Planera en automatisk distribution av användaretablering i Microsoft Entra-ID

Många organisationer förlitar sig på SaaS-program (programvara som en tjänst), till exempel ServiceNow, Zscaler och Slack för slutanvändares produktivitet. Tidigare har IT-personalen förlitat sig på manuella etableringsmetoder som att ladda upp CSV-filer eller använda anpassade skript för att hantera användaridentiteter på ett säkert sätt i varje SaaS-program. Dessa processer är felbenägna, osäkra och svåra att hantera.

Microsoft Entra automatisk användaretablering förenklar den här processen genom att på ett säkert sätt automatisera skapandet, underhållet och borttagningen av användaridentiteter i SaaS-program baserat på affärsregler. Med den här automatiseringen kan du effektivt skala dina identitetshanteringssystem i både molnbaserade och hybridmiljöer när du utökar deras beroende av molnbaserade lösningar.

Se Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID för att bättre förstå funktionerna.

Förutom etablering i SaaS-program stöder Microsoft Entra automatisk användaretablering även etablering i många lokala och privata molnprogram. Mer information finns i Microsoft Entra on-premises application identity provisioning architecture (Microsoft Entra on-premises application identity provisioning architecture).

Learn

Användaretablering skapar en grund för kontinuerlig identitetsstyrning och förbättrar kvaliteten på affärsprocesser som förlitar sig på auktoritativa identitetsdata.

Viktiga fördelar

De viktigaste fördelarna med att aktivera automatisk användaretablering är:

• Ökad produktivitet. Du kan hantera användaridentiteter i SaaS-program med ett enda användaretableringshanteringsgränssnitt. Det här gränssnittet har en enda uppsättning etableringsprinciper.

• Hantera risker. Du kan öka säkerheten genom att automatisera ändringar baserat på anställdas status eller gruppmedlemskap som definierar roller och/eller åtkomst.

• Hantera efterlevnad och styrning. Microsoft Entra-ID stöder interna etableringsloggar för varje begäran om användaretablering. Begäranden körs i både käll- och målsystemen. Med etableringsloggar kan du spåra vem som har åtkomst till program från en enda skärm.

• Minska kostnaden. Automatisk användaretablering minskar kostnaderna genom att undvika ineffektivitet och mänskliga fel som är associerade med manuell etablering. Det minskar behovet av anpassade lösningar för användaretablering, skript och etableringsloggar.

Licensiering

Microsoft Entra ID tillhandahåller självbetjäningsintegrering av alla program med hjälp av mallar i programgallerimenyn. En fullständig lista över licenskrav finns på sidan med priser för Microsoft Entra.

Programlicensiering

Du behöver lämpliga licenser för de program som du vill etablera automatiskt. Diskutera med programägarna om de användare som tilldelats programmet har rätt licenser för sina programroller. Om Microsoft Entra-ID hanterar automatisk etablering baserat på roller måste de roller som tilldelats i Microsoft Entra-ID justeras efter programlicenser. Felaktiga licenser som ägs i programmet kan leda till fel vid etablering/uppdatering av en användare.

Villkor

Den här artikeln använder följande termer:

• CRUD-åtgärder – Åtgärder som vidtas på användarkonton: Skapa, Läsa, Uppdatera, Ta bort.

• Enkel inloggning (SSO) – Möjligheten för en användare att logga in en gång och få åtkomst till alla SSO-aktiverade program. I samband med användaretablering är enkel inloggning ett resultat av att användare har ett enda konto för åtkomst till alla system som använder automatisk användaretablering.

• Källsystem – Lagringsplatsen för användare som Microsoft Entra-ID:t etablerar från. Microsoft Entra ID är källsystemet för de flesta förintegrerade etableringsanslutningar. Det finns dock vissa undantag för molnprogram som SAP, Workday och AWS. Se till exempel Användaretablering från Workday till AD.

• Målsystem – Lagringsplatsen för användare som Microsoft Entra-ID:t etablerar till. Målsystemet är vanligtvis ett SaaS-program som ServiceNow, Zscaler och Slack. Målsystemet kan också vara ett lokalt system, till exempel AD.

