Conceitos de provisionamento de entrada orientados por API
Este documento fornece uma visão geral conceitual do provisionamento de usuário de entrada orientado pela API do Microsoft Entra.
Introdução
Hoje em dia, as empresas dispõem de vários sistemas de registo autorizados. Para estabelecer o ciclo de vida de identidade de ponta a ponta, fortalecer a postura de segurança e permanecer em conformidade com as regulamentações, os dados de identidade no Microsoft Entra ID devem ser mantidos em sincronia com os dados da força de trabalho gerenciados nesses sistemas de registro. O sistema de registro pode ser um aplicativo de RH, um aplicativo de folha de pagamento, uma planilha ou tabelas SQL em um banco de dados hospedado no local ou na nuvem.
Com o provisionamento de entrada orientado por API, o serviço de provisionamento Microsoft Entra agora oferece suporte à integração com qualquer sistema de registro. Os clientes e parceiros podem usar qualquer ferramenta de automação de sua escolha para recuperar dados da força de trabalho do sistema de registro e ingeri-los no Microsoft Entra ID. O administrador de TI tem controle total sobre como os dados são processados e transformados com mapeamentos de atributos. Assim que os dados da força de trabalho estiverem disponíveis no Microsoft Entra ID, o administrador de TI poderá configurar os processos de negócios apropriados usando os Fluxos de Trabalho do Ciclo de Vida.
Cenários suportados
Vários cenários de provisionamento de usuário de entrada são habilitados usando o provisionamento de entrada controlado por API. Este diagrama demonstra os cenários mais comuns.
Cenário 1: Permitir que as equipes de TI importem extrações de dados de RH usando qualquer ferramenta de automação
Arquivos simples, arquivos CSV e tabelas de preparo SQL são comumente usados em cenários de integração empresarial. As informações de funcionários, contratantes e fornecedores são exportadas periodicamente para um desses formatos e uma ferramenta de automação é usada para sincronizar esses dados com diretórios de identidade corporativa. Com o provisionamento de entrada orientado por API, as equipes de TI podem usar qualquer ferramenta de automação de sua escolha (por exemplo: scripts do PowerShell ou Aplicativos Lógicos do Azure) para modernizar e simplificar essa integração.
Cenário 2: Habilitar ISVs para criar integração direta com o Microsoft Entra ID
Com o provisionamento de entrada orientado por API, os ISVs de RH podem enviar experiências de sincronização nativas para que as alterações no sistema de RH fluam automaticamente para o ID do Microsoft Entra e para domínios do Ative Directory locais conectados. Por exemplo, um aplicativo de RH ou um aplicativo de sistemas de informações para estudantes pode enviar dados para o Microsoft Entra ID assim que uma transação for concluída ou como atualização em massa no final do dia.
Cenário 3: Permitir que os integradores de sistemas criem mais conectores para sistemas de registro
Os parceiros podem criar conectores de RH personalizados para atender a diferentes requisitos de integração em torno do fluxo de dados de sistemas de registro para o Microsoft Entra ID.
Em todos os cenários acima, a integração é simplificada à medida que o serviço de provisionamento do Microsoft Entra assume a responsabilidade de executar a comparação de perfil de identidade, restringir a sincronização de dados à lógica de escopo configurada pelo administrador de TI e executar o fluxo de atributos baseado em regras e a transformação gerenciada no centro de administração do Microsoft Entra.
Fluxo de ponta a ponta
Etapas do fluxo de trabalho
- O administrador de TI configura um aplicativo de provisionamento de usuário de entrada orientado por API na galeria do Microsoft Entra Enterprise App.
- O administrador de TI concede permissões de acesso e fornece detalhes de acesso ao endpoint para o desenvolvedor/parceiro/integrador de sistemas da API.
- O desenvolvedor/parceiro/integrador de sistema da API cria um cliente de API para enviar dados de identidade autoritativos para o ID do Microsoft Entra.
- O cliente de API lê dados de identidade da fonte autorizada.
- O cliente da API envia uma solicitação POST para o ponto de extremidade da API de provisionamento /bulkUpload associado ao aplicativo de provisionamento.
