Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлены решения, позволяющие выполнять следующие действия.
- Подключение идентичностей к системе учета
- Синхронизация идентичностей между доменными службами Active Directory (AD DS) и Microsoft Entra ID
- Автоматизация подготовки пользователей в приложениях, отличных от Майкрософт
Подключение идентичностей к системе учета
В большинстве проектов HR-система является источником авторитетности для новых цифровых идентификаторов. Система кадров часто является отправной точкой для многих процессов подготовки. Например, если новый пользователь присоединяется к компании, у них есть запись в системе кадров. Этот пользователь, вероятно, должен иметь учетную запись для доступа к службам Microsoft 365, таким как Teams и SharePoint, или приложениям, отличным от Майкрософт.
Синхронизация идентификаций с облачной системой управления кадрами
Служба предоставления Microsoft Entra позволяет организациям импортировать учетные данные из популярных систем управления персоналом (например, Workday и SuccessFactors) непосредственно в Microsoft Entra ID или в AD DS. Эта возможность предоставления позволяет новым сотрудникам получать доступ к ресурсам, необходимым начиная с первого рабочего дня.
Локальное управление персоналом и присоединение нескольких источников данных
Чтобы создать полный профиль пользователя для удостоверения сотрудника, организации часто объединяют информацию из нескольких систем управления персоналом, баз данных и других хранилищ данных пользователей. MIM предоставляет широкий набор соединителей и решений интеграции, взаимодействующих с разнородными платформами как в локальной среде, так и в облаке.
MIM предлагает возможности расширения правил и рабочих процессов для расширенных сценариев, требующих преобразования данных и консолидации из нескольких источников. Эти соединители, расширения правил и возможности рабочего процесса позволяют организациям агрегировать пользовательские данные в метавселенной MIM для формирования единого удостоверения для каждого пользователя. Идентификацию можно интегрировать в дочерние системы, такие как AD DS.
Синхронизация идентичностей между доменными службами Active Directory (AD DS) и Microsoft Entra ID
По мере перемещения приложений в облако и интеграции с идентификатором Microsoft Entra пользователи часто нуждаются в учетных записях в идентификаторе Microsoft Entra и Microsoft Windows Server Active Directory для доступа к приложениям для их работы. Ниже приведены пять распространенных сценариев, в которых объекты должны быть синхронизированы между Microsoft Windows Server Active Directory и идентификатором Microsoft Entra.
Сценарии делятся по направлению требующейся синхронизации и перечисляются по порядку, от одного до пяти. Используйте таблицу, приведенную ниже в сценариях, чтобы определить, какое техническое решение обеспечивает синхронизацию.
Используйте нумерованные разделы в двух следующих разделах, чтобы перекрестно ссылаться на приведённую ниже таблицу.
Синхронизация удостоверений из AD DS в Microsoft Entra ID
Для пользователей в Microsoft Windows Server Active Directory, которым требуется доступ к Office 365 или другим приложениям, подключенным к идентификатору Microsoft Entra Connect, облачная синхронизация Microsoft Entra Connect — это первое решение для изучения. Он предоставляет упрощенное решение для создания пользователей в идентификаторе Microsoft Entra, управления остатками паролей и синхронизации групп. Конфигурация и управление в основном выполняются в облаке, минимизируя локальный объем ресурсов. Она обеспечивает высокий уровень доступности и автоматическое переключение на резерв, гарантируя восстановление паролей и синхронизацию, даже если возникла проблема с локальными серверами.
Для сложных, крупномасштабных требований Microsoft Windows Server Active Directory к Службе синхронизации Azure AD, таких как синхронизация больших групп (более 50 000 членов) и синхронизация устройств, используйте microsoft Entra Connect Sync.
Синхронизация удостоверений из Microsoft Entra ID с AD DS
При переходе клиентов к облаку больше пользователей и групп создаются непосредственно в идентификаторе Microsoft Entra. Однако для доступа к различным ресурсам им по-прежнему требуется присутствие в локальной среде AD DS.
Когда внешний пользователь из партнерской организации создается в Microsoft Entra с помощью B2B, MIM может автоматически провизировать их в AD DS и предоставлять этим гостям доступ к локальным приложениям, основанным на аутентификации Windows-Integrated или Kerberos. Кроме того, клиенты могут использовать сценарии PowerShell для автоматизации создания гостевых учетных записей в локальной среде.
При создании группы в идентификаторе Microsoft Entra можно автоматически синхронизироваться с AD DS с помощью Microsoft Entra Connect Sync.
Когда пользователям требуется доступ к облачным приложениям, которые по-прежнему используют устаревшие протоколы доступа (например, LDAP и Kerberos/NTLM), доменные службы Microsoft Entra синхронизируют удостоверения между идентификатором Microsoft Entra и управляемым доменом Microsoft Windows Server Active Directory.
| Нет. | Что | От | Кому | Технология |
|---|---|---|---|---|
| 1 | Пользователи, группы | AD DS | Майкрософт Ентра айди | Microsoft Entra Connect облачная синхронизация |
| 2 | Пользователи, группы, устройства | AD DS | Майкрософт Ентра айди | Microsoft Entra Connect Sync |
| 3 | Группы | Майкрософт Ентра айди | AD DS | Microsoft Entra Connect Sync |
| 4 | Гостевые учетные записи | Майкрософт Ентра айди | AD DS | MIM, PowerShell |
| 5 | Пользователи, группы | Майкрософт Ентра айди | Управляемая служба Microsoft Windows Server Active Directory | доменные службы Microsoft Entra |
В таблице показаны распространенные сценарии и рекомендуемые технологии.