• System for Cross-domain Identity Management (SCIM) – en öppen standard som möjliggör automatisering av användaretablering. SCIM kommunicerar användaridentitetsdata mellan identitetsprovidrar och tjänsteleverantörer. Microsoft är ett exempel på en identitetsprovider. Salesforce är ett exempel på en tjänstleverantör. Tjänsteleverantörer kräver information om användaridentitet och en identitetsprovider uppfyller det behovet. SCIM är den mekanism som identitetsprovidern och tjänstleverantören använder för att skicka information fram och tillbaka.

Utbildningsresurser

Resurser	Länk och beskrivning
Webbseminarier på begäran	Hantera dina Företagsprogram med Microsoft Entra-ID Lär dig hur Microsoft Entra ID kan hjälpa dig att uppnå enkel inloggning för dina SaaS-företagsprogram och metodtips för att kontrollera åtkomsten.
Videoklipp	Vad är användaretablering i Active Azure Directory? Hur distribuerar du användaretablering i Active Azure Directory? Integrera Salesforce med Microsoft Entra-ID: Automatisera användaretablering
Nätbaserade kurser	SkillUp Online: Hantera identiteter Lär dig hur du integrerar Microsoft Entra-ID med många SaaS-program och skyddar användarnas åtkomst till dessa program.
Böcker	Modern autentisering med Microsoft Entra-ID för webbprogram (utvecklarreferens) 1:a utgåvan. Det här är en auktoritativ djupdykningsguide för att skapa Active Directory-autentiseringslösningar för dessa nya miljöer.
Självstudier	Se listan med självstudier om hur du integrerar SaaS-appar med Microsoft Entra-ID.
Vanliga frågor	Vanliga frågor och svar om automatisk användaretablering

Lösningsarkitekturer

Microsoft Entra-etableringstjänsten etablerar användare till SaaS-appar och andra system genom att ansluta till användarhanterings-API-slutpunkter som tillhandahålls av varje programleverantör. Med dessa API-slutpunkter för användarhantering kan Microsoft Entra-ID:t programmatiskt skapa, uppdatera och ta bort användare.

Automatisk användaretablering för hybridföretag

I det här exemplet skapas användare och grupper i en HR-databas som är ansluten till en lokal katalog. Microsoft Entra-etableringstjänsten hanterar automatisk användaretablering till SaaS-målprogrammen.

Beskrivning av arbetsflödet:

1. Användare/grupper skapas i ett lokalt HR-program/system, till exempel SAP.

2. Microsoft Entra Anslut-agenten kör schemalagda synkroniseringar av identiteter (användare och grupper) från den lokala AD till Microsoft Entra-ID:t.

3. Microsoft Entra-etableringstjänsten påbörjar en inledande cykel mot källsystemet och målsystemet.

4. Microsoft Entra-etableringstjänsten frågar källsystemet efter alla användare och grupper som ändrats sedan den första cykeln och push-överför ändringar i inkrementella cykler.

Automatisk användaretablering för företag som endast är molnbaserade

I det här exemplet skapas användare i Microsoft Entra-ID och Microsoft Entra-etableringstjänsten hanterar automatisk användaretablering till målprogrammen (SaaS).

Beskrivning av arbetsflödet:

1. Användare/grupper skapas i Microsoft Entra-ID.

2. Microsoft Entra-etableringstjänsten påbörjar en inledande cykel mot källsystemet och målsystemet.

3. Microsoft Entra-etableringstjänsten frågar källsystemet efter alla användare och grupper som uppdaterats sedan den första cykeln och utför inkrementella cykler.

Automatisk användaretablering för HR-molnprogram

I det här exemplet skapas användare och grupper i ett HR-molnprogram som Workday och SuccessFactors. Microsoft Entra-etableringstjänsten och Microsoft Entra-Anslut etableringsagenten etablerar användardata från molnklientorganisationen för HR-appen till AD. När kontona har uppdaterats i AD synkroniseras de med Microsoft Entra-ID via Microsoft Entra Anslut, och e-postadresserna och användarnamnsattributen kan skrivas tillbaka till molnklientorganisationen för HR-appen.

