在 Microsoft Entra ID 中规划自动用户预配部署
许多组织依赖于软件即服务 (SaaS) 应用程序(例如 ServiceNow、Zscaler 和 Slack)来提高最终用户生产效率。 过去,IT 工作人员依赖于手动预配方法(例如上传 CSV 文件或使用自定义脚本)来安全管理每个 SaaS 应用程序中的用户标识。 这些过程很容易出错、不安全且难以管理。
Microsoft Entra 自动用户预配可以根据业务规则在 SaaS 应用程序中安全地自动创建、维护和删除用户标识,从而简化了此过程。 借助这种自动化,可以随着提高标识管理系统对基于云的解决方案的依赖性,在仅限云的环境和混合环境中高效扩展这些系统。
要更好地了解该功能,请参阅使用 Microsoft Entra ID 在 SaaS 应用程序中自动预配和取消预配用户。
除了预配到 SaaS 应用程序之外,Microsoft Entra 自动用户预配还支持预配到许多本地和私有云应用程序。 有关详细信息,请参阅 Microsoft Entra 本地应用程序标识预配体系结构。
Learn
用户预配为持续标识监管奠定了基础,并提高了依赖于权威标识数据的业务流程的质量。
主要优点
启用自动用户预配的关键优势包括:
提高工作效率。 可以使用单个用户预配管理界面管理不同 SaaS 应用程序中的用户标识。 此界面提供一组预配策略。
管理风险。 可以基于员工状态或者定义了角色和/或访问权限的组成员资格自动进行更改,以此提高安全性。
解决合规性与治理问题。 Microsoft Entra ID 支持每个用户预配请求的本机审核日志。 请求将在源和目标系统中执行。 借助审核日志可以在单个屏幕中跟踪访问应用程序的用户。
降低成本。 自动用户预配可以避免与手动预配相关的低效和人为错误,从而降低成本。 它减少了自定义开发的用户预配解决方案、脚本和审核日志的需求。
授权
Microsoft Entra ID 使用应用程序库菜单中给出的模板提供任何应用程序的自助式集成。 有关许可证要求的完整列表,请参阅Microsoft Entra 定价页。
应用程序许可
对于你要自动预配的应用程序,需要获取其相应的许可证。 向应用程序所有者咨询分配到该应用程序的用户是否具有适合其应用程序角色的许可证。 如果 Microsoft Entra ID 基于角色管理自动预配,则 Microsoft Entra ID 中分配的角色必须与应用程序许可证相符。 如果在应用程序中拥有的许可证不正确,可能会导致在用户的预配/更新过程中出错。
术语
本文使用了以下术语:
CRUD 操作 - 对用户帐户执行的操作:创建、读取、更新、删除。
单一登录 (SSO) - 用户登录一次后即可访问所有已启用 SSO 的应用程序的能力。 在用户预配上下文中,SSO 是用户通过单个帐户访问使用自动用户预配的所有系统的结果。
源系统 - Microsoft Entra ID 从中进行预配的用户存储库。 Microsoft Entra ID 是面向大多数预先集成的预配连接器的源系统。 但是,SAP、Workday 和 AWS 等云应用程序存在一些例外情况。 有关示例,请参阅从 Workday 到 AD 的用户预配。
目标系统 - Microsoft Entra ID 要预配到的用户存储库。 目标系统通常是 ServiceNow、Zscaler 和 Slack 等 SaaS 应用程序。 目标系统也可以是 AD 等本地系统。
跨域身份管理系统 (SCIM) - 允许自动完成用户预配的开放标准。 SCIM 在标识提供者和服务提供商之间传达用户标识数据。 Microsoft 是标识提供者的一个示例。 Salesforce 则是服务提供商的一个示例。 服务提供商需要用户标识信息,而标识提供者满足该需求。 SCIM 是标识提供者和服务提供商用于来回发送信息的机制。
培训资源
| 资源 | 链接和说明 |
|---|---|
| 点播网络研讨会 | 使用 Microsoft Entra ID 管理企业应用程序 了解 Microsoft Entra ID 如何帮助你实现单一登录 (SSO) 到企业 SaaS 应用程序,以及有关控制访问的最佳做法。 |
