Общие сведения об API рабочих процессов жизненного цикла

  • Статья

Рабочие процессы жизненного цикла — это служба управления удостоверениями в Azure Active Directory (Azure AD), которая позволяет организациям автоматизировать базовые процессы жизненного цикла для своих пользователей на трех уровнях:

  1. Присоединяющийся: когда человек попадает в область, нуждающихся в доступе, например, новый сотрудник присоединяется к компании или организации.
  2. Mover: когда человек перемещается между границами внутри организации; Например, пользователь, который занимался маркетингом, теперь является членом организации продаж. Для этого может потребоваться дополнительный доступ, авторизация или отзыв других привилегий.
  3. Leaver: когда пользователь покидает область, нуждающихся в доступе, может потребоваться отменить доступ, а пользователь отозвался. Например, сотрудник, который уходит на пенсию или был уволен.

По этой причине рабочие процессы жизненного цикла можно назвать рабочим процессом Joiner-Mover-Leaver (JML). В настоящее время реализованы только процессы соединения и выхода .

API рабочих процессов жизненного цикла в Microsoft Graph позволяют автоматизировать возможности рабочих процессов жизненного цикла для организации. В этой статье представлен набор API, которые позволяют использовать службу рабочих процессов жизненного цикла в Azure AD.

API-интерфейсы рабочих процессов жизненного цикла определяются в подпространстве имен OData microsoft.graph.identityGovernance.

Примечание.

В этой статье описывается экспорт персональных данных с устройства или службы. Эти действия можно использовать для поддержки ваших обязательств в соответствии с Общим регламентом по защите данных (GDPR). Авторизованные администраторы клиентов могут использовать Microsoft Graph для исправления, обновления или удаления идентифицируемой информации о конечных пользователях, включая профили пользователей и сотрудников или персональные данные, такие как имя пользователя, должность, адрес или номер телефона, в среде Azure Active Directory (Azure AD).

Рабочие процессы

Рабочие процессы — это контейнеры для процессов, участвующих в управлении жизненным циклом пользователей в организации. В их основе находятся задачи и условия выполнения.

  • Задачи — это определенные действия, которые выполняются автоматически при активации рабочего процесса.
  • Условия выполнения определяют область "кто" и триггер "когда" будет выполняться рабочий процесс.

Для создания рабочих процессов рекомендуется использовать один из стандартных шаблонов рабочих процессов.

Шаблоны рабочих процессов

Azure AD предоставляет следующие шесть стандартных шаблонов рабочих процессов, определяющих шаблоны для сочетаний задач и условий выполнения, которые могут быть частью рабочего процесса. Шаблоны рабочих процессов можно использовать для создания рабочих процессов программным способом.

Тип шаблона рабочего процесса Категория жизненного цикла
Подключение сотрудника, нанимаемого по предварительному найму Столяр
Подключение нового сотрудника по найму Столяр
После адаптации нового сотрудника нанимаемого сотрудника Столяр
Изменение сотрудников в режиме реального времени Mover
Увольнение сотрудников в режиме реального времени Leaver
Предварительное отключение сотрудника Leaver
Отключение сотрудника Leaver
Пост-offboarding для сотрудника Leaver

Используйте тип ресурса workflowTemplate и связанные с ним методы для определения предварительно настроенных шаблонов, поддерживаемых ими задач и условий выполнения, а также копирования и использования шаблонов для программного создания рабочих процессов .

Общие сведения о рабочем процессе

Каждый рабочий процесс содержит общие описательные сведения, такие как идентификатор, имя, описание и возможность запуска по расписанию или по запросу.

Задачи рабочего процесса

Задачи рабочего процесса — это определенные действия, которые выполняются автоматически при активации рабочего процесса. Рабочие процессы жизненного цикла определяют следующие предварительно настроенные задачи и задачи только для чтения, которые разрешены для указанных категорий рабочих процессов. В этих определениях задач отображаются параметры для типа задачи, помогающие создавать задачи для рабочего процесса.

