什么是预配?

  • 项目

预配和取消预配是确保多个系统之间数字标识一致性的过程。 这些过程通常用作标识生命周期管理的一部分。

预配是在目标系统中基于特定条件创建标识的过程。 取消预配是在不再满足条件时从目标系统中删除标识的过程。 同步是使预配的对象保持最新状态的过程,目的是使源对象和目标对象相似。

例如,当某个新员工加入组织时,会在人力资源 (HR) 系统中输入该员工。 此时,将 HR 配置 Microsoft Entra ID 可以在 Microsoft Entra ID 中创建相应的用户帐户。 查询 Microsoft Entra ID 的应用程序可以查看该新员工的帐户。 如果存在不使用 Microsoft Entra ID 的应用程序,则 Microsoft Entra ID 预配这些应用程序的数据库,确保用户能够访问用户需要访问的所有应用程序。 这一过程使用户能够开始工作,且在第一天就有权访问所需的应用程序和系统。 同样,当用户属性(例如部门或雇用状态)在 HR 系统中更改时,这些更新将从 HR 系统同步到 Microsoft Entra ID,以及其他应用程序和目标数据库,确保一致性。

Microsoft Entra ID 目前提供三个自动预配领域。 它们是:

  • 通过 HR 驱动的预配将记录从外部非目录权威系统预配到 Microsoft Entra ID
  • 通过应用预配从 Microsoft Entra ID 预配到应用程序
  • 通过目录间预配在 Microsoft Entra ID 和 Active Directory 域服务之间预配

Diagram of the identity lifecycle management.

HR 驱动的预配

Diagram of the HR provisioning.

从 HR 到 Microsoft Entra ID 的预配涉及到创建对象,通常需创建表示每个员工的用户标识,但在某些情况下,需创建表示部门或其他结构的其他对象,具体取决于你的 HR 系统中的信息。

最常见的场景是,当新员工加入公司时,将其输入到 HR 系统中。 发生这种情况时,他们会自动预配为 Microsoft Entra ID 中的新用户,而无需对每个新员工进行管理干预。 通常情况下,从 HR 进行预配可能涵盖以下场景。

  • 招聘新员工 - 将新员工添加到 HR 系统后,Active Directory、Microsoft Entra ID、(可选)Microsoft Entra ID 支持的其他应用程序的目录中会自动创建一个用户帐户,并将电子邮件地址写回到 HR 系统。
  • 员工特性和个人资料更新 - 在 HR 系统中更新员工记录(例如其姓名、职称或上司)后,Active Directory、Microsoft Entra ID 和(可选)Microsoft Entra ID 支持的其他应用程序中会自动更新相应员工的用户帐户。
  • 员工离职 - 当员工在 HR 中为离职状态时,会自动阻止其用户帐户登录或将该账户从 Active Directory、Microsoft Entra ID 和其他应用程序中删除。
  • 员工重新雇用 - 当员工在云 HR 中的状态为重新雇用时,他们的旧帐户可以自动重新激活或重新预配(具体取决于你的首选项)。

使用 Microsoft Entra ID 进行的 HR 驱动的预配可用于以下三种部署选项:

  1. 适用于只有 Workday 或 SuccessFactors 订阅且不使用 Active Directory 的组织
  2. 适用于只有 Workday 或 SuccessFactors 订阅且同时具有 Active Directory 和 Microsoft Entra ID 的组织
  3. 适用于具有多个 HR 系统或一个本地 HR 系统(如 SAP、Oracle eBusiness 或 PeopleSoft)的组织

有关详细信息,请参阅什么是 HR 驱动的预配?

应用预配

Diagram that shows the app provisioning flow.

在 Microsoft Entra ID 中,应用预配一词是指在用户需要访问的应用程序中自动创建用户标识的副本,因为应用程序有自己的数据存储,不同于 Microsoft Entra ID 或 Active Directory。 除了创建用户标识外,应用预配还包括在用户状态或角色发生更改时,维护和删除这些应用中的用户标识。 常见场景包括将 Microsoft Entra 用户预配到 DropboxSalesforceServiceNow 等应用程序,因为这些应用程序都有各自的用户存储库,不同于 Microsoft Entra ID。

Microsoft Entra ID 还支持将用户预配到托管在本地或虚拟机中的应用程序中,而无需打开任何防火墙。 如果应用程序支持 SCIM,或者你已构建 SCIM 网关来连接到旧版应用程序,那么你可使用 Microsoft Entra 预配代理直接连接到应用程序,并自动执行预配和取消预配操作。 如果旧版应用程序不支持 SCIM,并且依赖于 LDAP 用户存储或 SQL 数据库,或者拥有 SOAP or REST API,那么 Microsoft Entra ID 也可支持这些应用程序。

有关详细信息,请参阅什么是应用预配?

目录间预配

Diagram that shows the inter-directory provisioning

许多组织同时依赖于 Active Directory 和 Microsoft Entra ID,并且可能会将应用程序连接到 Active Directory,例如本地文件服务器。

许多组织过去都已在本地部署了 HR 驱动的预配,他们可能已经在 Active Directory 中为其所有员工提供了用户标识。 目录间预配的最常见场景是将已在 Active Directory 中的用户预配到 Microsoft Entra ID 中。 此预配通常可以通过 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 云预配来完成。

此外,组织可能还希望从 Microsoft Entra ID 预配到本地系统。 例如,组织可能已将来宾置于 Microsoft Entra 目录中,但这些来宾将需要通过应用代理访问基于 Windows 集成身份验证 (WIA) 的本地 Web 应用程序。 此场景要求为 Microsoft Entra ID 中的用户预配本地 AD 帐户。

有关详细信息,请参阅什么是目录间预配?

后续步骤