Nota
O cliente de API não precisa realizar comparações entre os atributos de origem e os valores de atributo de destino para determinar qual operação (criar/atualizar/habilitar/desabilitar) invocar. Isso é tratado automaticamente pelo serviço de provisionamento. O cliente de API simplesmente carrega os dados de identidade lidos do sistema de origem, empacotando-os como solicitação em massa usando construções de esquema SCIM.
- Se for bem-sucedido, um
Accepted 202 Statusserá retornado. - O serviço de provisionamento do Microsoft Entra processa os dados recebidos, aplica as regras de mapeamento de atributos e conclui o provisionamento do usuário.
- Dependendo do aplicativo de provisionamento configurado, o usuário é provisionado no Ative Directory local (para usuários híbridos) ou no Microsoft Entra ID (para usuários somente na nuvem).
- Em seguida, o Cliente de API consulta o ponto de extremidade da API de logs de provisionamento para obter o status de cada registro enviado.
- Se o processamento de qualquer registro falhar, o cliente de API poderá verificar os detalhes do erro e incluir registros correspondentes às operações com falha na próxima solicitação em massa (etapa 5).
- A qualquer momento, o administrador de TI pode verificar o status do trabalho de provisionamento e exibir eventos nos logs de provisionamento.
Principais recursos do provisionamento de usuário de entrada orientado por API
- Disponível como um aplicativo de provisionamento que expõe um ponto de extremidade assíncrono da API de provisionamento /bulkUpload do Microsoft Graph acessado usando token OAuth válido.
- Os administradores de locatários devem conceder aos clientes de API que interagem com esse aplicativo de provisionamento a permissão
SynchronizationData-User.UploadGraph. - O ponto de extremidade da API do Graph aceita cargas úteis de solicitação em massa válidas usando construções de esquema SCIM.
- Com as extensões de esquema SCIM, você pode enviar qualquer atributo na carga útil de solicitação em massa.
- O limite de taxa para a API de provisionamento de entrada é de 40 solicitações de upload em massa por segundo. Cada solicitação em massa pode conter um máximo de 50 registros de usuário, suportando assim uma taxa de upload de 2000 registros por segundo.
- Cada ponto de extremidade da API está associado a um aplicativo de provisionamento específico na ID do Microsoft Entra. Você pode integrar várias fontes de dados criando um aplicativo de provisionamento para cada fonte de dados.
- As cargas úteis recebidas em massa são processadas quase em tempo real.
- Os administradores podem verificar o progresso do provisionamento exibindo os logs de provisionamento.
- Os clientes de API podem acompanhar o progresso consultando a API de logs de provisionamento.
Requisitos de licença
Este recurso está disponível com as licenças Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.
Diretrizes de uso da API
O /bulkUpload ponto de extremidade da API expande o número de maneiras pelas quais você pode gerenciar usuários no Entra ID. Para ajudá-lo a determinar se o ponto de extremidade da /bulkUpload API é adequado para o seu cenário de integração, consulte esta tabela que o compara com outras opções de integração baseadas em API.
