什么是 Microsoft Entra ID 中的应用预配?
在 Microsoft Entra ID 中,术语“应用预配”是指自动为应用程序创建用户标识和角色。
Microsoft Entra 应用程序预配是指在用户需要访问的应用程序中自动创建用户标识和角色。 除了创建用户标识外,自动预配还包括在状态或角色发生更改时维护和删除用户标识。 常见方案包括将 Microsoft Entra 用户预配到 Dropbox、Salesforce、ServiceNow 等 SaaS 应用程序中。
Microsoft Entra ID 还支持将用户预配到托管在本地或虚拟机中的应用程序中,而无需打开任何防火墙。 下表提供了协议与受支持的连接器之间的映射。
协议 | 连接器 |
---|---|
SCIM | SCIM - SaaS SCIM - 本地/专用网络 |
LDAP | LDAP |
SQL | SQL |
REST | Web 服务 |
SOAP | Web 服务 |
平面文件 | PowerShell |
“自定义” | 自定义 ECMA 连接器 合作伙伴构建的连接器和网关 |
- 自动预配:在新人加入团队或组织时,在适当的系统中为他们自动创建新帐户。
- 自动取消预配:在新人离开团队或组织时,在适当的系统中自动停用其帐户。
- 同步系统之间的数据:使应用和系统中的标识基于目录或人力资源系统中的更改保持最新。
- 预配组:将组预配到支持它们的应用程序。
- 治理访问权限:监视和审核应用程序中预配的用户。
- 在棕地方案中无缝部署:在系统之间匹配现有标识,允许轻松集成,即使目标系统中已存在用户也是如此。
- 使用丰富的自定义:利用可自定义的属性映射,以定义应将哪些用户数据从源系统流向目标系统。
- 获取关键事件的警报:预配服务针对关键事件提供警报,允许进行 Log Analytics 集成,以便你可以在其中定义自定义警报来满足业务需求。
什么是 SCIM?
为了帮助自动进行预配和取消预配,应用会公开专有用户和组 API。 在多个应用中进行用户管理是一项挑战,因为每个应用都将尝试执行相同的操作。 例如,创建或更新用户、将用户添加到组或取消预配用户。 通常,开发人员实现这些操作的方式略有不同。 例如,使用不同的终结点路径,用不同方法指定用户信息,以及用不同架构表示信息的每个元素。
为了解决这些难题,跨域身份管理系统 (SCIM) 规范提供了一个公共用户架构,可帮助用户移入、移出应用和围绕应用移动。 SCIM 正在成为预配的事实标准,与联合标准(例如安全断言标记语言 (SAML) 或 OpenID Connect (OIDC))结合使用时,可为管理员提供基于标准的端到端访问权限管理解决方案。
有关开发 SCIM 终结点以自动将用户和组预配和取消预配到应用程序的详细指南,请参阅生成 SCIM 终结点并配置用户预配。 许多应用程序直接与 Microsoft Entra ID 集成。 示例包括 Slack、Azure Databricks 和 Snowflake。 对于这些应用,跳过开发者文档并使用集成 SaaS 应用程序和 Microsoft Entra ID 教程中提供的教程。
手动预配与自动预配
Microsoft Entra 库中的应用程序支持以下两种预配模式之一:
- 手动预配意味着尚没有用于应用的自动 Microsoft Entra 预配连接器。 你必须手动创建它们。 例如将用户直接添加到应用的管理门户中,或上传包含用户帐户详细信息的电子表格。 请查阅应用提供的文档,或联系应用开发人员以确定可以使用哪些机制。
- 自动意味着 Microsoft Entra 预配连接器对此应用程序可用。 请遵循特定于设置应用程序预配的设置教程。 在集成 SaaS 应用程序和 Microsoft Entra ID 教程中查找应用教程。
将应用程序添加到企业应用后,应用程序支持的预配模式也会显示在“预配”选项卡上。
自动预配的优点
现代组织中使用的应用程序数量在不断增长。 作为 IT 管理员,你必须大规模管理访问管理。 你使用 SAML 或 OIDC 等标准来实现单一登录 (SSO),但访问还需要你将用户预配到应用中。 你可能认为预配意味着手动创建每个用户帐户或每周上传 CSV 文件。 这些过程非常耗时、成本高昂且容易出错。 为简化此过程,请使用 SAML 即时 (JIT) 来自动预配。 使用相同的流程在用户离开组织或不再需要基于角色更改访问某些应用时取消用户预配。
使用自动预配的一些常见动机包括:
- 最大程度提高预配过程的效率和准确性。
- 节省与托管和维护定制开发的预配解决方案和脚本相关的成本。
- 通过在用户离开组织时立即删除其在关键 SaaS 应用中的标识,从而保护组织。
- 轻松将大量用户导入特定的 SaaS 应用程序或系统。
- 一组策略,用于确定可登录应用的已预配用户。
Microsoft Entra 用户预配可帮助解决这些难题。 若要了解有关客户如何使用 Microsoft Entra 用户预配的详细信息,请阅读 ASOS 案例研究。 以下视频概述了 Microsoft Entra ID 中的用户预配。
可在哪些应用程序和系统中使用 Microsoft Entra 自动用户预配?
Microsoft Entra 功能预先集成了对许多常见 SaaS 应用和人力资源系统的支持,以及对实现 SCIM 2.0 标准特定部分的应用的一般性支持。
预先集成的应用程序(库 SaaS 应用):可以在用于将 SaaS 应用程序与 Microsoft Entra ID 集成的教程中查找 Microsoft Entra ID 支持预先集成的预配连接器的所有应用程序。 库中列出的预先集成应用程序通常使用基于 SCIM 2.0 的用户管理 API 进行预配。
若要请求预配新的应用程序,请参阅提交请求以在 Microsoft Entra 应用程序库中发布应用程序。 对于用户预配请求,我们要求应用程序具有与符合 SCIM 标准的终结点。 请求应用程序供应商遵循 SCIM 标准,以便我们可以将应用快速加入我们的平台。
支持 SCIM 2.0 的应用程序:有关如何在一般情况下连接实现基于 SCIM 2.0 的用户管理 API 的应用程序的信息,请参阅生成 SCIM 终结点并配置用户预配。
使用现有目录或数据库或提供预配接口的应用程序:请参阅有关如何预配到 LDAP 目录、SQL 数据库、具有 REST 或 SOAP 接口,或者如何通过 PowerShell、自定义 ECMA 连接器或合作伙伴构建的连接器和网关访问的教程。
支持通过 SAML 进行即时预配的应用程序。
如何设置为自动预配到应用程序?
对于库中列出的预集成应用程序,请使用现有的分步指南设置自动预配,请参阅集成 SaaS 应用程序和 Microsoft Entra ID 教程。 以下视频展示了如何设置 SalesForce 的自动用户预配。
对于支持 SCIM 2.0 的其他应用程序,请按照生成 SCIM 终结点并配置用户预配中的步骤进行操作。