API-drivna begrepp för inkommande etablering
Det här dokumentet innehåller en konceptuell översikt över microsoft Entra API-driven etablering av inkommande användare.
Introduktion
Idag har företag olika auktoritativa system för arkivhandling. För att upprätta identitetslivscykel från slutpunkt till slutpunkt, stärka säkerhetsstatusen och följa reglerna måste identitetsdata i Microsoft Entra-ID hållas synkroniserade med personaldata som hanteras i dessa registersystem. Postsystemet kan vara en HR-app, en löneapp, ett kalkylblad eller SQL-tabeller i en databas som finns lokalt eller i molnet.
Med API-driven inkommande etablering stöder Microsoft Entra-etableringstjänsten nu integrering med alla postsystem. Kunder och partner kan använda valfritt automatiseringsverktyg för att hämta personaldata från postsystemet och mata in dem i Microsoft Entra-ID. IT-administratören har fullständig kontroll över hur data bearbetas och transformeras med attributmappningar. När arbetsstyrkans data är tillgängliga i Microsoft Entra-ID kan IT-administratören konfigurera lämpliga joiner-mover-leaver-affärsprocesser med hjälp av livscykelarbetsflöden.
Stödda scenarier
Flera scenarier för etablering av inkommande användare aktiveras med hjälp av API-driven inkommande etablering. Det här diagrammet visar de vanligaste scenarierna.
Scenario 1: Gör det möjligt för IT-team att importera HR-dataextrakt med hjälp av automatiseringsverktyg
Flata filer, CSV-filer och SQL-mellanlagringstabeller används ofta i företagsintegreringsscenarier. Information om anställda, entreprenörer och leverantörer exporteras regelbundet till något av dessa format och ett automatiseringsverktyg används för att synkronisera dessa data med företagsidentitetskataloger. Med API-driven inkommande etablering kan IT-team använda valfritt automatiseringsverktyg (till exempel PowerShell-skript eller Azure Logic Apps) för att modernisera och förenkla integreringen.
Scenario 2: Aktivera ISV:er för att skapa direktintegrering med Microsoft Entra-ID
Med API-driven inkommande etablering kan HR ISV:er leverera inbyggda synkroniseringsupplevelser så att ändringar i HR-systemet automatiskt flödar till Microsoft Entra-ID och anslutna lokal Active Directory domäner. Till exempel kan en HR-app eller studentinformationssystemapp skicka data till Microsoft Entra-ID så snart en transaktion har slutförts eller som massuppdatering i slutet av dagen.
Scenario 3: Gör det möjligt för systemintegrerare att skapa fler anslutningsappar till postsystem
Partner kan skapa anpassade HR-anslutningsappar för att uppfylla olika integreringskrav kring dataflöde från postsystem till Microsoft Entra-ID.
I alla scenarier ovan förenklas integreringen när Microsoft Entra-etableringstjänsten tar över ansvaret för att utföra en jämförelse av identitetsprofiler, begränsa datasynkroniseringen till omfångslogik som konfigurerats av IT-administratören och köra regelbaserat attributflöde och transformering som hanteras i Administrationscenter för Microsoft Entra.
Flöde från slutpunkt till slutpunkt
Steg i arbetsflödet
- IT-administratören konfigurerar en API-driven app för inkommande användaretablering från Microsoft Entra Enterprise-appgalleriet.
- IT-administratören beviljar åtkomstbehörigheter och tillhandahåller information om slutpunktsåtkomst till API-utvecklaren/partnern/systemintegreraren.
- API-utvecklaren/partnern/systemintegratören skapar en API-klient för att skicka auktoritativa identitetsdata till Microsoft Entra-ID.
- API-klienten läser identitetsdata från den auktoritativa källan.
- API-klienten skickar en POST-begäran till etablering /bulkUpload API-slutpunkten som är associerad med etableringsappen.
