Share via

Основные понятия подготовки на основе API, управляемого входящего трафика

  • Статья

В этом документе представлен обзор подготовки входящих пользователей на основе API Microsoft Entra.

Введение

Сегодня предприятия имеют различные авторитетные системы записи. Чтобы установить комплексный жизненный цикл удостоверений, укрепить состояние безопасности и обеспечить соответствие нормативным требованиям, данные удостоверений в идентификаторе Microsoft Entra ID должны быть синхронизированы с данными рабочей силы, управляемыми в этих системах записей. Система записей может быть приложением отдела кадров, приложением для оплаты труда, электронной таблицей или таблицами SQL в базе данных, размещенной в локальной или облачной среде.

Благодаря входящей подготовке, управляемой API, служба подготовки Microsoft Entra теперь поддерживает интеграцию с любой системой записей. Клиенты и партнеры могут использовать любое средство автоматизации для получения данных рабочей силы из системы записей и приема их в идентификатор Microsoft Entra. ИТ-администратор имеет полный контроль над обработкой и преобразованием данных с помощью сопоставлений атрибутов. После того как данные рабочей силы будут доступны в идентификаторе Microsoft Entra, ИТ-администратор может настроить соответствующие бизнес-процессы joiner-mover-leaver с помощью рабочих процессов жизненного цикла.

Поддерживаемые сценарии

Несколько сценариев подготовки входящих пользователей включены с помощью входящего трафика, управляемого API. На этой схеме показаны наиболее распространенные сценарии.

Схема сценариев рабочего процесса API.

Сценарий 1. Включение ИТ-команд для импорта данных отдела кадров с помощью любого средства автоматизации

Неструктурированные файлы, CSV-файлы и промежуточные таблицы SQL обычно используются в сценариях интеграции предприятия. Сведения о сотрудниках, подрядчиках и поставщиках периодически экспортируются в один из этих форматов, а средство автоматизации используется для синхронизации этих данных с корпоративными каталогами удостоверений. С помощью входящего подготовки на основе API ИТ-отделы могут использовать любой инструмент автоматизации по своему выбору (например, скрипты PowerShell или Azure Logic Apps) для модернизации и упрощения этой интеграции.

Сценарий 2. Включение прямых интеграции поставщиков программного обеспечения с идентификатором Microsoft Entra

С помощью входящего подготовки на основе API поставщики программного обеспечения могут отправлять собственные возможности синхронизации, чтобы изменения в системе кадров автоматически втекали в идентификатор Microsoft Entra и подключенные домены локальная служба Active Directory. Например, приложение отдела кадров или приложение для информационных систем учащихся может отправлять данные в идентификатор Microsoft Entra, как только транзакция завершена или в течение полного массового обновления.

Сценарий 3. Включение системных интеграторов для создания дополнительных соединителей в системах записей

Партнеры могут создавать пользовательские соединители кадров для удовлетворения различных требований интеграции вокруг потока данных из систем записи в идентификатор Microsoft Entra ID.

Во всех описанных выше сценариях интеграция упрощается, так как служба подготовки Microsoft Entra берет на себя ответственность за сравнение профилей удостоверений, ограничение синхронизации данных на логику области, настроенную ИТ-администратором, и выполнение потока атрибутов на основе правил и преобразования, управляемого в Центре администрирования Microsoft Entra.

Полный поток процесса

Схема комплексного рабочего процесса входящего подготовки.

Шаги рабочего процесса

  1. ИТ-Администратор настраивает приложение для подготовки пользователей на основе API из коллекции приложений Microsoft Entra Enterprise.
  2. ИТ-Администратор предоставляет разрешения на доступ и предоставляет сведения о доступе к конечным точкам разработчику ИЛИ партнеру или системной интегратору API.
  3. Разработчик API/ партнер или системный интегратор создает клиент API для отправки достоверных данных удостоверения в идентификатор Microsoft Entra.
  4. Клиент API считывает данные удостоверения из авторитетного источника.
  5. Клиент API отправляет запрос POST на подготовку конечной точки API /bulkUpload , связанной с приложением подготовки.

    Примечание.

    Клиент API не должен выполнять никаких сравнений между исходными атрибутами и целевыми значениями атрибутов, чтобы определить, какая операция (create/update/enable/disable) должна вызываться. Это автоматически обрабатывается службой подготовки. Клиент API просто отправляет данные удостоверения, считываемые из исходной системы, упаковав его в виде массового запроса с помощью конструкций схемы SCIM.

  6. В случае успешного выполнения возвращается объект Accepted 202 Status .
  7. Служба подготовки Microsoft Entra обрабатывает полученные данные, применяет правила сопоставления атрибутов и завершает подготовку пользователей.
  8. В зависимости от настроенного приложения подготовки пользователь подготавливается либо в локальная служба Active Directory (для гибридных пользователей), либо в идентификатор Microsoft Entra (только для облачных пользователей).
  9. Затем клиент API запрашивает конечную точку API журналов подготовки для состояния каждой записи, отправленной.
  10. Если обработка любой записи завершается ошибкой, клиент API может проверка сведения об ошибке и включить записи, соответствующие неудачным операциям в следующем массовом запросе (шаг 5).
  11. В любое время ИТ-Администратор может проверка состояние задания подготовки и просматривать события в журналах подготовки.