1. HR-teamet utför transaktionerna i molnklientorganisationen för HR-appen.
2. Microsoft Entra-etableringstjänsten kör de schemalagda cyklerna från molnklientorganisationen för HR-appen och identifierar ändringar som måste bearbetas för synkronisering med AD.
3. Microsoft Entra-etableringstjänsten anropar Microsoft Entra Anslut etableringsagent med en nyttolast för begäran som innehåller åtgärder för att skapa/uppdatera/aktivera/inaktivera AD-konto.
4. Microsoft Entra Anslut etableringsagent använder ett tjänstkonto för att hantera AD-kontodata.
5. Microsoft Entra Anslut kör deltasynkronisering för att hämta uppdateringar i AD.
6. AD-uppdateringar synkroniseras med Microsoft Entra-ID.
7. Microsoft Entra-etableringstjänstens tillbakaskrivningar av e-postattribut och användarnamn från Microsoft Entra-ID till molnklientorganisationen för HR-appen.

Planera distributionsprojektet

Tänk på organisationens behov för att fastställa strategin för att distribuera användaretablering i din miljö.

Engagera rätt intressenter

När teknikprojekt misslyckas beror det vanligtvis på felaktiga förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet förstås väl genom att dokumentera intressenterna och deras projektindata och ansvar.

Planera kommunikation

Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt med dina användare om deras upplevelse, hur upplevelsen förändras, när de kan förvänta sig ändringar och hur de får support om de upplever problem.

Planera en pilot

Vi rekommenderar att den första konfigurationen av automatisk användaretablering finns i en testmiljö med en liten delmängd användare innan du skalar den till alla användare i produktion. Se metodtips för att köra en pilot.

Metodtips för en pilot

Med en pilot kan du testa med en liten grupp innan du distribuerar en funktion för alla. Se till att varje användningsfall i din organisation testas noggrant som en del av testningen.

I din första våg riktar du in dig på IT, användbarhet och andra lämpliga användare som kan testa och ge feedback. Använd den här feedbacken för att ytterligare utveckla kommunikationen och instruktionerna som du skickar till dina användare och för att ge insikter om vilka typer av problem din supportpersonal kan se.

Bredda distributionen till större grupper av användare genom att öka omfattningen för de grupper som är mål. Att öka omfånget för grupperna görs genom dynamiskt gruppmedlemskap eller genom att manuellt lägga till användare i målgrupperna.

Planera programanslutningar och administration

Använd administrationscentret för Microsoft Entra för att visa och hantera alla program som stöder etablering. Se Hitta dina appar i portalen.

Fastställa vilken typ av anslutningsapp som ska användas

De faktiska steg som krävs för att aktivera och konfigurera automatisk etablering varierar beroende på programmet. Om programmet som du vill etablera automatiskt visas i Microsoft Entra SaaS-appgalleriet bör du välja den appspecifika integreringsguiden för att konfigurera dess förintegrerade anslutningsapp för användaretablering.

Om inte följer du stegen:

1. Skapa en begäran om en förintegrerad anslutningsapp för användaretablering. Vårt team samarbetar med dig och programutvecklaren för att registrera ditt program på vår plattform om det stöder SCIM.

2. Använd det allmänna användaretableringsstödet för BYOA SCIM för appen. Att använda SCIM är ett krav för att Microsoft Entra-ID ska kunna etablera användare till appen utan en förintegrerad etableringsanslutning.

3. Om programmet kan använda BYOA SCIM-anslutningsappen kan du läsa självstudien om BYOA SCIM-integrering för att konfigurera BYOA SCIM-anslutningsappen för programmet.

Mer information finns i Vilka program och system kan jag använda med automatisk användaretablering i Microsoft Entra?

Samla in information för att auktorisera programåtkomst

Att konfigurera automatisk användaretablering är en process per program. För varje program måste du ange administratörsautentiseringsuppgifter för att ansluta till målsystemets slutpunkt för användarhantering.

Bilden visar en version av de nödvändiga administratörsautentiseringsuppgifterna:

Vissa program kräver administratörens användarnamn och lösenord, men andra kan kräva en ägartoken.

Planera etablering av användare och grupper

Om du aktiverar användaretablering för företagsappar styr administrationscentret för Microsoft Entra dess attributvärden via attributmappning.

Fastställa åtgärder för varje SaaS-app

Varje program kan ha unika användar- eller gruppattribut som måste mappas till attributen i ditt Microsoft Entra-ID. Programmet kan bara ha en delmängd crud-åtgärder tillgängliga.

