
Scenariusz 2. Włączanie niezależnych dostawców oprogramowania do tworzenia bezpośredniej integracji z identyfikatorem Entra firmy Microsoft
W przypadku aprowizacji przychodzącej opartej na interfejsie API dostawcy niezależnych dostawców zasobów mogą dostarczać natywne środowiska synchronizacji, dzięki czemu zmiany w systemie HR automatycznie przepływają do identyfikatora Entra firmy Microsoft i połączonych domen lokalna usługa Active Directory. Na przykład aplikacja hr lub aplikacje systemów informacyjnych uczniów mogą wysyłać dane do identyfikatora Entra firmy Microsoft, gdy tylko transakcja zostanie ukończona lub jako aktualizacja zbiorcza na koniec dnia.
Scenariusz 3. Umożliwienie integratorom systemów tworzenia większej liczby łączników w systemach rekordów
Partnerzy mogą tworzyć niestandardowe łączniki kadr, aby spełnić różne wymagania dotyczące integracji dotyczące przepływu danych z systemów rekordu do identyfikatora Entra firmy Microsoft.
We wszystkich powyższych scenariuszach integracja jest uproszczona, ponieważ usługa aprowizacji firmy Microsoft przejmuje odpowiedzialność za porównywanie profilów tożsamości, ograniczenie synchronizacji danych do logiki określania zakresu skonfigurowanej przez administratora IT oraz wykonywanie przepływu atrybutów opartych na regułach i transformacji zarządzanej w centrum administracyjnym firmy Microsoft Entra.
Pełny przepływ
Kroki przepływu pracy
- Administracja IT konfiguruje aplikację aprowizacji użytkowników przychodzących sterowaną interfejsem API z galerii aplikacji Firmy Microsoft Entra Enterprise.
- Administracja IT udziela uprawnień dostępu i udostępnia szczegóły dostępu do punktu końcowego deweloperowi interfejsu API/partnerowi/integratorowi systemu.
- Deweloper interfejsu API/partner/integrator systemu tworzy klienta interfejsu API w celu wysyłania autorytatywnych danych tożsamości do identyfikatora Entra firmy Microsoft.
- Klient interfejsu API odczytuje dane tożsamości ze źródła autorytatywnego.
- Klient interfejsu API wysyła żądanie POST do aprowizacji punktu końcowego interfejsu API /bulkUpload skojarzonego z aplikacją aprowizacji.
Uwaga
Klient interfejsu API nie musi wykonywać żadnych porównań między atrybutami źródłowymi i wartościami atrybutów docelowych w celu określenia operacji (create/update/enable/disable) do wywołania. Jest to automatycznie obsługiwane przez usługę aprowizacji. Klient interfejsu API po prostu przekazuje dane tożsamości odczytane z systemu źródłowego, pakując je jako żądanie zbiorcze przy użyciu konstrukcji schematu SCIM.
- Jeśli operacja powiedzie się,
Accepted 202 Statuszostanie zwrócona wartość . - Usługa aprowizacji firmy Microsoft przetwarza odebrane dane, stosuje reguły mapowania atrybutów i kończy aprowizację użytkowników.
- W zależności od skonfigurowanej aplikacji aprowizacji użytkownik jest aprowizowany w lokalna usługa Active Directory (dla użytkowników hybrydowych) lub Microsoft Entra ID (dla użytkowników korzystających tylko z chmury).
- Następnie klient interfejsu API wysyła zapytanie do punktu końcowego interfejsu API dzienników aprowizacji pod kątem stanu każdego wysłanego rekordu.
- Jeśli przetwarzanie dowolnego rekordu zakończy się niepowodzeniem, klient interfejsu API może sprawdzić szczegóły błędu i dołączyć rekordy odpowiadające operacjom, które zakończyły się niepowodzeniem w następnym żądaniu zbiorczym (krok 5).
- W dowolnym momencie Administracja IT może sprawdzić stan zadania aprowizacji i wyświetlić zdarzenia w dziennikach aprowizacji.
Najważniejsze funkcje aprowizacji użytkowników przychodzących opartych na interfejsie API
- Dostępna jako aplikacja aprowizacji, która uwidacznia asynchroniczną aprowizację punktu końcowego interfejsu API bulkUpload /bulkUpload przy użyciu prawidłowego tokenu OAuth.
