Plánování cloudové personální aplikace pro Azure Active Directory zřizování uživatelů

Pracovníci IT se v minulosti spoléhat na ruční metody vytváření, aktualizace a odstraňování zaměstnanců. Používali metody, jako je nahrání souborů CSV nebo vlastních skriptů pro synchronizaci dat zaměstnanců. Tyto procesy zřizování jsou náchylné k chybám, nezabezpečené a obtížně spravovatelné.

Pokud chcete spravovat životní cyklus identit zaměstnanců, dodavatelů nebo podmíněných pracovníků, nabízí služba zřizování uživatelů Azure Active Directory (Azure AD) integraci s cloudovými aplikacemi lidských zdrojů (HR). Mezi příklady aplikací patří Workday nebo SuccessFactors.

Azure AD tuto integraci používá k povolení následujících pracovních postupů cloudové aplikace hr (aplikace):

  • Zřízení uživatelů do služby Active Directory: Zřízení vybraných sad uživatelů z cloudové aplikace personálního oddělení do jedné nebo více domén Služby Active Directory
  • Zřízení uživatelů jen pro cloud pro Azure AD: Ve scénářích, kdy se služba Active Directory nepoužívá, zřiďte uživatele přímo z cloudové aplikace hr do Azure AD.
  • Zpětný zápis do cloudové aplikace HR: Napište e-mailové adresy a atributy uživatelského jména z Azure AD zpět do cloudové aplikace hr.

Poznámka

Tento plán nasazení ukazuje, jak nasadit pracovní postupy cloudových personálních aplikací se zřizováním uživatelů Azure AD. Informace o tom, jak nasadit automatické zřizování uživatelů do aplikací saaS (software jako služba), najdete v tématu Plánování automatického zřizování uživatelů.

Povolené scénáře personálního oddělení

Služba zřizování uživatelů Azure AD umožňuje automatizaci následujících scénářů správy životního cyklu identit na základě lidských zdrojů:

  • Nábor nových zaměstnanců: Když se do cloudové aplikace personálního oddělení přidá nový zaměstnanec, uživatelský účet se automaticky vytvoří ve službě Active Directory a Azure AD s možností zápisu e-mailové adresy a atributů uživatelského jména do cloudové aplikace personálního oddělení.
  • Aktualizace atributů a profilů zaměstnanců: Když se záznam zaměstnance, jako je jméno, název nebo manažer, aktualizuje v cloudové aplikaci personálního oddělení, jeho uživatelský účet se automaticky aktualizuje ve službě Active Directory a Azure AD.
  • Ukončení zaměstnanců: Když se zaměstnanec ukončí v cloudové aplikaci personálního oddělení, jeho uživatelský účet se automaticky zakáže ve službě Active Directory a Azure AD.
  • Zaměstnanci nabíjejí: Když se zaměstnanec najal v cloudové aplikaci personálního oddělení, může se jeho starý účet automaticky znovu aktivovat nebo znovu vytvořit do služby Active Directory a Azure AD.

Kdo je tato integrace nejvhodnější pro?

Integrace cloudové personální aplikace se zřizováním uživatelů Azure AD je ideální pro organizace, které:

  • Chcete předem připravené cloudové řešení pro zřizování uživatelů personálního oddělení cloudu.
  • Vyžaduje přímé zřizování uživatelů z cloudové aplikace hr do Služby Active Directory nebo Azure AD.
  • Vyžadovat, aby uživatelé byli zřízeni pomocí dat získaných z cloudové aplikace personálního oddělení.
  • Vyžadovat připojení, přesun a ponechání uživatelů, aby se synchronizovali s jednou nebo více doménovými strukturami, doménami a organizačními procesory Služby Active Directory na základě informací o změnách zjištěných v cloudové aplikaci HR.
  • Použijte Microsoft 365 pro e-mail.

