什麼是 Microsoft Entra ID 中的應用程式佈建?
在 Microsoft Entra ID 中,應用程式佈建 一詞是指針對應用程式中自動建立使用者身分識別和角色。
「Microsoft Entra 應用程式佈建」一詞是指在使用者需要存取的應用程式中,自動建立使用者身分識別與角色。 除了建立使用者識別之外,自動佈建還包括在狀態或角色變更時,維護及移除使用者識別。 常見的案例包括將Microsoft Entra 使用者佈建到 Dropbox、Salesforce、ServiceNow等 SaaS 應用程式。
Microsoft Entra ID 也支援將使用者佈建到託管於內部部署或虛擬機器中的應用程式,而不需要開啟任何防火牆。 下表提供通訊協定與支援的連接器對應。
| 通訊協定 | 連接器 |
|---|---|
| SCIM | SCIM - SaaS SCIM - 內部部署/私人網路 |
| LDAP | LDAP |
| SQL | SQL |
| REST | Web 服務 |
| SOAP | Web 服務 |
| 一般檔案 | PowerShell |
| 自訂 | 自訂 ECMA 連接器 合作夥伴建置的連接器和閘道 |
- 自動化佈建:當新的人員加入小組或組織時,自動在正確的系統中為其建立新帳戶。
- 自動取消佈建:當人員離開小組或組織時,在正確的系統中自動停用帳戶。
- 同步處理系統之間的資料:根據目錄或人力資源系統變更,讓應用程式和系統中的身分識別保持最新狀態。
- 佈建群組:將群組佈建至支援群組的應用程式。
- 控管存取:監視和稽核應用程式中佈建的使用者。
- 在棕地案例中順暢部署:比對系統之間現有的身分識別,並可讓您輕鬆進行整合,即便使用者已存在於目標系統亦然。
- 使用豐富的自訂:充分運用可自訂的屬性對應,其中定義了哪些使用者資料應該從來源系統流向目標系統。
- 取得重大事件的警示:佈建服務會提供重大事件的警示,並可讓您根據本身的商業需求定義自訂警示,以進行 Log Analytics 整合。
什麼是 SCIM?
為了協助自動佈建與取消佈建,應用程式會公開專屬使用者與群組 API。 多個應用程式中的使用者管理是一項挑戰,因為每個應用程式都嘗試執行相同的動作。 例如,建立或更新使用者、將使用者新增至群組,或取消佈建使用者。 開發人員實作這些動作時通常會稍有不同。 例如,使用不同的端點路徑、不同的方法來指定使用者資訊,以及不同的結構描述來代表每個資訊元素。
為了克服這些挑戰,跨網域身分識別管理系統 (SCIM) 規格提供了通用的使用者結構描述,可協助使用者在應用程式之間移入、移出和轉移。 SCIM 逐漸成為佈建的既定標準;與安全性聲明標記語言 (SAML) 或 OpenID Connect (OIDC) 等同盟標準搭配使用時,SCIM 可為管理員提供端對端、以標準為基礎的存取管理解決方案。
如需開發 SCIM 端點以將使用者和群組對應用程式的佈建和取消佈建自動化的詳細指引,請參閱建置 SCIM 端點和設定使用者佈建。 許多應用程式會直接與 Microsoft Entra ID 整合。 一些範例包括 Slack、Azure Databricks 和 Snowflake。 對於這些應用程式,請略過開發人員文件,並使用 SaaS 應用程式與 Microsoft Entra ID 整合教學課程 中提供的教學課程。
手動佈建與自動佈建
Microsoft Entra 資源庫中的應用程式支援下列兩種佈建模式之一:
- 手動佈建表示尚未有應用程式的自動 Microsoft Entra 佈建連接器。 您必須手動建立它們。 例如,將使用者直接新增至應用程式的管理入口網站,或上傳包含使用者帳戶詳細資料的試算表。 請參閱應用程式提供的文件,或連絡應用程式開發人員以判斷可用的機制。
