Conceitos do provisionamento de entrada orientado por API
Este documento fornece uma visão geral conceitual do provisionamento de usuário de entrada orientado pela API do Microsoft Entra.
Introdução
Hoje, as empresas têm vários sistemas de registro autoritativos. Para estabelecer o ciclo de vida da identidade de ponta a ponta, fortalecer a postura de segurança e manter-se em conformidade com os regulamentos, os dados de identidade no Microsoft Entra ID devem ser mantidos em sincronia com os dados da força de trabalho gerenciados nesses sistemas de registro. O sistema de registro pode ser um aplicativo de RH, um aplicativo de folha de pagamento, uma planilha ou tabelas SQL em um banco de dados hospedado localmente ou na nuvem.
Agora, com o provisionamento de entrada orientado pela API, o serviço de provisionamento do Microsoft Entra ID tem suporte para integração com qualquer sistema de registro. Os clientes e parceiros podem usar qualquer ferramenta de automação de sua escolha para recuperar os dados da força de trabalho do sistema de registro e ingeri-los no Microsoft Entra ID. O administrador de TI tem controle total sobre como os dados são processados e transformados com mapeamentos de atributos. Assim que os dados da força de trabalho estiverem disponíveis no Microsoft Entra ID, o administrador de TI poderá configurar os processos de negócios de integração, movimentação e desligamento apropriados usando os Fluxos de trabalho do ciclo de vida.
Cenários com suporte
Vários cenários de provisionamento de usuário de entrada são habilitados usando o provisionamento de entrada orientado por API. Esse diagrama demonstra os cenários mais comuns.
Cenário 1: permitir que as equipes de TI importem extratos de dados de RH usando qualquer ferramenta de automação
Arquivos simples, arquivos CSV e tabelas de preparo SQL são comumente usados em cenários de integração empresarial. Informações de funcionário, contratante e fornecedor são exportadas periodicamente para um desses formatos e uma ferramenta de automação é usada para sincronizar esses dados com diretórios de identidade corporativa. Com o provisionamento de entrada orientado por API, as equipes de TI podem usar qualquer ferramenta de automação de sua escolha (por exemplo: scripts do PowerShell ou Aplicativos Lógicos do Azure) para modernizar e simplificar essa integração.
Cenário 2: permitir que os ISVs criem integração direta com o Microsoft Entra ID
Com o provisionamento de entrada orientado pela API, os ISVs de RH podem enviar experiências de sincronização nativas para que as alterações no sistema de RH fluam automaticamente para o Microsoft Entra ID e para os domínios conectados do Active Directory no local. Por exemplo, um aplicativo de RH ou um aplicativo de sistemas de informações de alunos pode enviar dados para o Microsoft Entra ID assim que uma transação for concluída ou como atualização em massa no final do dia.
Cenário 3: permitir que os integradores de sistemas construam mais conectores para os sistemas de registro
Os parceiros podem criar conectores de RH personalizados para atender a diferentes requisitos de integração relacionados à fluxo de dados dos sistemas de registro para o Microsoft Entra ID.
Em todos os cenários acima, a integração é simplificada à medida que o serviço de provisionamento do Microsoft Entra assume a responsabilidade de executar a comparação de perfil de identidade, restringindo a sincronização de dados à lógica de escopo configurada pelo administrador de TI e executando o fluxo de atributo baseado em regra e a transformação gerenciada no Centro de administração do Microsoft Entra.
Fluxo de ponta a ponta
Etapas do fluxo de trabalho
- O administrador de TI configura um aplicativo de provisionamento de usuários de entrada orientado por API na galeria de aplicativos do Microsoft Entra Enterprise.
- O administrador de TI concede permissões de acesso e fornece os detalhes de acesso ao ponto de extremidade para o desenvolvedor/parceiro/integrador de sistemas da API.
- O desenvolvedor/parceiro/integrador de sistemas de API cria um cliente de API para enviar dados de identidade autoritativos para o Microsoft Entra ID.
- O cliente da API lê os dados de identidade da fonte autorizada.
- O cliente da API envia uma solicitação POST para o ponto de extremidade da API de provisionamento/bulkUpload associado ao aplicativo de provisionamento.
