在 Microsoft Entra ID 中為多租使用者應用程式啟用自動使用者布建
自動使用者布建是自動化在目標系統中建立、維護和移除使用者身分識別的程式,例如軟體即服務應用程式。
為什麼要啟用自動使用者布建?
使用者第一次登入之前,要求使用者記錄存在於應用程式中的應用程式需要使用者布建。 身為服務提供者的您有好處,而且對您的客戶有好處。
身為服務提供者的好處
使用 Microsoft 身分識別平臺來增加應用程式的安全性。
減少實際且感知到客戶採用應用程式的工作。
使用系統進行跨網域身分識別管理(SCIM)型布建,以降低與多個識別提供者整合的成本,以自動布建使用者。
藉由提供豐富的記錄來協助客戶針對使用者布建問題進行疑難排解,以降低支援成本。
在 Microsoft Entra 應用程式庫中 增加應用程式的 可見度。
在 [應用程式教學課程] 頁面中取得優先清單。
為客戶帶來好處
為變更角色或將組織留在您的應用程式的使用者自動移除對應用程式的存取權,以提高安全性。
藉由避免人為錯誤和與手動布建相關聯的重複工作,簡化應用程式的使用者管理。
降低裝載和維護自訂開發布建解決方案的成本。
選擇佈建方法
Microsoft Entra ID 提供數個整合路徑,可為您的應用程式啟用自動使用者布建。
Microsoft Entra 布建服務 會管理使用者從 Microsoft Entra ID 布建到您的應用程式(輸出布建),以及從您的應用程式布建到 Microsoft Entra ID(輸入布建)。 服務會連線到應用程式所提供的跨網域身分識別管理系統 (SCIM) 使用者管理 API 端點。
使用 Microsoft Graph 時,您的應用程式會藉由查詢 Microsoft Graph API,管理使用者和群組從 Microsoft Entra ID 到應用程式的輸入和輸出布建。
如果您的應用程式使用 SAML 進行同盟,則可以啟用安全性判斷提示標記語言 Just in Time (SAML JIT) 使用者布建。 它會使用 SAML 權杖中傳送的宣告資訊來布建使用者。
若要協助判斷應用程式要使用的整合選項,請參閱高階比較資料表,然後查看每個選項的詳細資訊。
| 自動布建啟用或增強的功能 | Microsoft Entra 布建服務 (SCIM 2.0) | Microsoft Graph API (OData v4.0) | SAML JIT |
|---|---|---|---|
| Microsoft Entra 識別碼中的使用者和群組管理 | √ | √ | 僅限使用者 |
| 管理從內部部署的 Active Directory同步處理的使用者和群組 | √* | √* | 僅限使用者* |
| 在布建 Microsoft 365 資料的存取權期間,存取使用者和群組以外的資料(Teams、SharePoint、電子郵件、行事曆、檔等) | +X | √ | X |
| 根據商務規則建立、讀取和更新使用者 | √ | √ | √ |
| 根據商務規則刪除使用者 | √ | √ | X |
| 從 Microsoft Entra 系統管理中心管理所有應用程式的自動使用者布建 | √ | X | √ |
| 支援多個識別提供者 | √ | X | √ |
| 支援來賓帳戶 (B2B) | √ | √ | √ |
| 支援非企業帳戶 (B2C) | X | √ | √ |
*– 需要 Microsoft Entra 連線設定,才能將使用者從 AD 同步至 Microsoft Entra ID。
+– 使用 SCIM 進行布建不會妨礙您將應用程式與其他用途的 Microsoft Graph 整合。
Microsoft Entra 布建服務 (SCIM)
Microsoft Entra 布建服務使用 SCIM ,這是許多身分識別提供者 (IdP) 以及應用程式 (例如 Slack、G Suite、Dropbox) 所支援布建的業界標準。 如果您想要除了 Microsoft Entra ID 之外,也支援 IdP,建議您使用 Microsoft Entra 布建服務,因為任何符合 SCIM 規範的 IdP 都可以連線到 SCIM 端點。 建置簡單的 /使用者端點,您可以啟用布建,而不需要維護自己的同步處理引擎。
如需 Microsoft Entra 布建服務使用者 SCIM 方式的詳細資訊,請參閱:
用於布建的 Microsoft Graph
當您使用 Microsoft Graph 進行布建時,您可以存取 Graph 中所有可用的豐富使用者資料。 除了使用者和群組的詳細資料之外,您也可以擷取其他資訊,例如使用者的角色、管理員和直接報告、擁有和註冊的裝置,以及 Microsoft Graph 中 提供的數百個其他資料片段。
超過 1500 萬個組織,而 90% 的財富 500 家公司在訂閱 Microsoft 365、Microsoft Azure 或 Enterprise Mobility Suite 等 Microsoft 雲端服務時,會使用 Microsoft Entra ID。 您可以使用 Microsoft Graph 將應用程式與系統管理工作流程整合,例如員工上線(和終止)、設定檔維護等等。
深入瞭解如何使用 Microsoft Graph 進行布建:
使用 SAML JIT 進行布建
如果您想要只在第一次登入應用程式時布建使用者,而且不需要自動取消布建使用者,SAML JIT 是一個選項。 您的應用程式必須支援 SAML 2.0 做為同盟通訊協定,才能使用 SAML JIT。
SAML JIT 會使用 SAML 權杖中的宣告資訊,在應用程式中建立及更新使用者資訊。 客戶可以視需要在 Microsoft Entra 應用程式中設定這些必要的宣告。 有時候需要從應用程式端啟用 JIT 布建,讓客戶可以使用這項功能。 SAML JIT 適用于建立和更新使用者,但無法刪除或停用應用程式中的使用者。
後續步驟
提交您的應用程式清單 和合作夥伴與 Microsoft 合作,以在 Microsoft 網站上建立檔。