- 自動 表示此應用程式可使用 Microsoft Entra 佈建連接器。 請遵循專門用來為應用程式設定佈建的設定教學課程。 在 SaaS 應用程式與 Microsoft Entra ID 整合教學課程 中尋找應用程式教學課程。
當您將應用程式新增至企業應用程式後,該應用程式支援的佈建模式也會顯示在 [佈建] 索引標籤上。
自動佈建的優點
現代組織中使用的應用程式數目會持續成長。 身為 IT 系統管理員,您必須大規模管理存取管理。 您可以使用 SAML 或 OIDC 之類的標準進行單一登入 (SSO),但存取也需要您將使用者佈建到應用程式中。 您可能會認為佈建表示手動建立每個使用者帳戶,或每週上傳 CSV 檔案。 這些流程不僅耗時、成本昂貴且容易發生錯誤。 若要簡化程序,請使用 SAML Just-In-Time (JIT) 將佈建自動化。 企業也需要解決方案,當使用者離開組織,或依據角色變更不再需要存取特定應用程式時,將該使用者取消佈建。
一些使用自動佈建的常見動機包括:
- 盡可能提高佈建流程的效率與正確性。
- 節省與裝載及維護自訂開發的佈建解決方案和指令碼相關的成本。
- 在使用者離開組織時,立即從主要 SaaS 應用程式中移除使用者的身分識別,以保護您的組織。
- 輕鬆將大量使用者匯入至特定的 SaaS 應用程式或系統中。
- 一組原則,用來判斷可登入應用程式的已佈建使用者。
Microsoft Entra 使用者佈建有助於克服這些挑戰。 若要深入了解客戶如何使用 Microsoft Entra 使用者佈建,請閱讀 ASOS 案例研究。 下列影片提供 Microsoft Entra ID 中的使用者佈建概觀。
哪些應用程式與系統可以和 Microsoft Entra 自動使用者佈建搭配使用?
Microsoft Entra 的特色是可為多種熱門 SaaS 應用程式和人力資源系統提供預先整合的支援,以及為實作 SCIM 2.0 標準 特定部分的應用程式提供一般支援。
預先整合的應用程式 (資源庫 SaaS 應用程式):您可以在 整合 SaaS 應用程式與 Microsoft Entra ID 教學課程 中尋找 Microsoft Entra ID 支援其預先整合佈建連接器的所有應用程式。 資源庫中所列的預先整合應用程式通常會使用 SCIM 2.0 型使用者管理 API 進行佈建。
若要要求新的應用程式進行佈建,請參閱 提交要求,在 Microsoft Entra 應用程式資源庫發佈您的應用程式。 針對使用者佈建要求,我們要求應用程式必須具有符合 SCIM 規範的端點。 要求應用程式廠商遵循 SCIM 標準,以便我們可以快速地將應用程式上線到我們的平台。
支援 SCIM 2.0 的應用程式:若要了解如何以一般方式連接可實作 SCIM 2.0 型使用者管理 API 的應用程式,請參閱建置 SCIM 端點和設定使用者佈建。
使用現有目錄或資料庫的應用程式,或提供佈建介面:請參閱教學課程,瞭解如何佈建至 LDAP 目錄、 SQL 資料庫、具有 REST 或 SOAP 介面,或可透過 PowerShell連線。 自訂 ECMA 連接器 或 連接器和合作夥伴所建置的閘道。
透過 SAML 支援 Just-In-Time 佈建的應用程式。
如何對應用程式設定自動佈建?
如需資源庫中所列的預先整合應用程式,請使用現有的逐步指引來設定自動佈建,請參閱 整合 SaaS 應用程式與 Microsoft Entra ID 教學課程。 下列影片說明如何設定 SalesForce 的自動使用者佈建。
對於支援 SCIM 2.0 的其他應用程式,請依照建置 SCIM 端點和設定使用者佈建中的步驟操作。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應