Поделиться через


Что такое подготовка приложений в идентификаторе Microsoft Entra?

В идентификаторе Microsoft Entra термин подготовки приложений относится к автоматическому созданию удостоверений пользователей и ролей для приложений.

Схема, в которой показаны сценарии подготовки.

Подготовка приложений Microsoft Entra относится к автоматическому созданию удостоверений пользователей и ролей в приложениях, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Распространенные сценарии включают подготовку пользователя Microsoft Entra в приложения SaaS, такие как Dropbox, Salesforce, ServiceNow и многое другое.

Идентификатор Microsoft Entra также поддерживает подготовку пользователей в приложениях, размещенных локально или на виртуальной машине, без необходимости открывать брандмауэры. В таблице ниже приведено сопоставление протоколов с поддерживаемыми соединителями.

Протокол Соединитель
SCIM SCIM — SaaS
SCIM — локальная или частная сеть
LDAP LDAP
SQL SQL
REST Веб-службы
Протокол SOAP Веб-службы
Неструктурированный файл PowerShell
Пользовательское Пользовательские соединители ECMA
Соединители и шлюзы, созданные партнерами
  • Автоматизация подготовки. Автоматическое создание учетных записей в правильных системах для новых пользователей при присоединении к команде или организации.
  • Автоматизированная отмена подготовки. Автоматическая деактивация учетных записей в соответствующих системах, когда люди покидают команду или организацию.
  • Синхронизация данных между системами: сохраняйте удостоверения в приложениях и системах в актуальном состоянии на основе изменений в каталоге или системе кадров.
  • Группы подготовки: группы подготовки для приложений, которые их поддерживают.
  • Управление доступом: мониторинг и аудит пользователей, подготовленных в приложениях.
  • Беспрепятственное развертывание в сценариях существующей среды: сопоставьте существующие идентификаторы между системами и упростите интеграцию, даже если пользователи уже существуют в целевой системе.
  • Используйте обширные возможности настройки: воспользуйтесь преимуществами настраиваемых сопоставлений атрибутов, которые определяют, какие пользовательские данные должны передаваться из исходной системы в целевую.
  • Получение оповещений о критических событиях: служба подготовки предоставляет оповещения о критических событиях и позволяет интегрировать Log Analytics, где можно определять настраиваемые оповещения в соответствии с потребностями вашего бизнеса.

Что такое SCIM?

Чтобы помочь автоматизировать подготовку и отмену подготовки, приложения предоставляют собственные API-интерфейсы пользователей и групп. Управление пользователями в нескольких приложениях является проблемой, так как каждое приложение пытается выполнить те же действия. Например, создание или обновление пользователей, добавление пользователей в группы или отмена подготовки пользователей. Часто разработчики реализуют эти действия немного иначе. Например, используя разные пути конечных точек, различные методы для указания сведений о пользователе и разной схеме для представления каждого элемента информации.

Для решения этих проблем спецификация системы междоменного управления идентификацией (SCIM) предоставляет общую схему пользователя, которая позволяет пользователям входить в приложения, выходить из них и обходить их. SCIM становится де-факто стандартом для подготовки и при использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect (OIDC), предоставляет администраторам комплексное стандартизированное решение для управления доступом.

Подробное руководство по разработке конечной точки SCIM для автоматизации подготовки и отмены подготовки пользователей и групп для приложения см. в разделе Build a SCIM endpoint and configure user provisioning (Создание конечной точки SCIM и настройка подготовки пользователей). Многие приложения интегрируются непосредственно с идентификатором Microsoft Entra. К некоторым примерам относятся Slack, Azure Databricks и Snowflake. Для этих приложений пропустите документацию разработчика и используйте руководства, приведенные в руководствах по интеграции приложений SaaS с идентификатором Microsoft Entra.

Сравнение подготовки вручную и автоматической подготовки

Приложения в коллекции Microsoft Entra поддерживают один из двух режимов подготовки:

  • Подготовка вручную означает, что для приложения еще нет автоматического соединителя подготовки Microsoft Entra. Их необходимо создать вручную. Например, путем добавления пользователей непосредственно на административный портал приложения или загрузки электронной таблицы с подробной информацией об учетных записях пользователей. Чтобы определить доступные механизмы, обратитесь к документации по приложению или свяжитесь с разработчиком приложения.
  • Автоматически означает, что соединитель подготовки Microsoft Entra доступен в этом приложении. Чтобы настроить подготовку для приложения, следуйте указаниям в руководстве по установке. Найдите руководства по приложениям в учебниках по интеграции приложений SaaS с идентификатором Microsoft Entra.

