通过

API 驱动的入站预配概念

  • 项目

本文档提供了 Microsoft Entra API 驱动的入站用户预配的概念性概述。

介绍

如今,企业拥有各种权威的记录系统。 若要建立端到端标识生命周期、加强安全态势并遵守法规,Microsoft Entra ID 中的标识数据必须与这些记录系统中管理的员工数据保持同步。 记录系统可以是本地或云中托管的数据库中的 HR 应用、工资单应用、电子表格或 SQL 表。

借助 API 驱动的入站预配,Microsoft Entra 预配服务现在支持与任何记录系统集成。 客户和合作伙伴可使用其选择的任何自动化工具从记录系统检索员工数据并将其引入 Microsoft Entra ID。 IT 管理员可完全控制如何使用属性映射处理和转换数据。 在 Microsoft Entra ID 中提供员工数据后,IT 管理员可以使用生命周期工作流配置适当的 joiner-mover-leaver 业务流程。

支持的方案

使用 API 驱动的入站预配启用多个入站用户预配方案。 此图演示了最常见的方案。

显示 API 工作流方案的关系图。

方案 1:允许 IT 团队使用任何自动化工具导入 HR 数据提取

平面文件、CSV 文件和 SQL 临时表通常用于企业集成方案。 员工、承包商和供应商信息会定期导出为其中一种格式,同时会使用自动化工具将此数据与企业标识目录同步。 借助 API 驱动的入站预配,IT 团队可以使用他们选择的任何自动化工具 (示例:PowerShell 脚本或 Azure 逻辑应用) 将集成现代化和简化。

方案 2:支持 ISV 与 Microsoft Entra ID 建立直接集成

借助 API 驱动的入站预配,HR ISV 可以提供本机同步体验,以便 HR 系统中的更改自动流入 Microsoft Entra ID 和已连接的本地 Active Directory 域。 例如,HR 应用或学生信息系统应用可以在事务完成或在一天结束批量更新时立即将数据发送到 Microsoft Entra ID。

方案 3:使系统集成商能够构建更多到记录系统的连接器

合作伙伴可以生成自定义 HR 连接器,以满足从记录系统到 Microsoft Entra ID 的数据流的不同集成要求。

在上述所有方案中,集成都得到了简化,因为 Microsoft Entra 预配服务接管了执行标识配置文件比较的责任,将数据同步限制为 IT 管理员配置的范围逻辑,并执行 Microsoft Entra 管理中心内托管的基于规则的属性流和转换。

端到端流

入站预配的端到端工作流的图表。

工作流的步骤

  1. IT 管理员从 Microsoft Entra Enterprise 应用库配置 API 驱动的入站用户预配应用
  2. IT 管理员向 API 开发人员/合作伙伴/系统集成商授予访问权限并提供终结点访问详细信息。
  3. API 开发人员/合作伙伴/系统集成商生成 API 客户端,用于将权威标识数据发送到 Microsoft Entra ID。
  4. API 客户端从权威源读取标识数据。
  5. API 客户端向与预配应用关联的预配/bulkUpload API 终结点发送 POST 请求。

    注意

    API 客户端无需对源属性和目标属性值执行任何比较,就能确定 (创建/更新/启用/禁用) 调用的操作。 这会由预配服务自动处理。 API 客户端只需使用 SCIM 架构构造将其打包为批量请求,即可上传从源系统读取的标识数据。

  6. 如果成功,则会返回 Accepted 202 Status
  7. Microsoft Entra 预配服务会处理收到的数据、应用属性映射规则并完成用户预配。
  8. 根据配置的预配应用,将用户预配到本地 Active Directory(混合用户)或 Microsoft Entra ID(纯云用户)。
  9. 然后,API 客户端会查询预配日志 API 终结点,以获取发送的每个记录的状态。
  10. 如果处理任何记录失败,API 客户端可以检查错误详细信息,并在下一个批量请求(第 5 步)中添加与失败操作对应的记录。
  11. IT 管理员可以随时检查预配作业的状态,并在预配日志中查看事件。