Автоматизация подготовки пользователей в приложениях, отличных от Майкрософт
После того как удостоверения созданы в Microsoft Entra ID через HR-подготовку или синхронизацию облака Microsoft Entra Connect/Microsoft Entra Connect Sync, сотрудники могут использовать удостоверения для доступа к приложениям Teams, SharePoint и Microsoft 365. Однако сотрудникам по-прежнему нужен доступ ко многим приложениям Майкрософт для выполнения своей работы.
Автоматизация подготовки приложений и облаков, поддерживающих стандарт SCIM
Идентификатор Microsoft Entra поддерживает стандарт SCIM 2.0 и интегрируется с сотнями популярных приложений как сервис (SaaS), таких как Dropbox и Atlassian или другие облачные сервисы, такие как Amazon Web Services (AWS), Google Cloud. Разработчики приложений могут использовать API управления пользователями Системы управления идентификацией в разных доменах (SCIM) для автоматизации управления пользователями и группами между Microsoft Entra ID и вашим приложением.
Помимо предварительно интегрированных галерей приложений, идентификатор Microsoft Entra поддерживает предоставление доступа к бизнес-приложениям с поддержкой SCIM, размещенным локально или в облаке. Служба подготовки Microsoft Entra создает пользователей и группы в этих приложениях и управляет обновлениями, например, когда пользователь продвигается или покидает компанию).
Дополнительные сведения о предоставлении приложений с поддержкой SCIM
Автоматизировать предоставление приложений на локальных серверах
Многие приложения не поддерживают стандарт SCIM, и клиенты исторически использовали соединители, разработанные для MIM для подключения к ним. Служба подготовки Microsoft Entra поддерживает повторное использование соединителей, созданных для MIM, без развертывания синхронизации MIM. Это обеспечивает подключение к широкому спектру локальных приложений и приложений SaaS.
| Протокол | Соединитель |
|---|---|
| LDAP | LDAP |
| SQL | SQL |
| ОТДЫХ | Веб-службы |
| Простой протокол доступа к объектам (SOAP) | Веб-службы |
| Неструктурированный файл | PowerShell |
| Обычай | Пользовательские соединители ECMA |
Дополнительные сведения о подготовке локальных приложений
Использование интеграции, разработанных партнерами
Партнеры Майкрософт разработали шлюзы SCIM, которые позволяют синхронизировать пользователей между идентификатором Microsoft Entra и различными системами, такими как мейнфреймы, системы управления персоналом и устаревшие базы данных. На следующем рисунке шлюзы SCIM создаются и управляются партнерами.
Дополнительные сведения об интеграции на основе партнеров
Управление паролями локального приложения
Многие приложения имеют локальное хранилище проверки подлинности и пользовательский интерфейс, который проверяет только предоставленные пользователем учетные данные для этого хранилища. В результате эти приложения не могут поддерживать многофакторную проверку подлинности (MFA) через идентификатор Microsoft Entra ИД и представляют угрозу безопасности. Корпорация Майкрософт рекомендует включить единый вход и многофакторную проверку подлинности для всех приложений. На основе наших исследований ваша учетная запись превышает 99,9% менее вероятно, будет скомпрометирована при использовании многофакторной проверки подлинности. Однако в случаях, когда приложение не может выполнить внешнюю проверку подлинности, клиенты могут использовать MIM для синхронизации изменений паролей с этими приложениями.
Дополнительные сведения о службе уведомлений об изменении пароля MIM
Определение и подготовка доступа для пользователя на основе данных организации
MIM позволяет импортировать данные организации, такие как коды заданий и расположения. Затем эти сведения можно использовать для автоматической настройки прав доступа для этого пользователя.
Автоматизация распространенных бизнес-рабочих процессов
После регистрации пользователей в Microsoft Entra ID используйте рабочие процессы жизненного цикла (LCW) для автоматизации соответствующих действий в ключевые моменты жизненного цикла пользователя, такие как вступление, перемещение и уход. Эти пользовательские рабочие процессы могут запускаться автоматически Microsoft Entra LCW или по запросу для включения или отключения учетных записей, создания временных проходов доступа, обновления членства в Teams или в группах, отправки автоматических электронных писем и запуска логического приложения. Это может помочь организациям обеспечить следующее:
Новый сотрудник: Когда пользователь присоединяется к организации, он готов приступить к работе с первого дня. У них есть правильный доступ к информации и приложениям, которые им нужны. У них есть необходимое оборудование, необходимое для выполнения своей работы.
Уход сотрудника: Когда пользователи покидают компанию по разным причинам (прекращение трудового договора, увольнение, отпуск или выход на пенсию), следует своевременно отменять их доступ.
Дополнительные сведения о рабочих процессах жизненного цикла Microsoft Entra
Замечание
Для сценариев, не охваченных LCW, клиенты могут использовать расширяемость приложений логики.
Согласование изменений, внесенных непосредственно в целевой системе
Организациям часто требуется полный аудит того, какие пользователи имеют доступ к приложениям, содержащим данные, подлежащие регулированию. Чтобы предоставить путь аудита, любой доступ, предоставленный пользователю непосредственно, должен быть трассирован через систему записей. MIM предоставляет возможности согласования для обнаружения изменений, внесенных непосредственно в целевую систему, и для отмены этих изменений. Помимо обнаружения изменений в целевых приложениях MIM может импортировать удостоверения из сторонних приложений в идентификатор Microsoft Entra. Эти приложения часто расширяют набор записей пользователей, возникших в системе управления персоналом.
Дальнейшие шаги
- Автоматизируйте подготовку с помощью любого из приложений, которые представлены в коллекции приложений Microsoft Entra и поддерживают SCIM, SQL или LDAP.
- Оцените облачную синхронизацию Microsoft Entra Connect для синхронизации между AD DS и Microsoft Entra ID
- Использование Microsoft Identity Manager для сложных сценариев подготовки