| 视频 | Active Azure Directory 中的用户预配是什么? How to deploy user provisioning in Active Azure Directory?(如何在 Active Azure Directory 中部署用户预配?) 将 Salesforce 与 Microsoft Entra ID 集成:如何自动完成用户预配 |
| 在线课程 | SkillUp Online:管理标识 了解如何将 Microsoft Entra ID 与多个 SaaS 应用程序集成,并保护用户对这些应用程序的访问。 |
| 书籍 | 使用 Microsoft Entra ID 对 Web 应用程序执行新式身份验证(开发人员参考)第 1 版。 这是一部权威性的深入指南,其中介绍了如何为这些新环境构建 Active Directory 身份验证解决方案。 |
| 教程 | 请参阅有关如何将 SaaS 应用与 Microsoft Entra ID 集成的教程的列表。 |
| 常见问题解答 | 有关自动用户预配的常见问题解答 |
解决方案体系结构
Microsoft Entra 预配服务通过连接到由每个应用程序供应商提供的用户管理 API 终结点,将用户预配到 SaaS 应用和其他系统。 这些用户管理 API 终结点允许 Microsoft Entra ID 以编程方式创建、更新和删除用户。
适用于混合企业的自动用户预配
在此示例中,用户和/或组是在已连接到本地目录的 HR 数据库中创建的。 Microsoft Entra 预配服务将管理到目标 SaaS 应用程序的自动用户预配。
工作流说明:
在本地 HR 应用程序/系统(例如 SAP)中创建用户/组。
Microsoft Entra Connect 代理按计划运行从本地 AD 到 Microsoft Entra ID 的标识(用户和组)同步。
Microsoft Entra 预配服务针对源系统和目标系统启动初始周期。
Microsoft Entra 预配服务在源系统中查询自初始周期以来已更改的任何用户和组,并在增量周期推送更改。
适用于仅限云的企业的自动用户预配
在此示例中,用户创建操作在 Microsoft Entra ID 中发生,Microsoft Entra 预配服务会管理对目标 (SaaS) 应用程序进行的自动用户预配。
工作流说明:
用户/组在 Microsoft Entra ID 中创建。
Microsoft Entra 预配服务针对源系统和目标系统启动初始周期。
Microsoft Entra 预配服务在源系统中查询自初始周期以来已更新的任何用户和组,并执行任何增量周期。
适用于云 HR 应用程序的自动用户预配
在此示例中,用户和/或组是在云 HR 应用程序(例如 Workday 和 SuccessFactors)中创建的。 Microsoft Entra 预配服务和 Microsoft Entra Connect 预配代理将用户数据从云 HR 应用租户预配到 AD 中。 帐户在 AD 中更新后,将通过 Microsoft Entra Connect 同步到 Microsoft Entra ID,而电子邮件地址和用户名特性可以写回到云 HR 应用租户中。
- “HR团队”在云 HR 应用租户中执行事务。
- Microsoft Entra 预配服务从云 HR 应用租户运行计划的周期,并识别需要处理以便与 AD 同步的更改。
- Microsoft Entra 预配服务使用包含 Azure AD 帐户创建/更新/启用/禁用操作的请求有效负载调用 Azure AD Connect 预配代理。
- Microsoft Entra Connect 预配代理使用服务帐户来管理 AD 帐户数据。
- Microsoft Entra Connect运行增量同步以获取 AD 中的更新。
- AD更新与 Microsoft Entra ID 同步。
- Microsoft Entra 预配服务将电子邮件属性和用户名从 Microsoft Entra ID 写回云 HR 应用租户。
规划部署项目
考虑组织的需求,以确定在环境中部署用户预配的策略。
让合适的利益干系人参与