Learn

Zřizování uživatelů vytváří základ pro průběžné zásady správného řízení identit. Vylepšuje kvalitu obchodních procesů, které spoléhají na autoritativní data identit.

Terminologie

Tento článek používá následující termíny:

  • Zdrojový systém: Úložiště uživatelů, ze kterého Azure AD zřizuje. Příkladem je cloudová personální aplikace, jako je Workday nebo SuccessFactors.
  • Cílový systém: Úložiště uživatelů, kterým Azure AD zřídí. Příklady jsou Active Directory, Azure AD, Microsoft 365 nebo jiné aplikace SaaS.
  • Proces Joiners-Movers-Leavers: Termín používaný pro nové zaměstnance, přenosy a ukončení pomocí cloudové aplikace hr jako systému záznamů. Proces se dokončí, když služba úspěšně zřídí nezbytné atributy cílového systému.

Klíčové výhody

Tato schopnost zřizování IT řízeného hrou nabízí následující významné obchodní výhody:

  • Zvýšení produktivity: Teď můžete automatizovat přiřazení uživatelských účtů a licencí Microsoft 365 a poskytnout přístup ke skupinám klíčů. Automatizace zadání poskytuje novým zaměstnancům okamžitý přístup k nástrojům úloh a zvyšuje produktivitu.
  • Správa rizika: Zabezpečení můžete zvýšit automatizací změn na základě stavu zaměstnance nebo členství ve skupinách s daty, která proudí z cloudové aplikace personálního oddělení. Automatizace změn zajišťuje, aby se identity uživatelů a přístup k klíčovým aplikacím automaticky aktualizovaly, když uživatelé přejdou nebo opustí organizaci.
  • Řešení dodržování předpisů a zásad správného řízení: Azure AD podporuje nativní protokoly auditu pro žádosti o zřizování uživatelů prováděné aplikacemi zdrojového i cílového systému. Pomocí auditování můžete sledovat, kdo má přístup k aplikacím z jedné obrazovky.
  • Správa nákladů: Automatické zřizování snižuje náklady tím, že se vyhnete nefektivnosti a lidské chybě spojené s ručním zřizováním. Snižuje potřebu vlastních řešení zřizování uživatelů vytvořených v průběhu času pomocí starších a zastaralých platforem.

Licencování

Pokud chcete nakonfigurovat cloudovou aplikaci hr pro zřizování uživatelů Azure AD, potřebujete platnou licenci Azure AD Premium a licenci pro cloudovou aplikaci hr, jako je Workday nebo SuccessFactors.

Potřebujete také platnou licenci na Azure AD Premium P1 nebo vyšší předplatné pro každého uživatele, který bude zdrojován z cloudové aplikace hr a zřízený pro Službu Active Directory nebo Azure AD. Jakýkoli nesprávný počet licencí vlastněných v cloudové aplikaci HR může vést k chybám během zřizování uživatelů.

Požadavky

  • Správce hybridní identity Azure AD pro konfiguraci agenta zřizování azure AD Připojení
  • Role správce aplikací Azure AD ke konfiguraci aplikace zřizování v Azure Portal
  • Testovací a produkční instance cloudové aplikace hr.
  • Oprávnění správce v cloudové aplikaci personálního oddělení k vytvoření uživatele integrace systému a provedení změn testovacích dat zaměstnanců pro účely testování.
  • Pro zřizování uživatelů ve službě Active Directory se vyžaduje server se spuštěným Windows Server 2016 nebo novějším pro hostování agenta zřizování Azure AD Připojení. Tento server by měl být server vrstvy 0 založený na modelu úrovně správy služby Active Directory.
  • Azure AD Připojení pro synchronizaci uživatelů mezi Active Directory a Azure AD.