Observação
O cliente da API não precisa realizar nenhuma comparação entre os atributos de origem e os valores dos atributos de destino para determinar qual operação (criar/atualizar/habilitar/desabilitar) deve ser chamada. Isso é tratado automaticamente pelo serviço de provisionamento. O cliente de API simplesmente carrega os dados de identidade lidos do sistema de origem empacotando-os como solicitação em massa usando construtores de esquema SCIM.
- Se for bem-sucedido, um
Accepted 202 Status
será retornado. - O serviço de provisionamento do Microsoft Entra processa os dados recebidos, aplica as regras de mapeamento de atributo e conclui o provisionamento de usuário.
- Dependendo do aplicativo de provisionamento configurado, o usuário é provisionado no Active Directory local (para usuários híbridos) ou no Microsoft Entra ID (para usuários somente na nuvem).
- O Cliente de API então consulta o ponto de extremidade da API de logs de provisionamento para o status de cada registro enviado.
- Se o processamento de algum registro falhar, o cliente da API poderá verificar os detalhes do erro e incluir os registros correspondentes às operações que falharam na próxima solicitação em massa (etapa 5).
- A qualquer momento, o administrador de TI pode verificar o status do trabalho de provisionamento e exibir os eventos nos registros de provisionamento.
Principais recursos do provisionamento de usuários de entrada orientado por API
- Disponível como um aplicativo de provisionamento que expõe um ponto de extremidade da API de provisionamento assíncrono do Microsoft Graph /bulkUpload acessado usando um token OAuth válido.
- Os administradores de locatários devem conceder aos clientes de API que interagem com esse aplicativo de provisionamento a permissão
SynchronizationData-User.Upload
do Graph. - O ponto de extremidade da API do Graph aceita cargas úteis de solicitação em massa válidas usando construtores de esquema SCIM.
- Com as extensões de esquema SCIM, você pode enviar qualquer atributo no payload da solicitação em massa.
- O limite de taxa para a API de provisionamento de entrada é de 40 solicitações de upload em massa por segundo. Cada solicitação em massa pode conter um máximo de 50 registros de usuários, suportando assim uma taxa de carregamento de 2.000 registros por segundo.
- Cada ponto de extremidade da API está associado a um aplicativo de provisionamento específico no Microsoft Entra ID. Você pode integrar várias fontes de dados criando um aplicativo de provisionamento para cada fonte de dados.
- Os payloads da solicitação em massa recebidos são processados quase em tempo real.
- Os administradores podem verificar o progresso do provisionamento visualizando os logs de provisionamento.
- Os clientes de API podem acompanhar o progresso consultando a API de registros de provisionamento.
Requisitos de licença
Esse recurso está disponível nas licenças do Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Diretrizes de uso da API
O ponto de extremidade da API /bulkUpload
expande o número de maneiras pelas quais você pode gerenciar usuários no Microsoft Entra ID. Para ajudá-lo a determinar se o ponto de extremidade da API /bulkUpload
é adequado para seu cenário de integração, consulte esta tabela que a compara com outras opções de integração baseadas em API.