Ключевые функции входящего подготовки пользователей на основе API

  • Доступно в качестве приложения подготовки, которое предоставляет асинхронную конечную точку API /bulkUpload API Microsoft Graph, доступ к ней с использованием допустимого маркера OAuth.
  • Администраторы клиента должны предоставить клиентам API, взаимодействующим с этим приложением подготовки, разрешение SynchronizationData-User.UploadGraph.
  • Конечная точка API Graph принимает допустимые полезные данные массового запроса с помощью конструкций схемы SCIM.
  • С помощью расширений схемы SCIM можно отправлять любой атрибут в полезных данных массового запроса.
  • Ограничение скорости для API подготовки для входящего трафика составляет 40 запросов массовой отправки в секунду. Каждый массовый запрос может содержать не более 50 записей пользователей, тем самым поддерживая скорость отправки 2000 записей в секунду.
  • Каждая конечная точка API связана с определенным приложением подготовки в идентификаторе Microsoft Entra. Вы можете интегрировать несколько источников данных, создав приложение подготовки для каждого источника данных.
  • Полезные данные входящих массовых запросов обрабатываются практически в режиме реального времени.
  • Администратор могут проверка хода выполнения подготовки, просмотрев журналы подготовки.
  • Клиенты API могут отслеживать ход выполнения, запрашивая API подготовки журналов.

Требования к лицензиям

Эта функция доступна с лицензиями Microsoft Entra ID P1, P2 и Управление идентификацией Microsoft Entra. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.

Руководство по использованию API

Конечная /bulkUpload точка API расширяет количество способов управления пользователями в идентификаторе Записи. Чтобы определить, подходит ли /bulkUpload конечная точка API для сценария интеграции, см. в этой таблице, которая сравнивает ее с другими параметрами интеграции на основе API.

Сценарий использования для сопоставления API API создания пользователей API для входящего трафика кадров API приглашения пользователей API прямого назначения
Когда сценарий создания удостоверений... Создание нерегламентированного пользователя в идентификаторе Entra для пользователя, не связанного с какой-либо рабочей ролью в источнике кадров Получение записей сотрудников из авторитетного источника кадров, и вы хотите, чтобы эти сотрудники имели учетные записи участников в идентификаторе записи или локальная служба Active Directory Создание нерегламентированного гостевого пользователя в идентификаторе Записи в целях общего доступа, где у гостя есть уникальные права доступа Назначение доступа для существующих пользователей и (предварительная версия) гостевого создания в идентификаторе Записи, чтобы предоставить новый стандартизированный гостевой доступ
... используйте API... Создание пользователя Выполнение bulkUpload. Создание приглашения Создание accessPackageAssignmentRequest
Полученный пользователь сначала создается в... Идентификатор записи Локальный идентификатор Active Directory или Entra Идентификатор записи Идентификатор записи
Результирующий пользователь проходит проверку подлинности в... Идентификатор записи с указанным паролем Локальный Active Directory идентификатора записи с временным проходом доступа, предоставляемым рабочими процессами жизненного цикла записи Домашний клиент или другой поставщик удостоверений Домашний клиент или другой поставщик удостоверений
Последующие обновления пользователя можно выполнить с помощью Api Graph или портал Entra API Graph или API для входящего трафика кадров или портал Entra Api Graph или портал Entra Api Graph или портал Entra
Жизненный цикл пользователя при запуске их трудоустройства определяется... Ручные процессы Рабочие процессы жизненного цикла записей, которые активируются на основе атрибута employeeHireDate Управление правами Автоматическое назначение с помощью пакетов доступа управления правами
Жизненный цикл пользователя при завершении работы определяется... Ручные процессы Рабочие процессы жизненного цикла записи, которые активируются на основе атрибута employeeLeaveDateTime Проверки доступа Управление правами, когда пользователь теряет свое последнее назначение пакета доступа, они удаляются
# Цель обучения Руководство
1. Вы хотите узнать больше о спецификациях API для входящего трафика. См. документ спецификации API /bulkUpload.
2. Вы хотите узнать больше о концепциях подготовки на основе API, сценариях и ограничениях. Ознакомьтесь с часто задаваемыми вопросами о входящей подготовке на основе API.
3. Как пользователь Администратор, вы хотите быстро протестировать API подготовки входящего трафика. * Создание приложения подготовки на основе API на основе входящего трафика
* Тестирование API с помощью Graph Обозреватель
4. С помощью учетной записи службы или управляемого удостоверения необходимо быстро протестировать API подготовки для входящего трафика. * Создание приложения подготовки на основе API на основе входящего трафика
* Предоставление разрешений API
* Тестирование API с помощью cURL или Postman
5. Вы хотите расширить приложение подготовки на основе API для обработки дополнительных пользовательских атрибутов. Ознакомьтесь с руководством по расширению подготовки на основе API для синхронизации пользовательских атрибутов.
6. Вы хотите автоматизировать отправку данных из системы записи в конечную точку API подготовки для входящего трафика. Ознакомьтесь с руководствами
* Краткое руководство по PowerShell
* Краткое руководство по Azure Logic Apps
7. Вы хотите устранить неполадки с API подготовки для входящего трафика Ознакомьтесь с руководством по устранению неполадок.

Ресурсы внешнего обучения

Следующее содержимое, созданное нашими партнерами и MVP Майкрософт, предоставляет дополнительные рекомендации по развертыванию и настройке подготовки на основе API для различных сценариев интеграции.

Следующие шаги