| Cenário de caso de uso para mapeamento de API | API de criação de usuários | API em massa de entrada de RH | API de convite do usuário | API de atribuição direta |
|---|---|---|---|---|
| Quando o seu cenário de criação de identidade é... | Criação de usuário ad-hoc no Entra ID para um usuário não associado a nenhum trabalhador em uma fonte de RH | Fornecer registros de funcionários de uma fonte de RH autorizada e você deseja que esses funcionários tenham contas de "membro" no Entra ID ou no Ative Directory local | Criação de usuário convidado ad-hoc no Entra ID, para fins de compartilhamento, onde o convidado tem direitos de acesso exclusivos | Atribuição de acesso para usuários existentes e (visualização) criação de convidados no Entra ID, para dar ao novo convidado acesso padronizado |
| ... use a API... | Criar utilizador | Execute bulkUpload. | Criar convite | Criar accessPackageAssignmentRequest |
| O usuário resultante é criado pela primeira vez em... | Entra ID | Ative Directory local ou ID do Entra | Entra ID | Entra ID |
| O usuário resultante se autentica em... | Entra ID, com a palavra-passe que fornecer | Ative Directory local do Entra ID, com um Passe de Acesso Temporário fornecido pelos fluxos de trabalho do Entra Lifecycle | Inquilino residencial ou outro fornecedor de identidade | Inquilino residencial ou outro fornecedor de identidade |
| Atualizações subsequentes para o usuário podem ser feitas via | Graph API ou portal Entra | API gráfica ou API em massa de entrada de RH ou portal Entra | Graph API ou portal Entra | Graph API ou portal Entra |
| O ciclo de vida do usuário quando seu emprego começa, é determinado por... | Processos manuais | Fluxos de trabalho do ciclo de vida de integração do Entra que são acionados com base no employeeHireDate atributo |
Gestão de direitos | Atribuição automática usando pacotes de acesso de gerenciamento de direitos |
| O ciclo de vida do usuário quando seu emprego é encerrado é determinado por... | Processos manuais | Entra fluxos de trabalho do ciclo de vida offboarding que são acionados com base no employeeLeaveDateTime atributo |
Revisões de acesso | Gerenciamento de direitos Quando o usuário perde sua última atribuição de pacote de acesso, ele é removido |
Percurso de aprendizagem recomendado
| # | Objetivo de aprendizagem | Orientação |
|---|---|---|
| 1. | Você deseja saber mais sobre as especificações da API de provisionamento de entrada. | Consulte o documento de especificações da API /bulkUpload . |
| 2. | Você deseja se familiarizar mais com os conceitos, cenários e limitações de provisionamento orientados por API. | Consulte Perguntas frequentes sobre provisionamento de entrada orientado por API. |
| 3. | Como usuário Admin, você deseja testar rapidamente a API de provisionamento de entrada. | * Criar aplicativo de provisionamento de entrada orientado por API * API de teste usando o Graph Explorer |
| 4. | Com uma conta de serviço ou identidade gerenciada, você deseja testar rapidamente a API de provisionamento de entrada. | * Criar aplicativo de provisionamento de entrada orientado por API * Conceder permissões de API * API de teste usando cURL ou Postman |
| 5. | Você deseja estender o aplicativo de provisionamento controlado por API para processar mais atributos personalizados. | Consulte o tutorial Estender o provisionamento controlado por API para sincronizar atributos personalizados |
| 6. | Você deseja automatizar o upload de dados do seu sistema de registro para o ponto de extremidade da API de provisionamento de entrada. | Consulte os tutoriais * Início rápido com o PowerShell * Início rápido com os Aplicativos Lógicos do Azure |
| 7. | Você deseja solucionar problemas de API de provisionamento de entrada | Consulte o Guia de solução de problemas. |
Recursos de aprendizagem externos
O conteúdo a seguir, criado por nossos parceiros e MVPs da Microsoft, oferece orientação extra sobre como implantar e configurar o provisionamento controlado por API para vários cenários de integração.
Tutoriais de vídeo
- John Savill explica como funciona o provisionamento orientado por API
- Nick Ross, MVP da Microsoft, explica como configurar o provisionamento controlado por API
- Nick Ross, MVP da Microsoft, explica como obter dados de RH de um arquivo do Excel no SharePoint usando o Power Automate e o provisionamento orientado por API
- Série de 4 partes do parceiro Microsoft IdentityXP sobre provisionamento controlado por API
Entradas de blogue, apresentações e outras ligações úteis
- Artigo do Microsoft MVP Pim Jacob explicando como executar o provisionamento orientado por API do Bamboo HR para o Ative Directory local
- Apresentação do Microsoft MVP Pim Jacob sobre como configurar o processo de marceneiro e leaver usando provisionamento orientado por API e fluxos de trabalho de ciclo de vida
- Artigo do Microsoft MVP Marius Solbakken explicando como originar dados do Excel usando script do PowerShell e provisionamento controlado por API
- Artigo de Suryendu Bhattacharyya sobre como invocar o provisionamento de condução de API usando a ação personalizada do GitHub
- Modelo Bicep do Microsoft MVP jan Vidar Elven para provisionamento controlado por API