Usar o cenário de caso para mapeamento de API | API de criação de usuário | API em massa de entrada de RH | API de convite do usuário | API de atribuição direta |
---|---|---|---|---|
Quando o cenário de criação de identidade é... | Criação de usuário ad hoc no Microsoft Entra ID para um usuário não associado a nenhum trabalhador em uma fonte de RH | Fornecer registros de funcionários de uma fonte de RH autoritativa e você deseja que esses funcionários tenham contas de "membro" no Microsoft Entra ID ou no Active Directory local | Criação de usuário convidado ad hoc no Microsoft Entra ID, para fins de compartilhamento, em que o convidado tem direitos de acesso exclusivos | Atribuição de acesso para usuários existentes e criação de convidado (pré-visualização) no Microsoft Entra ID, para dar acesso padronizado ao novo convidado |
... usar a API... | Criar usuário | Executar bulkUpload. | Criar convite | Criar accessPackageAssignmentRequest |
O usuário resultante é criado pela primeira vez em... | Microsoft Entra ID | Active Directory local ou Microsoft Entra ID | Microsoft Entra ID | Microsoft Entra ID |
O usuário resultante autentica para... | Microsoft Entra ID, com a senha que você fornece | Active Directory local do Microsoft Entra ID, com uma Senha de Acesso Temporária fornecido pelos fluxos de trabalho do Ciclo de Vida do Entra | Locatário residencial ou outro provedor de identidade | Locatário residencial ou outro provedor de identidade |
As atualizações subsequentes para o usuário podem ser feitas por meio de | API do Graph ou centro de administração do Microsoft Entra | API do Graph ou API em massa de entrada de RH ou centro de administração do Microsoft Entra | API do Graph ou centro de administração do Microsoft Entra | API do Graph ou centro de administração do Microsoft Entra |
O ciclo de vida do usuário quando o seu emprego é iniciado, é determinado por... | Processos manuais | Integração de fluxos de trabalho do ciclo de vida do Entra que disparam com base no atributo employeeHireDate |
Gerenciamento de direitos | Atribuição automática usando pacotes de acesso de gerenciamento de direitos |
O ciclo de vida do usuário quando seu emprego é encerrado é determinado por... | Processos manuais | Remoção de fluxos de trabalho do ciclo de vida do Entra que disparam com base no atributo employeeLeaveDateTime |
Análises de acesso | O gerenciamento de direitos quando o usuário perde sua última atribuição de pacote de acesso, ele é removido |
Caminho de aprendizado recomendado
# | Objetivo de aprendizado | Diretrizes |
---|---|---|
1. | Você deseja saber mais sobre as especificações da API de provisionamento de entrada. | Confira a documentação de especificações da API /bulkUpload. |
2. | Você deseja se familiarizar ainda mais com os conceitos, cenários e limitações de provisionamento controlados por API. | Confira as Perguntas frequentes sobre o provisionamento de entrada controlado por API. |
3. | Como um Usuário administrador, você deseja testar rapidamente a API de provisionamento de entrada. | *Criar um aplicativo de provisionamento de entrada controlado por API * Testar a API usando o Graph Explorer |
4. | Com uma conta de serviço ou uma identidade gerenciada, você deseja testar rapidamente a API de provisionamento de entrada. | *Criar um aplicativo de provisionamento de entrada controlado por API *Conceder permissões de API * Testar a API usando cURL |
5. | Você deseja estender o aplicativo de provisionamento orientado por API para processar mais atributos personalizados. | Consulte o tutorial Estender o provisionamento controlado por API para sincronizar atributos personalizados |
6. | Você deseja automatizar o upload de dados do seu sistema de registro para o ponto de extremidade da API de provisionamento de entrada. | Consulte os tutoriais * Início rápido com o PowerShell * Início rápido com os Aplicativos Lógicos do Azure |
7. | Você deseja solucionar problemas de API de provisionamento de entrada | Consulte o guia de solução de problemas. |
Recursos de aprendizagem externos
O conteúdo a seguir, criado por nossos parceiros e MVPs da Microsoft, oferece orientação extra sobre como implantar e configurar o provisionamento controlado por API para vários cenários de integração.
Tutoriais em vídeo
- John Savill explica como funciona o provisionamento controlado por API
- Nick Ross, Microsoft MVP, explica como configurar o provisionamento controlado por API
- Nick Ross, Microsoft MVP, explica como obter dados de RH de um arquivo do Excel no SharePoint usando o Power Automate e o provisionamento controlado por API
- Série de 4 partes do IdentityXP no provisionamento controlado por API de parceiro da Microsoft
Postagens de blog, apresentações e outros links úteis
- Artigo do Microsoft MVP Pim Jacob explicando como executar o provisionamento controlado pela API de RH do Bamboo para o Active Directory local
- Apresentação do Microsoft MVP Pim Jacob sobre como configurar o processo de ingresso e saída usando fluxos de trabalho de provisionamento e ciclo de vida controlados por API
- Artigo do Microsoft MVP Marius Solbakken explicando como gerar dados do Excel usando script do PowerShell e provisionamento controlado por API
- Artigo de Suryendu Bhattacharyya sobre como invocar o provisionamento de condução de API usando o GitHub Action personalizado
- Modelo Bicep para provisionamento controlado por API do Microsoft MVP Jan Vidar Elven