Рабочие процессы жизненного цикла в настоящее время поддерживают следующие задачи:

Задача taskdefinitionID Категория
Отправить приветственное письмо новому сотруднику 70b29d51-b59a-4773-9280-8841dfd3f2ea Столяр
Отправить электронное письмо с напоминанием о подключении 3C860712-2D37-42A4-928F-5C93935D26A1 Столяр
Создание временного пропуска доступа и отправка по электронной почте руководителю пользователя 1b555e50-7f65-41d5-b514-5894a026d10d Столяр
Запрос на назначение пакета для доступа пользователя c1ec1e76-f374-4375-aaa6-0bb6bd4c60be Joiner, Mover
Отправка сообщения электронной почты для уведомления диспетчера о перемещении пользователей aab41899-9972-422a-9d97-f626014578b7 Mover
Добавление пользователя в группы 22085229-5809-45e8-97fd-270d28d66910 Joiner, Leaver, Mover
Добавление пользователя в teams e440ed8d-25a1-4618-84ce-091ed5be5594 Joiner, Leaver, Mover
Включение учетной записи пользователя 6fc52c9d-398b-4305-9763-15f42c1676fc Joiner, Leaver
Запуск пользовательского расширения задач 4262b724-8dba-4fad-afc3-43fcbb497a0e Joiner, Leaver, Mover
Отключение учетной записи пользователя 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 Leaver
Удаление пользователя из выбранной группы 1953a66c-751c-45e5-8bfe-01462c70da3c Joiner, Leaver, Mover
Удаление пользователей из всех групп b3a31406-2a15-4c9a-b25b-a658fa5f07fc Leaver
Удаление пользователя из teams 06aa7acb-01af-4824-8899-b14e5ed788d6 Joiner, Leaver, Mover
Удаление пользователя из всех команд 81f7b200-2816-4b3b-8c5d-dc556f07b024 Leaver
Удаление всех назначений лицензий от пользователя 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e Leaver
Удаление назначения пакета доступа для пользователя 4a0b64f2-c7ec-46ba-b117-18f262946c50 Leaver, Mover
Удаление всех назначений пакетов доступа для пользователя 42ae2956-193d-4f39-be06-691b8ac4fa1d Leaver
Отмена всех ожидающих запросов на назначение пакета доступа для пользователя 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 Leaver
Удаление пользователя 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff Leaver
Отправка электронной почты руководителю до последнего дня пользователя 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 Leaver
Отправка электронной почты пользователям в последний день 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 Leaver
Отправка электронного сообщения о подключении диспетчеру пользователей после последнего дня 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce Leaver

Используйте тип ресурса taskDefinition и связанные с ним методы, чтобы обнаружить все предопределенные задачи, которые можно настроить для рабочего процесса, а параметры свойств Тип ресурса задачи и связанные с ним методы GET позволяют просматривать задачи, настроенные для рабочего процесса.

Условия выполнения

Для каждой задачи рабочего процесса существует условие выполнения, которое определяет область "кто" и триггер "когда" рабочий процесс и связанные с ним задачи будут выполняться. Например, условие выполнения может указать, что рабочий процесс выполняется для сотрудников, покидающих работу, за семь дней до даты окончания работы, если они находятся в отделе RD&. Связанная задача в рабочем процессе может указать, что пользователь удаляется из групп и групп RD&.

⁄⁄Sample snippet for the executionConditions object

"executionConditions": {
    "@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
    "scope": {
        "@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
        "rule": "department eq 'R&D'"
    },
    "trigger": {
        "@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
        "timeBasedAttribute": "employeeLeaveDateTime",
        "offsetInDays": -7
    }
}

При создании или обновлении рабочего процесса используйте тип ресурса workflowExecutionConditions для настройки условий выполнения. Используйте этот объект для настройки рабочего процесса, который выполняется только по запросу.