API 驱动的入站用户预配的主要功能

  • 作为预配应用提供,该应用公开使用有效 OAuth 令牌访问的异步 Microsoft Graph 预配 /bulkUpload API 终结点。
  • 租户管理员必须向与此预配应用交互的 API 客户端授予 Graph 权限 SynchronizationData-User.Upload
  • 图形 API 终结点使用 SCIM 架构构造接受有效的批量请求有效负载。
  • 使用 SCIM 架构扩展,可以发送批量请求有效负载中的任何属性。
  • 入站预配 API 的速率限制为每秒 40 个批量上传请求。 每个批量请求最多可以包含 50 条用户记录,因此支持每秒 2000 条记录的上传速率。
  • 每个 API 终结点都与 Microsoft Entra ID 中的特定预配应用相关联。 可以通过为每个数据源创建预配应用来集成多个数据源。
  • 将近乎实时地处理传入的批量请求有效负载。
  • 管理员可以通过查看预配日志来检查预进度。
  • API 客户端可以通过查询预配日志 API 来跟踪进度。

许可要求

此功能适用于 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 治理许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

API 使用指南

/bulkUpload API 终结点增加了你可以在 Microsoft Entra ID 中管理用户的方法数量。 若要确定 /bulkUpload API 终结点是否适合集成方案,请参阅下表,该表将其与其他基于 API 的集成选项进行了比较。

用例方案到 API 的映射 用户创建 API HR 入站批量 API 用户邀请 API 直接分配 API
当标识创建方案... 在 Microsoft Entra ID 中为某个不与 HR 源中的任何工作者关联的用户创建临时用户 从权威的 HR 源获取员工记录,并且你希望这些员工在 Microsoft Entra ID 或本地 Active Directory 中拥有“成员”帐户 在 Microsoft Entra ID 中创建临时来宾用户,用于共享目的,来宾拥有独特的访问权限 为现有用户分配访问权限,并在 Microsoft Entra ID 中创建来宾(预览版),为新来宾提供标准化访问权限
...使用 API... 创建用户 执行 bulkUpload 创建邀请 创建 accessPackageAssignmentRequest
生成的用户首先在... Microsoft Entra ID 本地 Active Directory 或 Microsoft Entra ID Microsoft Entra ID Microsoft Entra ID
生成的用户向... Microsoft Entra ID,其中包含你提供的密码 Microsoft Entra ID 的本地 Active Directory,其中包含 Entra 生命周期工作流提供的临时访问密码 主租户或其他标识提供者 主租户或其他标识提供者
对用户的后续更新可以通过 图形 API 或 Microsoft Entra 管理中心 图形 API 或 HR 入站批量 API 或 Microsoft Entra 管理中心 图形 API 或 Microsoft Entra 管理中心 图形 API 或 Microsoft Entra 管理中心
用户开始受雇时的生命周期取决于... 手动过程 基于 employeeHireDate 属性触发的 Entra 入职生命周期工作流 权利管理 使用权利管理访问包的自动分配
用户终止雇佣关系时的生命周期取决于... 手动过程 基于 employeeLeaveDateTime 属性触发的 Entra 离职生命周期工作流 访问评审 用户丢失上次的访问包分配时的权利管理,用户会被移除
# 学习目标 指南
1. 您希望详细了解入站预配 API 规范。 请参阅 /bulkUpload API 规范文档。
2. 你希望更熟悉 API 驱动的预配概念、方案和限制。 请参阅有关 API 驱动的入站预配的常见问题
3. 作为管理员用户,你想要快速测试入站预配 API。 * 创建 API 驱动的入站预配应用
* 使用 Graph Explorer 测试 API
4. 使用服务帐户或托管标识,需要快速测试入站预配 API。 * 创建 API 驱动的入站预配应用
* 授予 API 权限
* 使用 cURLPostman 测试 API
5. 你想要扩展 API 驱动的预配应用,以处理更多自定义属性。 请参阅教程扩展 API 驱动的预配以同步自定义属性
6. 你想要将数据从记录系统自动上传到入站预配 API 终结点。 请参阅教程
* PowerShell 快速入门
* Azure 逻辑应用快速入门
7. 你想排查入站预配 API 问题 请参阅故障排除指南

外部学习资源

以下内容由我们的合作伙伴和 Microsoft MVP 创建,提供了有关如何针对各种集成方案部署和配置 API 驱动型预配的额外指导。

后续步骤