För varje program dokumenterar du följande information:

• CRUD-etableringsåtgärder som ska utföras på användar- och eller gruppobjekten för målsystemen. Till exempel kanske varje SaaS-appföretagsägare inte vill ha alla möjliga åtgärder.

• Attribut som är tillgängliga i källsystemet

• Attribut som är tillgängliga i målsystemet

• Mappning av attribut mellan system.

Välj vilka användare och grupper som ska etableras

Innan du implementerar automatisk användaretablering måste du fastställa vilka användare och grupper som ska etableras i ditt program.

• Använd omfångsfilter för att definiera attributbaserade regler som avgör vilka användare som etableras till ett program.

• Använd sedan användar- och grupptilldelningar efter behov för mer filtrering.

Definiera mappning av användar- och gruppattribut

För att implementera automatisk användaretablering måste du definiera de användar- och gruppattribut som behövs för programmet. Det finns en förkonfigurerad uppsättning attribut och attributmappningar mellan Microsoft Entra-användarobjekt och varje SaaS-programs användarobjekt. Alla SaaS-appar aktiverar inte gruppattribut.

Microsoft Entra-ID stöder direkt attribut-till-attribut-mappning, ger konstanta värden eller skriver uttryck för attributmappningar. Den här flexibiliteten ger dig bra kontroll över vad som fylls i målsystemets attribut. Du kan använda Microsoft Graph API och Graph Explorer för att exportera mappningar och scheman för användaretableringsattribut till en JSON-fil och importera tillbaka den till Microsoft Entra-ID.

Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID.

Särskilda överväganden för användaretablering

Överväg följande för att minska problemen efter distributionen:

• Se till att de attribut som används för att mappa användar-/gruppobjekt mellan käll- och målprogram är motståndskraftiga. De bör inte orsaka att användare/grupper etableras felaktigt om attributen ändras (till exempel flyttar en användare till en annan del av företaget).

• Program kan ha specifika begränsningar och/eller krav som måste uppfyllas för att användaretablering ska fungera korrekt. Slack trunkerar till exempel värden för vissa attribut. Se självstudier för automatisk användaretablering som är specifika för varje program.

• Bekräfta schemakonsekvens mellan käll- och målsystem. Vanliga problem är attribut som UPN eller e-post som inte matchar. UPN i Microsoft Entra ID har till exempel angetts som john_smith@contoso.com och i appen är jsmith@contoso.comdet . Mer information finns i Referens för användar- och gruppschema.

Planera testning och säkerhet

I varje steg i distributionen ser du till att du testar att resultaten är som förväntat och granskar etableringscyklerna.

Planera testning

Konfigurera först automatisk användaretablering för programmet. Kör sedan testfall för att verifiera att lösningen uppfyller organisationens krav.

Scenarier	Förväntat resultat
Användaren läggs till i en grupp som tilldelats målsystemet.	Användarobjektet etableras i målsystemet. Användaren kan logga in på målsystemet och utföra önskade åtgärder.
Användaren tas bort från en grupp som har tilldelats till målsystemet.	Användarobjektet avetableras i målsystemet. Användaren kan inte logga in på målsystemet.
Användarinformation uppdateras i Microsoft Entra-ID med vilken metod som helst.	Uppdaterade användarattribut återspeglas i målsystemet efter en inkrementell cykel.
Användaren är utanför omfånget.	Användarobjektet är inaktiverat eller borttaget. Obs! Det här beteendet åsidosättas för Workday-etablering.

Planera säkerhet

Det är vanligt att en säkerhetsgranskning krävs som en del av en distribution. Om du behöver en säkerhetsgranskning kan du läsa de många Whitepapers för Microsoft Entra-ID:t som ger en översikt över identitet som en tjänst.

Planåterställning

Om implementeringen av automatisk användaretablering inte fungerar som önskat i produktionsmiljön kan följande återställningssteg hjälpa dig att återgå till ett tidigare känt bra tillstånd:

1. Granska etableringsloggarna för att fastställa vilka felaktiga åtgärder som har inträffat för de berörda användarna och/eller grupperna.

2. Använd etableringsloggar för att fastställa det senast kända goda tillståndet för de användare och/eller grupper som påverkas. Granska även källsystemen (Microsoft Entra-ID eller AD).

