Co to jest aprowizacja?

Aprowizowanie i anulowanie aprowizacji to procesy zapewniające spójność tożsamości cyfrowych w wielu systemach. Te procesy są zwykle używane w ramach zarządzania cyklem życia tożsamości.

Aprowizowanie to procesy tworzenia tożsamości w systemie docelowym na podstawie określonych warunków. Anulowanie aprowizacji to proces usuwania tożsamości z systemu docelowego, gdy warunki nie są już spełnione. Synchronizacja to proces aktualizowania aprowizowanego obiektu, tak aby obiekt źródłowy i obiekt docelowy był podobny.

Na przykład gdy nowy pracownik dołączy do organizacji, ten pracownik zostanie wprowadzony do systemu kadr. W tym momencie aprowizowanie z działu kadr do identyfikatora Entra firmy Microsoft może utworzyć odpowiednie konto użytkownika w usłudze Microsoft Entra ID. Aplikacje, które wysyłają zapytanie do identyfikatora Entra firmy Microsoft, mogą zobaczyć konto dla tego nowego pracownika. Jeśli istnieją aplikacje, które nie korzystają z identyfikatora Entra firmy Microsoft, aprowizowanie z identyfikatora Entra firmy Microsoft do baz danych tych aplikacji gwarantuje, że użytkownik będzie mógł uzyskać dostęp do wszystkich aplikacji, do których użytkownik potrzebuje dostępu. Ten proces umożliwia użytkownikowi rozpoczęcie pracy i uzyskanie dostępu do aplikacji i systemów, których potrzebują pierwszego dnia. Podobnie, gdy ich właściwości, takie jak ich dział lub status zatrudnienia, zmienią się w systemie kadr, synchronizacja tych aktualizacji z systemu KADR do identyfikatora Entra firmy Microsoft, a także innych aplikacji i docelowych baz danych, zapewnia spójność.

Microsoft Entra ID obecnie udostępnia trzy obszary automatycznej aprowizacji. Są to:

• Aprowizowanie z zewnętrznego systemu autorytatywnego rekordu do identyfikatora Entra firmy Microsoft za pośrednictwem aprowizacji opartej na hr
• Aprowizowanie z identyfikatora Entra firmy Microsoft do aplikacji za pośrednictwem aprowizacji aplikacji
• Aprowizowanie między identyfikatorem Entra firmy Microsoft i usługami domena usługi Active Directory za pośrednictwem aprowizacji między katalogami

Aprowizowanie oparte na hr

Aprowizowanie z działu kadr do identyfikatora Entra firmy Microsoft obejmuje tworzenie obiektów, zazwyczaj tożsamości użytkowników reprezentujących każdego pracownika, ale w niektórych przypadkach inne obiekty reprezentujące działy lub inne struktury na podstawie informacji znajdujących się w systemie kadr.

Najbardziej typowym scenariuszem jest to, że gdy nowy pracownik dołączy do firmy, zostanie wprowadzony do systemu KADR. Po takim wystąpieniu użytkownicy są automatycznie aprowizowani jako nowy użytkownik w usłudze Microsoft Entra ID bez konieczności zaangażowania administracyjnego dla każdego nowego pracownika. Ogólnie rzecz biorąc, aprowizowanie z działu kadr może obejmować następujące scenariusze.

• Zatrudnianie nowych pracowników — po dodaniu nowego pracownika do systemu kadr konto użytkownika jest automatycznie tworzone w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i opcjonalnie w katalogach dla innych aplikacji obsługiwanych przez identyfikator Firmy Microsoft Entra z zapisem zwrotnym adresu e-mail do systemu KADR.
• Aktualizacje atrybutu pracownika i profilu — po zaktualizowaniu rekordu pracownika w tym systemie kadr (takim jak nazwa, tytuł lub menedżer) konto użytkownika zostanie automatycznie zaktualizowane w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i opcjonalnie innych aplikacjach obsługiwanych przez identyfikator Firmy Microsoft Entra.
• Kończenie pracy pracowników — po zakończeniu pracy pracownika w dziale kadr konto użytkownika jest automatycznie blokowane przed zalogowaniem się lub usunięciem w usłudze Active Directory, identyfikatorze Entra firmy Microsoft i w innych aplikacjach.
• Zmiana środowiska pracowników — gdy pracownik zostanie ponownie uruchomiony w chmurze HR, ich stare konto może zostać automatycznie ponownie aktywowane lub ponownie aprowidowane (w zależności od preferencji).

