Dela via


Använda SCIM och Microsoft Graph tillsammans för att etablera användare och berika ditt program med de data som behövs

Målgrupp: Den här artikeln riktar sig till utvecklare som skapar program som ska integreras med Microsoft Entra-ID. Om du vill använda program som redan är integrerade med Microsoft Entra-ID, till exempel Zoom, ServiceNow och DropBox, kan du hoppa över den här artikeln och granska de programspecifika självstudierna eller granska hur etableringstjänsten fungerar.

Vanliga scenarier

Microsoft Entra ID tillhandahåller en out-of-the-box-tjänst för etablering och en utökningsbar plattform att bygga dina program på. Beslutsträdet beskriver hur en utvecklare använder SCIM och Microsoft Graph för att automatisera etableringen.

  • Skapa användare automatiskt i mitt program
  • Ta automatiskt bort användare från mitt program när de inte längre ska ha åtkomst
  • Integrera mitt program med flera identitetsprovidrar för etablering
  • Utöka mitt program med data från Microsoft-tjänster som Teams, Outlook och Office.
  • Skapa, uppdatera och ta bort användare och grupper automatiskt i Microsoft Entra-ID och Active Directory

SCIM Graph-beslutsträd

Scenario 1: Skapa användare automatiskt i min app

Idag etablerar IT-administratörer användare genom att manuellt skapa användarkonton eller regelbundet ladda upp CSV-filer till mitt program. Processen är tidskrävande för kunder och gör att implementeringen av mitt program går långsammare. Allt jag behöver är grundläggande användarinformation som namn, e-post och userPrincipalName för att skapa en användare.

Rekommendation:

  • Om dina kunder använder olika IP-adresser och du inte vill ha en synkroniseringsmotor för att integrera med var och en stöder du en SCIM-kompatibel slutpunkt/användare . Dina kunder kan enkelt använda den här slutpunkten för att integrera med Microsoft Entra-etableringstjänsten och automatiskt skapa användarkonton när de behöver åtkomst. Du kan skapa slutpunkten en gång och den är kompatibel med alla IP-adresser. Kolla in exempelbegäran nedan för hur en användare skulle skapas med SCIM.
  • Om du behöver användardata som finns på användarobjektet i Microsoft Entra-ID och andra data från hela Microsoft kan du skapa en SCIM-slutpunkt för användaretablering och anropa till Microsoft Graph för att hämta resten av data.
POST /Users
{
    "schemas": [
        "urn:ietf:params:scim:schemas:core:2.0:User",
        "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"],
    "externalId": "0a21f0f2-8d2a-4f8e-bf98-7363c4aed4ef",
    "userName": "BillG",
    "active": true,
    "meta": {
        "resourceType": "User"
    },
    "name": {
        "formatted": "Bill Gates",
        "familyName": "Gates",
        "givenName": "Bill"
    },
    "roles": []
}

Scenario 2: Ta automatiskt bort användare från min app

Kunderna som använder mitt program är säkerhetsfokuserade och har styrningskrav för att ta bort konton när anställda inte behöver dem längre. Hur gör jag för att automatisera avetablering från mitt program?

Rekommendation: Stöd för en SCIM-kompatibel slutpunkt/användare. Microsoft Entra-etableringstjänsten skickar begäranden om att inaktivera och ta bort när användaren inte längre ska ha åtkomst. Vi rekommenderar att du stöder både inaktivering och borttagning av användare. Se exemplen nedan för hur en begäran om att inaktivera och ta bort ser ut.

Inaktivera användare

PATCH /Users/5171a35d82074e068ce2 HTTP/1.1
{
    "Operations": [
        {
            "op": "Replace",
            "path": "active",
            "value": false
        }
    ],
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ]
}

Ta bort användare

DELETE /Users/5171a35d82074e068ce2 HTTP/1.1

Scenario 3: Automatisera hanteringen av gruppmedlemskap i min app

Mitt program förlitar sig på grupper för åtkomst till olika resurser och kunder vill återanvända de grupper som de har i Microsoft Entra-ID. Hur kan jag importera grupper från Microsoft Entra-ID och hålla dem uppdaterade när medlemskapen ändras?

Rekommendation: Stöd för en SCIM-kompatibel slutpunkt /Groups. Microsoft Entra-etableringstjänsten tar hand om att skapa grupper och hantera medlemskapsuppdateringar i ditt program.

Scenario 4: Berika min app med data från Microsoft-tjänster som Teams, Outlook och OneDrive

Mitt program är inbyggt i Microsoft Teams och förlitar sig på meddelandedata. Dessutom lagrar vi filer för användare i OneDrive. Hur kan jag utöka mitt program med data från dessa tjänster och i Microsoft?

Rekommendation:Microsoft Graph är din startpunkt för att komma åt Microsoft-data. Varje arbetsbelastning exponerar API:er med de data som du behöver. Microsoft-grafen kan användas tillsammans med SCIM-etablering för scenarierna ovan. Du kan använda SCIM för att etablera grundläggande användarattribut i ditt program när du anropar till graph för att hämta andra data som du behöver.

Scenario 5: Spåra ändringar i Microsoft-tjänster som Teams, Outlook och Microsoft Entra ID

Jag måste kunna spåra ändringar i Teams- och Outlook-meddelanden och reagera på dem i realtid. Hur kan jag få dessa ändringar push-överförda till mitt program?

Rekommendation: Microsoft Graph tillhandahåller ändringsmeddelanden och ändringsspårning för olika resurser. Observera följande begränsningar för ändringsmeddelanden:

  • Om en händelsemottagare bekräftar en händelse, men inte agerar på den av någon anledning, kan händelsen gå förlorad.
  • Den ordning i vilken ändringar tas emot är inte garanterade kronologisk.
  • Ändringsmeddelanden innehåller inte alltid resursdata Av ovanstående skäl använder utvecklare ofta ändringsmeddelanden tillsammans med ändringsspårning för synkroniseringsscenarier.

Scenario 6: Etablera användare och grupper i Microsoft Entra-ID

Mitt program skapar information om en användare som kunder behöver i Microsoft Entra-ID. Detta kan vara ett HR-program än hanterar anställning, en kommunikationsapp som skapar telefonnummer för användare eller någon annan app som genererar data som skulle vara värdefulla i Microsoft Entra-ID. Hur gör jag för att fylla i användarposten i Microsoft Entra-ID med dessa data?

Rekommendation Microsoft-grafen visar slutpunkter för /Användare och /Grupper som du kan integrera med i dag för att etablera användare i Microsoft Entra-ID. Observera att Microsoft Entra-ID inte har stöd för att skriva tillbaka dessa användare till Active Directory.

Kommentar

Microsoft har en etableringstjänst som hämtar data från HR-program som Workday och SuccessFactors. Dessa integreringar skapas och hanteras av Microsoft. Om du vill registrera ett nytt HR-program i vår tjänst kan du begära det på UserVoice.