Режим подготовки, поддерживаемый приложением, также отображается на вкладке Подготовка после добавления приложения к числу корпоративных.

Преимущества автоматизированной подготовки

Число приложений, используемых в современных организациях, продолжает расти. Вы, как ИТ-администратор, должны управлять управлением доступом в масштабе. Для единого входа используются такие стандарты, как SAML или OIDC, но доступ также требует подготовки пользователей в приложение. Вы можете подумать, что подготовка означает вручную создание каждой учетной записи пользователя или отправку CSV-файлов каждую неделю. Эти процессы отнимают много времени, являются дорогостоящими и подвержены ошибкам. Чтобы упростить процесс, используйте JIT-приложение SAML для автоматизации подготовки. Используйте тот же процесс для отмены подготовки пользователей, когда они покидают организацию или больше не требуют доступа к определенным приложениям на основе изменений ролей.

Ниже перечислены некоторые распространенные причины использования автоматизированной подготовки.

  • Максимально эффективное быстродействие и точность процессов подготовки.
  • Экономия затрат, связанных с размещением и поддержкой специально разработанных решений и скриптов для подготовки.
  • Возможность обезопасить свою организацию, мгновенно удаляя из ключевых приложений SaaS удостоверения пользователей, которые покидают вашу организацию.
  • Упрощение импорта большого количества пользователей в конкретное приложение SaaS или систему.
  • Один набор политик для определения подготовленных пользователей, которые могут войти в приложение.

Подготовка пользователей Microsoft Entra может помочь решить эти проблемы. Дополнительные сведения о том, как клиенты использовали подготовку пользователей Microsoft Entra, ознакомьтесь с примером asOS. В следующем видео представлен обзор подготовки пользователей в идентификаторе Microsoft Entra.

Какие приложения и системы можно использовать с автоматической подготовкой пользователей Microsoft Entra?

В Microsoft Entra реализована предварительная поддержка многих популярных приложений SaaS и систем кадров, а также универсальная поддержка приложений, реализующих определенные части стандарта SCIM 2.0.

  • Предварительно подготовленные приложения (приложения SaaS коллекции): можно найти все приложения, для которых идентификатор Microsoft Entra ID поддерживает предварительно подготовленный соединитель подготовки в учебниках для интеграции приложений SaaS с идентификатором Microsoft Entra. Предварительно подготовленные приложения, перечисленные в коллекции, обычно используют API управления пользователями на основе SCIM 2.0 для подготовки.

    Изображение логотипов для DropBox, Salesforce и других.

    Чтобы запросить новое приложение для подготовки, см . статью "Отправить запрос на публикацию приложения в коллекции приложений Microsoft Entra". Для запроса на подготовку пользователя требуется, чтобы приложение имело конечную точку, совместимую с SCIM. Запрос на то, что поставщик приложений следует стандарту SCIM, чтобы мы могли быстро подключить приложение к нашей платформе.

  • Приложения, поддерживающие SCIM 2.0. Сведения об универсальных способах подключения приложений, реализующих API-интерфейсы управления пользователями на основе SCIM 2.0, см. в статье Создание конечной точки SCIM и настройка подготовки пользователей.

  • Приложения, использующие существующий каталог или базу данных, или предоставляющие интерфейс подготовки: ознакомьтесь с руководствами по подготовке к каталогу LDAP, базе данных SQL, интерфейсу REST или SOAP или доступу через PowerShell, пользовательскому соединителю ECMA или соединителям и шлюзам, созданным партнерами.

  • Приложения, поддерживающие JIT-подготовку с помощью SAML.

Как настроить автоматический вход в приложение

Для предварительно подготовленных приложений, перечисленных в коллекции, используйте существующие пошаговые инструкции по настройке автоматической подготовки, см. в руководствах по интеграции приложений SaaS с идентификатором Microsoft Entra. В следующем видео показано, как настроить автоматическую подготовку пользователей для SalesForce.

Для других приложений, поддерживающих SCIM 2.0, выполните действия, описанные в статье Создание конечной точки SCIM подготовки пользователей.

Следующие шаги