Создание рабочих процессов и управление ими

Определив задачи и условия выполнения, которые необходимо определить для рабочего процесса, используйте тип ресурса рабочего процесса и связанные с ним методы для создания рабочего процесса и управления им. В клиенте можно создать до 50 рабочих процессов. Категория задачи должна соответствовать категории рабочего процесса. Каждый рабочий процесс может содержать до 25 задач. Поэтому:

  • Задача, поддерживаемая только для категории рабочих процессов leaver, не может быть указана в сценарии рабочего процесса объединения, и наоборот.
  • Задача, поддерживаемая для категорий рабочих процессов "leaver" и "joiner", может быть указана в сценарии рабочего процесса "joiner" или "leaver".

Можно запланировать выполнение рабочего процесса на основе расписания на уровне клиента или по требованию. Расписание клиента может заботиться о регулярных новых сотрудниках и увольнениях, а вы можете запустить рабочий процесс по запросу, чтобы немедленно прекратить доступ сотрудника в случае конфиденциального события.

В следующем объекте JSON показан пример рабочего процесса со следующими параметрами:

  • Рабочий процесс включен и запланирован для запуска.
  • Это рабочий процесс leaver, который определяет следующие задачи и условия выполнения:
    • Условия выполнения. Запустите рабочий процесс для пользователей в отделе RD&за семь дней до их employeeLeaveDateTime.
    • Задачи. Удаление пользователя из одной группы и одной команды.

Версии рабочих процессов

Пока используется рабочий процесс, может потребоваться обновить условия выполнения и задачи для рабочего процесса. Однако рабочие процессы жизненного цикла не позволяют обновлять эти свойства для существующего рабочего процесса.

Вместо создания новых рабочих процессов используйте тип ресурса workflowVersion и связанные с ним методы для создания новой версии рабочего процесса и управления ею на основе существующего объекта рабочего процесса. Версия рабочего процесса может иметь аналогичный или другой набор задач и условий выполнения.

Отчеты

Рабочие процессы жизненного цикла поддерживают широкие возможности создания отчетов для отслеживания состояния обработки рабочего процесса на уровне выполнения рабочего процесса, на уровне задач и на уровне пользователя.

Дополнительные сведения о возможностях создания отчетов для рабочих процессов жизненного цикла см. в обзоре API отчетов рабочих процессов жизненного цикла.

Расширения

Иногда встроенные задачи могут быть недостаточными для выполнения всех бизнес-сценариев. Чтобы расширить сценарии управления жизненным циклом, рабочие процессы жизненного цикла поддерживают определение пользовательских задач для интеграции с внешними системами с помощью Azure Logic Apps. Например, для сценария с выходом также может потребоваться предоставить менеджеру пользователя доступ к учетной записи электронной почты пользователя.

Используйте тип ресурса customTaskExtension и связанные с ним методы, чтобы определить параметры приложения логики Azure.

Settings

Каждый клиент определяет расписание на уровне клиента при выполнении всех запланированных рабочих процессов. Клиент может принять Azure AD определенное по умолчанию расписание, в котором рабочие процессы выполняются каждые три часа, или изменить расписание, чтобы он выполнялся от 1 часа до 24 часов.

Проверки лицензий

Для использования этой функции требуются Управление идентификацией Microsoft Entra лицензии. Чтобы найти подходящую лицензию для ваших требований, см. статью Сравнение общедоступных функций Micorosft Azure AD.

Проверки авторизации ролей и приложений

Для управления рабочими процессами жизненного цикла вызывающего пользователя требуются следующие Azure AD роли.

Operation Разрешения приложений Требуемая роль каталога вызывающего пользователя
Чтение LifecycleWorkflows.Read.All или LifecycleWorkflows.ReadWrite.All Администратор глобальных читателей или рабочих процессов жизненного цикла
Создание, обновление или удаление LifecycleWorkflows.ReadWrite.All Администратор рабочих процессов жизненного цикла

См. также