Kommentar
API-klienten behöver inte göra några jämförelser mellan källattributen och målattributvärdena för att avgöra vilken åtgärd (skapa/uppdatera/aktivera/inaktivera) som ska anropas. Detta hanteras automatiskt av etableringstjänsten. API-klienten laddar helt enkelt upp identitetsdata som lästs från källsystemet genom att paketera dem som massbegäran med hjälp av SCIM-schemakonstruktioner.
- Om det lyckas returneras en
Accepted 202 Status. - Microsoft Entra-etableringstjänsten bearbetar mottagna data, tillämpar attributmappningsreglerna och slutför användaretablering.
- Beroende på vilken etableringsapp som har konfigurerats etableras användaren antingen i lokal Active Directory (för hybridanvändare) eller Microsoft Entra-ID (endast för molnanvändare).
- API-klienten frågar sedan API-slutpunkten för etableringsloggarna om statusen för varje post som skickas.
- Om bearbetningen av en post misslyckas kan API-klienten kontrollera felinformationen och inkludera poster som motsvarar de misslyckade åtgärderna i nästa massbegäran (steg 5).
- IT-administratören kan när som helst kontrollera statusen för etableringsjobbet och visa händelser i etableringsloggarna.
Viktiga funktioner i API-driven etablering av inkommande användare
- Tillgänglig som en etableringsapp som exponerar en asynkron Microsoft Graph-etablering /bulkUpload API-slutpunkt som används med giltig OAuth-token.
- Klientadministratörer måste ge API-klienter som interagerar med den här etableringsappen Graph-behörigheten
SynchronizationData-User.Upload. - Graph API-slutpunkten accepterar giltiga nyttolaster för massbegäran med hjälp av SCIM-schemakonstruktioner.
- Med SCIM-schematillägg kan du skicka valfritt attribut i nyttolasten för massbegäran.
- Hastighetsgränsen för API:et för inkommande etablering är 40 massuppladdningsbegäranden per sekund. Varje massbegäran kan innehålla högst 50 användarposter, vilket ger stöd för en uppladdningshastighet på 2 000 poster per sekund.
- Varje API-slutpunkt är associerad med en specifik etableringsapp i Microsoft Entra-ID. Du kan integrera flera datakällor genom att skapa en etableringsapp för varje datakälla.
- Inkommande nyttolaster för massbegäran bearbetas nästan i realtid.
- Administratörer kan kontrollera etableringsstatusen genom att visa etableringsloggarna.
- API-klienter kan spåra förloppet genom att köra frågor mot API:et för etableringsloggar.
Licenskrav
Den här funktionen är tillgänglig med Microsoft Entra ID P1-, P2- och Microsoft Entra ID-styrningslicenser. Information om hur du hittar rätt licens för dina krav finns i Grunderna för Microsoft Entra ID-styrningslicensiering.
Api-användningsvägledning
/bulkUpload API-slutpunkten utökar antalet sätt som du kan hantera användare på i Entra-ID. Om du vill hjälpa dig att avgöra om /bulkUpload API-slutpunkten är rätt för ditt integreringsscenario kan du läsa den här tabellen som jämför den med andra API-baserade integreringsalternativ.