如果技术项目失败,通常是由于在影响、结果和责任方面不符合预期而导致的。 若要避免这些问题,请确保让合适的利益干系人参与,并通过记录利益干系人及其项目投入和责任,使项目中利益干系人的角色得到充分了解。
规划沟通
沟通对于任何新服务的成功都至关重要。 主动向用户传达其体验、体验如何更改、何时发生任何更改,以及遇到问题时如何获得支持。
规划试点
我们建议先在包含少量用户的测试环境中运行自动用户预配的初始配置,然后再将其扩展到生产环境中的所有用户。 请参阅有关运行试点的最佳做法。
关于试点的最佳做法
通过试点,可以在面向所有人部署某项功能之前,先对一个小组进行测试。 确保在测试过程中,组织内的每个用例都经过全面测试。
在最初阶段,以 IT、可用性和其他可以测试和提供反馈的合适用户为目标试点。 使用此反馈进一步改进你发送给用户的信息和指示,并深入了解你的支持人员可能发现的问题类型。
通过增大目标组的范围,将实施范围扩大至更大的用户组。 通过动态组成员资格扩大组的范围,或手动将用户添加到目标用户组。
规划应用程序连接和管理
使用 Microsoft Entra 管理中心查看和管理支持预配的所有应用程序。 请参阅在门户中查找应用。
确定要使用的连接器类型
启用和配置自动化预配所需的实际步骤因具体应用程序而异。 如果希望自动预配的应用程序已列入Microsoft Entra SaaS 应用库中,则应选择应用特定的集成教程来配置其预先集成的用户预配连接器。
否则,请按照以下步骤操作:
为预先集成的用户预配连接器创建请求。 我们的团队将与你和应用程序开发人员协作,以将应用程序加入到我们的平台中(如果它支持 SCIM)。
使用应用的 BYOA SCIM 通用用户预配支持。 Microsoft Entra ID 必须使用 SCIM 才能将用户预配到应用,而无需预先集成预配连接器。
如果应用程序能够利用 BYOA SCIM 连接器,请参阅 BYOA SCIM 集成教程为应用程序配置 BYOA SCIM 连接器。
有关详细信息,请参阅可在哪些应用程序和系统中使用 Microsoft Entra 自动用户预配?
收集信息以授权应用程序访问
设置自动用户预配是对每个应用程序进行的过程。 对于每个应用程序,需要提供管理员凭据以连接到目标系统的用户管理终结点。
下图显示了所需管理员凭据的一个版本:
虽然有些应用程序需要管理员用户名和密码,但有些应用程序可能需要持有者令牌。
规划用户和组预配
如果为企业应用启用用户预配,则 Microsoft Entra 管理中心将通过特性映射控制其特性值。
确定针对每个 SaaS 应用的操作
每个应用程序可以使用唯一的用户或组特性,这些特性必须映射到 Microsoft Entra ID 中的特性。 应用程序可能只有一部分 CRUD 操作可用。
对于每个应用程序,请记录以下信息:
要对目标系统的用户和/或组对象执行的 CRUD 预配操作。 例如,每个 SaaS 应用业务所有者可能不想要执行所有可能的操作。
源系统中可用的特性
目标系统中可用的特性
系统之间的特性映射。
选择要预配的用户和组
在实现自动用户预配之前,必须确定要预配到应用程序的用户和组。
定义用户和组特性映射
若要实现自动用户预配,需要定义应用程序所需的用户和组特性。 Microsoft Entra 用户对象与每个 SaaS 应用程序的用户对象之间存在一组预先配置的属性和属性映射。 并非所有 SaaS 应用都支持组特性。
Microsoft Entra ID 通过提供常量值或为特性映射编写表达式支持直接的特性到特性映射。 借助这种灵活性,可以精细控制要在目标系统的属性中填充的内容。 可以使用Microsoft Graph API和 Graph 浏览器将用户预配属性映射和架构导出到 JSON 文件并将其导回 Microsoft Entra ID。
有关详细信息,请参阅为 Microsoft Entra ID 中的 SaaS 应用程序自定义用户预配特性映射。
有关用户预配的特殊注意事项
考虑采取以下措施来减少部署后出现的问题:
确保用于在源和目标应用程序之间映射用户/组对象的特性是弹性的。 如果特性发生更改(例如,某个用户调到了公司的其他部门),不应会导致错误地预配用户/组。
