分享方式:

什麼是佈建?

  • 文章

佈建和取消佈建是確保數位身分識別在多個系統上保持一致的程序。 這些程序通常用作身分識別生命週期管理的一部分。

佈建是根據特定條件在目標系統中建立身分識別的程序。 取消佈建是在不再符合條件時,從目標系統移除身分識別的程序。 同步處理是讓已佈建的物件保持最新狀態的程序,以便使來源物件與目標物件相似。

例如,當新員工加入貴組織時,該員工就會進入 HR 系統中。 此時, HR 佈建至 Microsoft Entra ID 可以在 Microsoft Entra ID 中建立對應的使用者帳戶。 查詢 Microsoft Entra ID 的應用程式可以查看該名新員工的帳戶。 如果有未使用 Microsoft Entra ID 的應用程式,則 Microsoft Entra ID 佈建這些應用程式的資料庫,可確保使用者能夠存取使用者需要存取的所有應用程式。 此程序可讓使用者展開工作,並在一開始就能存取所需的應用程式和系統。 同樣地,當其屬性 (例如其部門或僱用狀態) 在 HR 系統中變更時,將這些更新從 HR 系統同步處理到 Microsoft Entra ID 以及其他應用程式和目標資料庫,可確保一致性。

Microsoft Entra ID 目前提供三個自動化佈建區域。 畫面如下:

  • 透過 HR 驅動佈建,從外部非目錄權威記錄系統佈建到 Microsoft Entra ID
  • 透過應用程式佈建,從 Microsoft Entra ID 佈建至應用程式
  • 透過目錄間佈建,在 Microsoft Entra ID 與 Active Directory 網域服務之間佈建

身分識別生命週期管理圖表。

HR 驅動的佈建

HR 佈建圖表。

從 HR 佈建到 Microsoft Entra ID 牽涉到建立物件,通常是代表每個員工的使用者身分識別,但是在某些情況下,則是根據 HR 系統中的資訊,代表部門或其他結構的其他物件。

最常見的案例是,當新的員工加入您的公司時,就會進入 HR 系統。 發生這種情況之後,系統會自動將佈建為 Microsoft Entra ID 中的新使用者,而不是每次新僱用都需要管理介入。 一般而言,從 HR 執行的佈建可能涵蓋下列案例。

  • 僱用新員工 - 將新員工新增至 HR 系統時,系統會在 Active Directory、Microsoft Entra ID 和 Microsoft Entra ID 支援的其他應用程式 (選用) 中自動建立使用者帳戶,並將電子郵件地址寫回至 HR 系統。
  • 員工屬性和個人檔案更新 - 在 HR 系統 (例如姓名、職稱或經理) 中更新員工記錄時,系統會在 Active Directory、Microsoft Entra ID 和 (選擇性) Microsoft Entra ID 支援的其他應用程式中自動更新其使用者帳戶。
  • 員工終止 - 在 HR 中解雇員工時,其使用者帳戶會自動遭到封鎖,而無法在 Active Directory、Microsoft Entra ID 和其他應用程式中登入或遭到移除。
  • 員工重新雇用 - 在雲端 HR 中重新雇用員工時,可以自動重新啟用或重新佈建其舊帳戶 (視您的喜好設定而定)。

有三個部署選項可用於透過 Microsoft Entra ID 進行 HR 驅動佈建:

  1. 適用於具有 Workday 或 SuccessFactors 單一訂用帳戶且未使用 Active Directory 的組織
  2. 適用於具有 Workday 或 SuccessFactors,且同時具有 Active Directory 和 Microsoft Entra ID 的單一訂閱組織
  3. 適用於具有多個 HR 系統,或一個內部部署 HR 系統 (例如 SAP、Oracle eBusiness 或 PeopleSoft) 的組織

如需詳細資訊,請參閱什麼是 HR 驅動佈建?

應用程式佈建

顯示應用程式佈建流程的圖表。

在 Microsoft Entra ID 中,應用程式佈建一詞是指在使用者需要存取的應用程式中,自動建立使用者身分識別的複本,適用於擁有自己的資料存放區 (與 Microsoft Entra ID 或 Active Directory 不同) 的應用程式。 除了建立使用者身分識別以外,自動佈建還包括隨著使用者的狀態或角色變更,在這些應用程式中維護和移除使用者身分識別。 常見的案例包含將 Microsoft Entra ID 使用者佈建到 DropboxSalesforceServiceNow 等應用程式,因為每個應用程式都有與 Microsoft Entra ID 不同的自有使用者存放庫。

Microsoft Entra ID 也支援將使用者佈建到託管於內部部署或虛擬機器中的應用程式,而不需要開啟任何防火牆。 如果您的應用程式支援 SCIM,或您已建立 SCIM 閘道器來連線至您的舊版應用程式,則可以使用 Microsoft Entra 佈建代理程式,直接連線至您的應用程式,以及自動佈建和取消佈建。 如果您的舊版應用程式不支援 SCIM,且依賴 LDAP 使用者存放區、SQL 資料庫或擁有 SOAP 或 REST API 的裝置,則 Microsoft Entra ID 也可以提供支援。

如需詳細資訊,請參閱什麼是應用程式佈建?

目錄間佈建

顯示目錄間佈建的圖表

許多組織都依賴 Active Directory 和 Microsoft Entra ID,而且可能有已連線到 Active Directory 的應用程式,例如內部部署檔案伺服器。

許多組織過去已在內部部署環境中部署 HR 驅動佈建,因此其在 Active Directory 中可能已經有所有員工的使用者身分識別。 目錄間佈建的最常見案例是將已在 Active Directory 中的使用者佈建到 Microsoft Entra ID。 此佈建通常由 Microsoft Entra Connect 同步或 Microsoft Entra Connect 雲端佈建完成。

此外,組織也可能想要從 Microsoft Entra ID 佈建到內部部署系統。 例如,組織可能已將來賓帶入 Microsoft Entra 目錄,但這些來賓需要透過應用程式 Proxy 存取內部部署 Windows 整合式驗證 (WIA) 型 Web 應用程式。 此案例需要在 Microsoft Entra ID 中為這些使用者佈建內部部署 AD 帳戶。

如需詳細資訊,請參閱什麼是目錄間佈建?

下一步