- Administratorzy dzierżawy muszą przyznać klientom interfejsu API interakcję z tą aplikacją aprowizacji uprawnienia
SynchronizationData-User.Uploadprogramu Graph. - Punkt końcowy interfejsu API programu Graph akceptuje prawidłowe ładunki żądań zbiorczych przy użyciu konstrukcji schematu SCIM.
- Za pomocą rozszerzeń schematu SCIM można wysłać dowolny atrybut w ładunku żądania zbiorczego.
- Limit szybkości dla interfejsu API aprowizacji dla ruchu przychodzącego to 40 żądań przekazywania zbiorczego na sekundę. Każde żądanie zbiorcze może zawierać maksymalnie 50 rekordów użytkowników, co umożliwia obsługę szybkości przekazywania 2000 rekordów na sekundę.
- Każdy punkt końcowy interfejsu API jest skojarzony z określoną aplikacją aprowizacji w identyfikatorze Entra firmy Microsoft. Możesz zintegrować wiele źródeł danych, tworząc aplikację aprowizacji dla każdego źródła danych.
- Przychodzące ładunki żądań zbiorczych są przetwarzane niemal w czasie rzeczywistym.
- Administracja może sprawdzić postęp aprowizacji, wyświetlając dzienniki aprowizacji.
- Klienci interfejsu API mogą śledzić postęp, wykonując zapytania dotyczące interfejsu API dzienników aprowizacji.
Wymagania dotyczące licencji
Ta funkcja jest dostępna w przypadku licencji microsoft Entra ID P1, P2 i Zarządzanie tożsamością Microsoft Entra. Aby znaleźć odpowiednią licencję na wymagania, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
Wskazówki dotyczące użycia interfejsu API
Punkt /bulkUpload końcowy interfejsu API rozszerza liczbę sposobów zarządzania użytkownikami w identyfikatorze Entra. Aby ułatwić określenie, czy punkt końcowy interfejsu /bulkUpload API jest odpowiedni dla danego scenariusza integracji, zapoznaj się z tą tabelą, która porównuje go z innymi opcjami integracji opartymi na interfejsie API.
| Mapowanie interfejsu API przy użyciu scenariusza przypadku | Interfejs API tworzenia użytkownika | Interfejs API ruchu przychodzącego dla ruchu przychodzącego | Interfejs API zaproszenia użytkownika | Interfejs API przypisania bezpośredniego |
|---|---|---|---|---|
| Gdy scenariusz tworzenia tożsamości jest... | Tworzenie użytkownika ad hoc w identyfikatorze Entra dla użytkownika, który nie jest skojarzony z żadnym procesem roboczym w źródle kadr | Określanie źródła autorytatywnego działu kadr dla pracowników i chcesz, aby ci pracownicy mieli konta "członka" w identyfikatorze Entra lub lokalna usługa Active Directory | Tworzenie użytkownika-gościa ad hoc w identyfikatorze Entra na potrzeby udostępniania, gdzie gość ma unikatowe prawa dostępu | Przypisanie dostępu dla istniejących użytkowników i (wersja zapoznawcza) tworzenia gościa w identyfikatorze Entra w celu udzielenia nowego standardowego dostępu gościa |
| ... użyj interfejsu API... | Tworzenie użytkownika | Wykonaj operację bulkUpload. | Tworzenie zaproszenia | Tworzenie elementu accessPackageAssignmentRequest |
| Wynikowy użytkownik jest najpierw tworzony w... | Identyfikator entra | Lokalny identyfikator usługi Active Directory lub entra | Identyfikator entra | Identyfikator entra |
| Wynikowy użytkownik uwierzytelnia się w... | Identyfikator entra z podasz hasło | Lokalna usługa Active Directory identyfikatora entra z tymczasowym dostępem przekazywanym przez przepływy pracy cyklu życia entra | Dzierżawa domowa lub inny dostawca tożsamości | Dzierżawa domowa lub inny dostawca tożsamości |
| Kolejne aktualizacje użytkownika można wykonać za pośrednictwem | Interfejs API programu Graph lub portal entra | Interfejs API programu Graph lub interfejs API ruchu przychodzącego dla ruchu przychodzącego lub portal entra | Interfejs API programu Graph lub portal entra | Interfejs API programu Graph lub portal entra |
| Cykl życia użytkownika po rozpoczęciu zatrudnienia jest określany przez... | Procesy ręczne | Entra onboarding Lifecycle workflows that trigger on based on employeeHireDate attribute (Entra onboarding Lifecycle workflows that trigger onboarding Lifecycle workflows that trigger on based on attribute) |