3. Arbeta med programägaren för att uppdatera de användare och/eller grupper som påverkas direkt i programmet med hjälp av de senast kända värdena för bra tillstånd.

Distribuera automatisk användaretableringstjänst

Välj de steg som överensstämmer med dina lösningskrav.

Förbered för den inledande cykeln

När Microsoft Entra-etableringstjänsten körs för första gången skapar den första cykeln mot källsystemet och målsystemen en ögonblicksbild av alla användarobjekt för varje målsystem.

När du aktiverar automatisk etablering för ett program tar den inledande cykeln allt från 20 minuter till flera timmar. Varaktigheten beror på storleken på Microsoft Entra-katalogen och antalet användare i omfånget för etablering.

Etableringstjänsten lagrar tillståndet för båda systemen efter den inledande cykeln, vilket förbättrar prestandan för efterföljande inkrementella cykler.

Konfigurera automatisk användaretablering

Använd administrationscentret för Microsoft Entra för att hantera automatisk etablering och avetablering av användarkonton för program som stöder det. Följ stegen i Hur gör jag för att konfigurera automatisk etablering till ett program?

Microsoft Entra-användaretableringstjänsten kan också konfigureras och hanteras med hjälp av Microsoft Graph API.

Hantera automatisk användaretablering

Nu när du har distribuerat måste du hantera lösningen.

Övervaka hälsotillståndet för användaretableringsåtgärden

Efter en lyckad inledande cykel kommer Microsoft Entra-etableringstjänsten att köra inkrementella uppdateringar på obestämd tid, med intervall som är specifika för varje program, tills någon av följande händelser inträffar:

• Tjänsten stoppas manuellt och en ny inledande cykel utlöses med hjälp av administrationscentret för Microsoft Entra eller med hjälp av lämpligt Microsoft Graph API-kommando .

• En ny inledande cykel utlöser en ändring i attributmappningar eller omfångsfilter.

• Etableringsprocessen sätts i karantän på grund av en hög felfrekvens och förblir i karantän i mer än fyra veckor och inaktiveras automatiskt.

Om du vill granska dessa händelser och alla andra aktiviteter som utförs av etableringstjänsten läser du Microsoft Entra-etableringsloggar.

Om du vill förstå hur lång tid etableringscyklerna tar och övervaka förloppet för etableringsjobbet kan du kontrollera statusen för användaretablering.

Få insikter från rapporter

Microsoft Entra-ID kan ge mer insikter om organisationens användning av användaretablering och drifthälsa via etableringsloggar och rapporter. Mer information om användarinsikter finns i Kontrollera status för användaretablering.

Administratörer bör kontrollera etableringssammanfattningsrapporten för att övervaka drifthälsan för etableringsjobbet. Alla aktiviteter som utförs av etableringstjänsten registreras i Microsoft Entra-etableringsloggarna. Se Självstudie: Rapportering om automatisk etablering av användarkonton.

Vi rekommenderar att du övertar ägarskapet för och använder dessa rapporter på en takt som uppfyller organisationens krav. Microsoft Entra ID behåller de flesta granskningsdata i 30 dagar.

Felsöka

Se följande länkar för att felsöka eventuella problem som kan uppstå under etableringen:

• Problem med att konfigurera användaretablering till ett Microsoft Entra-galleriprogram

• Synkronisera ett attribut från din lokal Active Directory till Microsoft Entra-ID för etablering till ett program

• Problem med att spara administratörsautentiseringsuppgifter vid konfiguration av användaretablering till ett Microsoft Entra-galleriprogram

• Inga användare etableras till ett Microsoft Entra-galleriprogram

• Fel uppsättning användare etableras till ett Microsoft Entra-galleriprogram

Användbar dokumentation

• Skriva uttryck för attributmappningar

• Översikt över API för Microsoft Entra-synkronisering

• Hoppa över borttagning av användarkonton som inte omfattas

• Microsoft Entra Anslut Provisioning Agent: Versionshistorik

Resurser

• Ge produktfeedback

• Håll dig uppdaterad om nyheter med Microsoft Entra-ID

• Microsoft Q&A Microsoft Entra-forum

Nästa steg

• Konfigurera automatisk användaretablering

• Exportera eller importera konfigurationen av etableringen med hjälp av Microsoft Graph API

• Skriva uttryck för attributmappningar i Microsoft Entra-ID