Istnieją trzy opcje wdrażania aprowizacji opartej na hr za pomocą identyfikatora Entra firmy Microsoft:

1. W przypadku organizacji z pojedynczą subskrypcją produktu Workday lub SuccessFactors i nie używaj usługi Active Directory
2. W przypadku organizacji z pojedynczą subskrypcją produktu Workday lub SuccessFactors oraz mają zarówno identyfikator Active Directory, jak i Microsoft Entra ID
3. W przypadku organizacji z wieloma systemami KADR lub lokalnym systemem kadrowym, takim jak SAP, Oracle eBusiness lub Osoby Soft

Aby uzyskać więcej informacji, zobacz Co to jest aprowizowanie oparte na hr?

Aprowizowanie aplikacji

W usłudze Microsoft Entra ID termin aprowizacja aplikacji odnosi się do automatycznego tworzenia kopii tożsamości użytkowników w aplikacjach, do których użytkownicy potrzebują dostępu, w przypadku aplikacji, które mają własny magazyn danych, różniący się od identyfikatora Entra firmy Microsoft lub usługi Active Directory. Oprócz tworzenia tożsamości użytkowników aprowizacja aplikacji obejmuje konserwację i usuwanie tożsamości użytkowników z tych aplikacji w miarę zmiany stanu lub ról użytkownika. Typowe scenariusze obejmują aprowizowanie użytkownika firmy Microsoft Entra w aplikacjach, takich jak Dropbox, Salesforce, ServiceNow, ponieważ każde z tych aplikacji ma własne repozytorium użytkownika odrębne od identyfikatora Microsoft Entra.

Microsoft Entra ID obsługuje również aprowizowanie użytkowników w aplikacjach hostowanych lokalnie lub na maszynie wirtualnej bez konieczności otwierania zapór. Jeśli aplikacja obsługuje protokół SCIM lub utworzono bramę SCIM w celu nawiązania połączenia ze starszą aplikacją, możesz użyć agenta aprowizacji firmy Microsoft w celu bezpośredniego nawiązania połączenia z aplikacją i zautomatyzowania aprowizacji i anulowania aprowizacji. Jeśli masz starsze aplikacje, które nie obsługują protokołu SCIM i korzystają z magazynu użytkowników LDAP lub bazy danych SQL albo mają interfejs API SOAP lub REST, identyfikator Entra firmy Microsoft może również je obsługiwać.

Aby uzyskać więcej informacji, zobacz Co to jest aprowizowanie aplikacji?

Aprowizowanie między katalogami

Wiele organizacji korzysta zarówno z usług Active Directory, jak i Microsoft Entra ID, i może mieć aplikacje połączone z usługą Active Directory, takie jak lokalne serwery plików.

Ponieważ wiele organizacji historycznie wdrożyło lokalną aprowizację opartą na kadrach, mogą już mieć tożsamości użytkowników dla wszystkich swoich pracowników w usłudze Active Directory. Najczęstszym scenariuszem aprowizacji między katalogami jest to, że użytkownik już w usłudze Active Directory jest aprowizowany do identyfikatora Entra firmy Microsoft. Ta aprowizacja jest zwykle realizowana przez usługę Microsoft Entra Połączenie Sync lub Microsoft Entra Połączenie aprowizacji w chmurze.

Ponadto organizacje mogą chcieć również aprowizować systemy lokalne z identyfikatora Entra firmy Microsoft. Na przykład organizacja mogła wprowadzić gości do katalogu Microsoft Entra, ale ci goście będą potrzebować dostępu do lokalnych aplikacji internetowych opartych na zintegrowanym uwierzytelnianiu systemu Windows (WIA) za pośrednictwem serwera proxy aplikacji. Ten scenariusz wymaga aprowizacji lokalnych kont usługi AD dla tych użytkowników w usłudze Microsoft Entra ID.

Aby uzyskać więcej informacji, zobacz Co to jest aprowizowanie między katalogami?

Następne kroki

• Co to jest zarządzanie cyklem życia tożsamości?
• Co to jest aprowizacja oparta na hr?
• Co to jest aprowizowanie aplikacji?
• Co to jest aprowizowanie między katalogami?