Zarządzanie upoważnieniami | Automatyczne przypisywanie przy użyciu pakietów dostępu do zarządzania upoważnieniami |
| Cykl życia użytkownika po zakończeniu zatrudnienia jest określany przez... | Procesy ręczne | Pobieranie przepływów pracy cyklu życia odłączania wyzwalanych na podstawie atrybutu employeeLeaveDateTime |
Przeglądy dostępu | Zarządzanie upoważnieniami po utracie ostatniego przypisania pakietu dostępu przez użytkownika zostaje usunięte |
Zalecana ścieżka szkoleniowa
| # | Cel szkolenia | Wskazówki |
|---|---|---|
| 1. | Chcesz dowiedzieć się więcej na temat specyfikacji interfejsu API aprowizacji dla ruchu przychodzącego. | Zapoznaj się z dokumentem specyfikacji interfejsu API /bulkUpload . |
| 2. | Chcesz zapoznać się z pojęciami, scenariuszami i ograniczeniami dotyczącymi aprowizacji opartej na interfejsie API. | Zapoznaj się z często zadawanymi pytaniami dotyczącymi aprowizacji przychodzącej opartej na interfejsie API. |
| 3. | Jako użytkownik Administracja chcesz szybko przetestować interfejs API aprowizacji ruchu przychodzącego. | * Tworzenie aplikacji inbound provisioning opartej na interfejsie API * Testowanie interfejsu API przy użyciu Eksploratora programu Graph |
| 4. | Za pomocą konta usługi lub tożsamości zarządzanej chcesz szybko przetestować interfejs API aprowizacji ruchu przychodzącego. | * Tworzenie aplikacji inbound provisioning opartej na interfejsie API * Udzielanie uprawnień interfejsu API * Testowanie interfejsu API przy użyciu narzędzia cURL lub Postman |
| 5. | Chcesz rozszerzyć aplikację aprowizacji opartą na interfejsie API, aby przetworzyć więcej atrybutów niestandardowych. | Zapoznaj się z samouczkiem Rozszerzanie aprowizacji opartej na interfejsie API w celu synchronizacji atrybutów niestandardowych |
| 6. | Chcesz zautomatyzować przekazywanie danych z systemu rekordów do punktu końcowego interfejsu API aprowizacji dla ruchu przychodzącego. | Zapoznaj się z samouczkami * Szybki start z programem PowerShell * Szybki start z usługą Azure Logic Apps |
| 7. | Chcesz rozwiązać problemy z interfejsem API aprowizacji ruchu przychodzącego | Zapoznaj się z przewodnikiem rozwiązywania problemów. |
Zasoby szkoleniowe zewnętrzne
Poniższa zawartość, utworzona przez naszych partnerów i dostawców MVP firmy Microsoft, oferuje dodatkowe wskazówki dotyczące wdrażania i konfigurowania aprowizacji opartej na interfejsie API w różnych scenariuszach integracji.
Samouczki wideo
- John Savill wyjaśnia , jak działa aprowizowanie oparte na interfejsie API
- Microsoft MVP Nick Ross wyjaśnia , jak skonfigurować aprowizację opartą na interfejsie API
- Microsoft MVP Nick Ross wyjaśnia , jak źródło danych HR z pliku programu Excel w programie SharePoint przy użyciu usługi Power Automate i aprowizacji opartej na interfejsie API
- Seria części programu Microsoft Partner IdentityXP 4 dotycząca aprowizacji opartej na interfejsie API
Wpisy w blogu, prezentacje i inne przydatne linki
- Artykuł Z konferencji Microsoft MVP Pim Jacob wyjaśniający, jak wykonywać aprowizację opartą na interfejsie API bamboo HR w celu lokalna usługa Active Directory
- Prezentacja programu Microsoft MVP Pim Jacoba na temat konfigurowania procesu dołączania i opuszczania przy użyciu przepływów pracy aprowizacji i cyklu życia opartego na interfejsie API
- Artykuł mVP firmy Microsoft Marius Solbakken wyjaśniający , jak pozyskiwać dane programu Excel przy użyciu skryptu programu PowerShell i aprowizacji opartej na interfejsie API
- Artykuł Suryendu Bhattacharyya dotyczący sposobu wywoływania aprowizacji opartej na interfejsie API przy użyciu niestandardowej akcji usługi GitHub
- Szablon Bicep programu Microsoft MVP Jan Vidar Elven na potrzeby aprowizacji opartej na interfejsie API