应用程序可能存在特定的限制和/或要求,需要满足这些要求才能正常进行用户预配。 例如,Slack 会截断某些特性的值。 请参阅特定于每个应用程序的自动用户预配教程。
确认源与目标系统之间的架构一致性。 常见问题包括 UPN 或 mail 等特性不匹配。 例如,Microsoft Entra ID 中的 UPN 设置为john_smith@contoso.com,在应用中,它为jsmith@contoso.com。 有关详细信息,请参阅用户和组架构参考。
规划测试和安全性
在每个部署阶段,请确保测试结果是否符合预期,并审核预配周期。
规划测试
首先,为应用程序配置自动用户预配。 然后运行测试用例,以验证解决方案是否满足组织的要求。
| 方案 | 预期结果 |
|---|---|
| 将用户添加到已分配给目标系统的组。 | 已在目标系统中预配用户对象。 用户可以登录到目标系统并执行所需的操作。 |
| 将用户从分配给目标系统的组中移除。 | 已在目标系统中取消预配用户对象。 用户无法登录到目标系统。 |
| 通过任何方法更新 Microsoft Entra ID 中的用户信息。 | 增量周期完成后,更新后的用户特性将反映在目标系统中。 |
| 用户超出范围。 | 已禁用或删除用户对象。 注意:对于 Workday 预配,将替代此行为。 |
规划安全性
在部署过程中,通常需要进行安全评审。 如果需要进行安全评审,请参阅提供标识即服务概述的众多 Microsoft Entra ID 白皮书。
规划回滚
如果自动用户预配实现在生产环境中无法按需工作,则可以使用以下回滚步骤来帮助还原到以前的已知正常状态:
查看预配日志,以确定对受影响的用户和/或组执行了哪些不正确的操作。
使用预配审核日志来确定受影响用户和/或组的上次已知正常状态。 另请查看源系统(Microsoft Entra ID 或 AD)。
与应用程序所有者协作,使用上次已知正常状态值来更新应用程序中直接受影响的用户和/或组。
部署自动用户预配服务
选择符合解决方案要求的步骤。
为初始周期做好准备
当 Microsoft Entra 预配服务首次运行时,针对源系统和目标系统的初始周期将为每个目标系统的所有用户对象创建快照。
为应用程序启用自动预配时,初始周期需要 20 分钟甚至几个小时。 持续时间取决于 Microsoft Entra 目录的大小,以及预配范围内的用户数。
在初始周期完成后,预配服务将存储这两个系统的状态,从而可以提高后续增量周期的性能。
配置自动用户预配
使用 Microsoft Entra 管理中心管理支持它的应用程序的自动用户帐户预配和取消预配。 请按照如何设置为自动预配到应用程序?中的步骤操作
还可以使用Microsoft 图形 API配置和管理 Microsoft Entra 用户预配服务。
管理自动用户预配
部署后,需要管理解决方案。
监视用户预配操作运行状况
成功完成初始周期后,Microsoft Entra 预配服务将按照特定于每个应用程序的间隔无限期运行增量更新,直到发生以下事件之一:
已手动停止该服务,并使用 Microsoft Entra 管理中心或相应的 Microsoft Graph API 命令触发了新的初始周期。
新的初始周期会触发特性映射或范围筛选器的更改。
预配进程会因错误率较高进入隔离区,并保留在隔离区四周以上,然后会自动禁用。
要查看这些事件以及预配服务执行的所有其他活动,请参阅 Microsoft Entra 预配日志。
若要了解预配周期的持续时间并监视预配作业的进度,可以检查用户预配的状态。
从报告中获取见解
Microsoft Entra ID 可以通过审核日志和报告提供有关组织中用户预配使用情况和运营健康状况的更多见解。 要详细了解用户见解,请参阅检查用户预配的状态。
管理员应检查预配摘要报告,以监视预配作业的运行状况。 Microsoft Entra 审核日志中记录了用户预配服务执行的所有活动。 请参阅教程:有关自动用户帐户预配的报告。
建议你承担这些报告的所有权,并根据符合组织要求的频率使用这些报告。 Microsoft Entra ID 将大多数审核数据保留 30 天。
疑难解答
请参阅以下链接来排查预配期间可能会出现的任何问题: