Microsoft Entra Id'de SCIM Sağlama API'sini etkinleştirme

Bu makalede, Microsoft Entra yönetim merkezinde SCIM Sağlama API'sinin nasıl etkinleştirileceği açıklanır. Etkinleştirildikten sonra, Microsoft Entra ID kiracınızdaki kullanıcı ve grupların yönetimini otomatikleştirmek için SCIM 2.0 protokolunu kullanabilirsiniz.

Uyarı

Microsoft Entra ID, bu özelliği etkinleştirerek SCIM hizmet sağlayıcısı (sunucu) görevi üstlenerek İk uygulamaları, kimlik platformları, düzenleme araçları veya özel otomasyon çerçeveleri gibi dış SCIM uyumlu istemcilerin, uygun ölçekte standart SCIM işlemlerini kullanarak Entra'daki kullanıcıları ve grupları sağlamasına ve yönetmesine olanak tanır. Bu özellik, SCIM API'sine doğrudan programatik erişim için tasarlanmıştır; Entra ID'nin yerleşik uygulama sağlama, İK odaklı sağlama veya API tabanlı sağlama özelliklerini kullanacaksanız, bunu etkinleştirmenize gerek yok. Daha fazla ayrıntı için Entra Id'de SCIM desteğine bakın.

TAM API başvurusu için bkz. Microsoft Entra ID SCIM API başvurusu.

Önkoşullar

• Entra Id P1 lisansı veya Entra Id P1 içeren herhangi bir lisans (ör. Entra Id P2, Microsoft 365 E3, Microsoft 365 E5 vb.)
• Faturalama için bağlanılacak etkin bir Azure aboneliği.
• SCIM API'sini çağırmak için gereken izinlere sahip bir uygulama kaydı oluşturmak için Uygulama Yöneticisi veya Bulut Uygulaması Yöneticisi rolüne sahip bir yönetici.
• SCIM API faturalamasını etkinleştirmek ve Azure aboneliğini bağlamak için Faturalama Yöneticisi rolüne sahip bir yönetici.

Lisans ve faturalama

SCIM Sağlama API'si, abonelik ve faturalama yapılandırması gerektiren ücretli bir eklentidir:

• Maliyet: Bkz. API çağrısı fiyatlandırması.
• Fatura: Aylık, bağlı bir Azure aboneliği aracılığıyla.

SCIM Sağlama API'sini etkinleştirme

Microsoft Entra yönetim merkezinden SCIM Sağlama API'sini açmak için aşağıdaki adımları kullanın.

1. Microsoft Entra yönetim merkezinde oturum açın.

2. Sol gezinti bölmesinde Kimlik İdaresi'ni genişletin ve Pano'yu seçin.

3. Pano sayfasında SCIM Sağlama API'si karosunu bulun ve Başlamak için seçin. Özellik daha önce yapılandırılmışsa kutucukta geçerli durum ve bunun yerine Düzenle düğmesi gösterilir.

4. Sağ tarafta açılan SCIM Sağlama API'sinde :

   1. Bağlantı aboneliği altında açılan listeden bir Azure aboneliği seçin.

   2. Var olan bir Kaynak grubunu seçin veya oluşturmak için Yeni oluştur'u seçin.

   3. Faturalama Birimi ayrıntılarını gözden geçirin. Her SCIM Sağlama API'si çağrısı faturalandırılır.

   4. Aç'ı seçin.

5. Özellik etkinleştirildikten sonra, ScIM Sağlama API'sini göstermek için Panodaki SCIM Sağlama API'si kutucuğu etkinleştirilir.

SCIM API istemcisi için kimlik bilgilerini ayarlama

SCIM Sağlama API'sini etkinleştirdikten sonra, SCIM istemcinizin kimlik doğrulaması için kullandığı kimlik bilgilerini ayarlayın. Aşağıdaki seçeneklerden birini belirleyebilirsiniz.

Uyarı

SCIM API'leri yalnızca uygulama bağlamında (yalnızca uygulama belirteci) çalışır ve vekil, kullanıcı adına hareket eden senaryoları desteklemez. Sonuç olarak, gibi assignedLabelstemsilci yetkilendirmesi gerektiren özellikler SCIM aracılığıyla güncelleştirilemez.

1. Seçenek: Uygulamayı kaydetme (istemci kimlik bilgileri akışı)

Microsoft Entra kiracınıza bir uygulama kaydedin, gerekli uygulama izinlerini verin ve erişim belirteci almak için OAuth 2.0 istemci kimlik bilgileri verme akışını kullanın.

1. Microsoft kimlik platformu ile bir uygulamayı kaydedin. Uygulama kaydından aşağıdaki değerleri kaydedin:

   • Uygulama kimliği (Microsoft Entra yönetim merkezinde Nesne Kimliği olarak adlandırılır).
   • İstemci gizli anahtarı (uygulama parolası), sertifika veya federasyon kimlik bilgileri.

2. API izinleri'nin altında Microsoft Graph>Uygulama izinleri'ni seçin ve SCIM API'lerini nasıl kullanmayı planladığınıza bağlı olarak aşağıdaki izinlerden birini veya daha fazlasını verin:

   İzin	Açıklama
   User.Read.All	Kullanıcılara salt okunur erişim.
   User.ReadWrite.All	Kullanıcılara okuma ve yazma erişimi.
   User-Mail.ReadWrite.All	Minimum ayrıcalıklı izin ile emails[type eq "other"].value ögesini, otherMails kullanıcı özelliğine eşlemek için güncelleştirin
   User-Phone.ReadWrite.All	PhoneNumbers'ı güncelleştirmek için en az ayrıcalıklı izin[eq "mobile"].value ve phoneNumbers[type eq "work"].value sırasıyla mobilePhone ve businessPhones kullanıcı özellikleriyle eşlenen
   User.EnableDisableAccount.All	AccountEnabled kullanıcı özelliğine eşlenen etkin SCIM özniteliğini güncelleştirmek için en az ayrıcalıklı izin
   Group.Read.All	Gruplara salt okunur erişim.
   Group.ReadWrite.All	Gruplara okuma ve yazma erişimi.
   CustomSecAttributeAssignment.Read.All	Kullanıcılar üzerindeki Özel Güvenlik Özniteliklerine salt okunur erişim.
   CustomSecAttributeAssignment.ReadWrite.All	Kullanıcılardaki Özel Güvenlik Özniteliklerine okuma ve yazma erişimi.
   CustomSecAttributeDefinition.Read.All	Özel Güvenlik Öznitelikleri şemasına okuma erişimi.
   User-LifeCycleInfo.ReadWrite.All	gibi employeeLeaveDateTimeyaşam döngüsü özniteliklerini güncelleştirin.

3. Atanan tüm izinler için Yönetici onayı verin.

4. Yer tutucu değerlerini ortamınızla eşleşecek şekilde değiştirerek bir erişim belirteci almak için aşağıdaki HTTP isteğini kullanın. Üretim kullanımı için kimlik doğrulaması için istemci sertifikası veya yönetilen kimlik kullanılması kesinlikle önerilir.

   İstek:

   POST https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token HTTP/1.1
   Host: login.microsoftonline.com
   Content-Type: application/x-www-form-urlencoded
   
   client_id={client_id}&scope=https%3A%2F%2Fgraph.microsoft.com%2F.default&client_secret={client_secret}&grant_type=client_credentials
   

   Yanıt (200 Tamam):

   {
     "token_type": "Bearer",
     "expires_in": 3599,
     "access_token": "eyJhbGciOiJIUzI1NiJ9…"
   }
   

5. SCIM API'yi Authorization çağırırken erişim belirtecini başlığa (Bearer düzeni) ekleyin.

2. Seçenek: Yönetilen kimlik kullanma

SCIM istemcinizi barındıran Azure kaynağına yönetilen bir kimlik (sistem tarafından atanan veya kullanıcı tarafından atanan) atayın ve 1. Seçenek'te listelenen Microsoft Graph uygulaması izinlerini verin.

1. Azure kaynağınızda yönetilen kimliği etkinleştirin (örneğin, bir sanal makine veya Azure İşlevi).

2. Yönetilen kimliğe , Seçenek 1'deki tabloda listelenen gerekli Microsoft Graph uygulama izinlerini verin.

3. Çalışma zamanında, yönetilen kimlik uç noktasından bir erişim belirteci alın ve SCIM API'sini Authorization çağırırken üst bilgisine ekleyin.

Yönetilen kimlikle belirteç alma hakkında daha fazla bilgi için bkz. Erişim belirteci almak için Azure VM'de Azure kaynakları için yönetilen kimlikleri kullanma.

SCIM API uç noktalarını çağırma

Kimlik bilgilerini ayarladıktan ve erişim belirteci aldıktan sonra SCIM API uç noktalarını çağırmaya başlayabilirsiniz. Aşağıdaki örnek, Microsoft Entra ID SCIM entegrasyonu için hizmet sağlayıcısı konfigürasyonunu alır.

İstek:

GET https://graph.microsoft.com/rp/scim/serviceproviderconfig HTTP/1.1
Authorization: Bearer <access_token>
Accept: application/json
Host: graph.microsoft.com

Yanıt (200 Tamam):

{
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:ServiceProviderConfig"],
  "documentationUri": "/graph/overview",
  "pagination": {
    "cursor": true,
    "index": false,
    "defaultPaginationMethod": "cursor",
    "defaultPageSize": 100,
    "maxPageSize": 1000
  },
  "patch": {
    "supported": true
  },
  "bulk": {
    "supported": false,
    "maxOperations": 0,
    "maxPayloadSize": 0
  },
  "filter": {
    "supported": true,
    "maxResults": 200
  }
}

Kullanıcı ve grup yönetimi de dahil olmak üzere desteklenen SCIM işlemlerinin tam listesi için bkz. Microsoft Entra ID SCIM API başvurusu.

SCIM API faturalama bilgilerini görüntüleme

SCIM API kullanımı, özelliği etkinleştirdiğinizde bağladığınız Azure aboneliği ve kaynak grubu aracılığıyla faturalandırılır. Maliyet analizi dikey penceresini kullanarak Azure portalında birikmiş maliyetleri ve kullanım tahminlerini görüntüleyebilirsiniz.

Faturalamayı görüntüleme önkoşulları

Maliyet analizine erişmek için bağlı kaynak grubunda aşağıdaki Azure rollerinden birine sahip olmanız gerekir:

• Owner
• Contributor
• Reader
• Maliyet Yönetimi Okuyucusu

Faturalamayı görüntüleme adımları

1. Azure portalınaoturum açın.

2. Üstteki arama çubuğunda Kaynak grupları'nı arayın ve seçin.

3. Kaynak grupları listesinden SCIM API faturalamasını etkinleştirirken bağladığınız kaynak grubunu seçin.

4. Sol gezinti bölmesinde Maliyet Yönetimi'ni genişletin ve Maliyet analizi'ni seçin.

5. Maliyet analizi görünümünde:

   • Kapsam'ı kaynak grubunuz olarak ayarlayın.
   • GörünümüAccumulatedCosts olarak ayarlayın.
   • Tarih aralığını gözden geçirmek istediğiniz aya ayarlayın.

6. Grafik, seçilen dönem boyunca birikmiş SCIM API harcamalarınızı gösterir. En üstteki özet kartlar aşağıdakileri gösterir:

   • Gerçek maliyet (USD) – geçerli dönemde şu ana kadar faturalanan ücretler.
   • Tahmin : Geçerli kullanıma göre dönem için öngörülen toplam maliyet.

7. Maliyetleri Hizmet adına, Konuma ve Kaynağa göre görüntülemek için alttaki döküm kutucuklarını kullanın. SCIM API ücretleri, hizmet adı olarak Microsoft Entra altında görünür.

Sonraki Adımlar

• SCIM Sağlama API'sini devre dışı bırakma – Tüm API erişimini ve faturalamasını durdurmak için SCIM Sağlama API'sini kapatmayı öğrenin.
• Microsoft Entra ID SCIM API başvurusu – Desteklenen SCIM API uç noktaları, istek biçimleri ve kısıtlamalar hakkında bilgi edinin.
• SCIM API hatalarını giderme – SCIM API'leri çağrılırken karşılaşılan yaygın hataları çözün.