| Användningsfallsscenario för API-mappning | API för användarskapande | MASS-API för inkommande HR | API för användarinbjudan | API för direkttilldelning |
|---|---|---|---|---|
| När ditt scenario för identitetsskapande är... | Skapa ad hoc-användare i Entra-ID för en användare som inte är associerad med någon arbetare i en HR-källa | Källan till anställdas poster från en auktoritativ HR-källa och du vill att de anställda ska ha "medlemskonton" i Entra-ID eller lokal Active Directory | Skapa ad hoc-gästanvändare i Entra-ID, i delningssyfte, där gästen har unika åtkomsträttigheter | Åtkomsttilldelning för befintliga användare och (förhandsversion) gästskapande i Entra-ID för att ge den nya gäststandardiserade åtkomsten |
| ... använd API:et... | Skapa användare | Utför bulkUpload. | Skapa inbjudan | Skapa accessPackageAssignmentRequest |
| Den resulterande användaren skapas först i... | Entra-ID | Lokalt Active Directory- eller Entra-ID | Entra-ID | Entra-ID |
| Den resulterande användaren autentiserar till... | Entra-ID med det lösenord du anger | Lokal Active Directory för Entra-ID, med ett tillfälligt åtkomstpass som tillhandahålls av Arbetsflöden för Entra-livscykel | Hemklientorganisation eller annan identitetsprovider | Hemklientorganisation eller annan identitetsprovider |
| Efterföljande uppdateringar av användaren kan göras via | Graph API eller Entra-portalen | Graph API eller HR inkommande mass-API eller Entra-portalen | Graph API eller Entra-portalen | Graph API eller Entra-portalen |
| Livscykeln för användaren när deras anställning startar, bestäms av... | Manuella processer | Registrera livscykelarbetsflöden för Entra som utlöses baserat på employeeHireDate attributet |
Berättigandehantering | Automatisk tilldelning med åtkomstpaket för berättigandehantering |
| Livscykeln för användaren när deras anställning avslutas bestäms av... | Manuella processer | Arbetsflöden för avregistrering av entra-livscykel som utlöses baserat på employeeLeaveDateTime attributet |
Åtkomstgranskningar | Rättighetshantering när användaren förlorar sin senaste åtkomstpakettilldelning tas de bort |
Rekommenderad utbildningsväg
| # | Utbildningsmål | Vägledning |
|---|---|---|
| 1. | Du vill veta mer om api-specifikationerna för inkommande etablering. | Se dokumentet /bulkUpload API spec. |
| 2. | Du vill lära dig mer om API-drivna etableringsbegrepp, scenarier och begränsningar. | Se Vanliga frågor och svar om API-driven inkommande etablering. |
| 3. | Som administratörsanvändare vill du snabbt testa API:et för inkommande etablering. | * Skapa EN API-driven etableringsapp för inkommande trafik * Testa API med Graph Explorer |
| 4. | Med ett tjänstkonto eller en hanterad identitet vill du snabbt testa API:et för inkommande etablering. | * Skapa EN API-driven etableringsapp för inkommande trafik * Bevilja API-behörigheter * Testa API med cURL eller Postman |
| 5. | Du vill utöka den API-drivna etableringsappen för att bearbeta fler anpassade attribut. | Se självstudien Utöka API-driven etablering för att synkronisera anpassade attribut |
| 6. | Du vill automatisera dataöverföringen från ditt postsystem till API-slutpunkten för inkommande etablering. | Se självstudierna * Snabbstart med PowerShell * Snabbstart med Azure Logic Apps |
| 7. | Du vill felsöka problem med API för inkommande etablering | Läs felsökningsguiden. |
Externa utbildningsresurser
Följande innehåll, som skapats av våra partner och MicrosoftSVP:er, ger extra vägledning om hur du distribuerar och konfigurerar API-driven etablering för olika integreringsscenarier.
Videovägledningar
- John Savill förklarar hur API-driven etablering fungerar
- Microsoft MVP Nick Ross förklarar hur du konfigurerar API-driven etablering
- Microsoft MVP Nick Ross förklarar hur du hämtar HR-data från en Excel-fil i SharePoint med hjälp av Power Automate och API-driven etablering
- Microsoft partner IdentityXP 4-delsserie om API-driven etablering
Blogginlägg, presentationer och andra användbara länkar
- Microsoft MVP Pim Jacobs artikel som förklarar hur du utför BAMBOO HR API-driven etablering till lokal Active Directory
- Microsoft MVP Pim Jacobs presentation om hur du konfigurerar anslutningsprocessen och leaver-processen med hjälp av API-drivna etablerings- och livscykelarbetsflöden
- Microsoft MVP Marius Solbakkens artikel som förklarar hur du hämtar Excel-data med hjälp av PowerShell-skript och API-driven etablering
- Suryendu Bhattacharyyas artikel om hur du anropar API-drivande etablering med anpassad GitHub-åtgärd
- Microsoft MVP Jan Vidar Elvens Bicep-mall för API-driven etablering