Školicí materiály

Prostředky Odkaz a popis
Videa Co je zřizování uživatelů ve službě Active Azure Directory?
Nasazení zřizování uživatelů ve službě Active Azure Directory
Kurzy Seznam kurzů o integraci aplikací SaaS se službou Azure AD
Kurz: Konfigurace automatického zřizování uživatelů ve Workday
Časté otázky Automatizované zřizování uživatelů
Zřizování z Workday do Azure AD

Architektura řešení

Následující příklad popisuje architekturu řešení zřizování koncových uživatelů pro běžná hybridní prostředí a zahrnuje:

  • Autoritativní tok dat personálního oddělení z cloudové aplikace hr do služby Active Directory V tomto toku se v tenantovi cloudové aplikace HR zahájí událost hr (proces Joiners-Movers-Leavers). Služba zřizování Azure AD a azure AD Připojení zřizování agenta zřizování uživatelských dat z tenanta cloudové aplikace HR do Služby Active Directory. V závislosti na události může vést k vytvoření, aktualizaci, povolení a zakázání operací ve službě Active Directory.
  • Synchronizujte se službou Azure AD a zapisujte e-maily a uživatelské jméno z místní Active Directory do cloudové aplikace HR. Po aktualizaci účtů ve službě Active Directory se synchronizuje se službou Azure AD prostřednictvím služby Azure AD Připojení. E-mailové adresy a atributy uživatelského jména je možné zapsat zpět do tenanta cloudové aplikace hr.

Workflow diagram

Popis pracovního postupu

Následující klíčové kroky jsou uvedené v diagramu:

  1. Personální tým provádí transakce v tenantovi cloudové aplikace HR.
  2. Služba zřizování Azure AD spouští naplánované cykly z tenanta cloudové aplikace hr a identifikuje změny, které je potřeba zpracovat pro synchronizaci se službou Active Directory.
  3. Služba zřizování Azure AD vyvolá agenta zřizování azure AD Připojení s datovou částí požadavku, která obsahuje vytvoření, aktualizaci, povolení a zakázání operací účtu Active Directory.
  4. Agent zřizování Azure AD Připojení ke správě dat účtu služby Active Directory používá účet služby.
  5. Azure AD Připojení spouští rozdílovou synchronizaci pro vyžádání aktualizací ve službě Active Directory.
  6. Aktualizace služby Active Directory se synchronizují s Azure AD.
  7. Služba zřizování Azure AD zapisuje zpět atribut e-mailu a uživatelské jméno z Azure AD do tenanta cloudové aplikace personálního oddělení.

Plánování projektu nasazení

Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.

Zapojení správných zúčastněných stran

Když technologické projekty selžou, obvykle to dělají z důvodu neshodných očekávání ohledně dopadu, výsledků a odpovědností. Abyste se těmto úskalím vyhnuli, ujistěte se, že jste zapojeni do správných zúčastněných stran. Ujistěte se také, že role zúčastněných stran v projektu jsou dobře srozumitelné. Zdokumentujte zúčastněné strany a jejich projektové vstupy a účetní závazky.

Uveďte zástupce organizace personálního oddělení, který může poskytovat vstupy do stávajících obchodních procesů personálního oddělení a identity pracovního procesu a požadavků na zpracování dat úlohy.

Plán komunikace

Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli o tom, kdy a jak se jejich prostředí změní. Dejte jim vědět, jak získat podporu, pokud dochází k problémům.

Plánování pilotního nasazení

Integrace obchodních procesů personálního oddělení a pracovních postupů identit z cloudové aplikace personálního oddělení do cílových systémů vyžaduje značné množství ověření dat, transformace dat, čištění dat a kompletní testování před nasazením řešení do produkčního prostředí.

Před škálováním na všechny uživatele v produkčním prostředí spusťte počáteční konfiguraci v pilotním prostředí .

Výběr aplikací konektoru pro zřizování lidských zdrojů v cloudu

Pokud chcete usnadnit pracovní postupy zřizování Azure AD mezi cloudovou aplikací personálního oddělení a službou Active Directory, můžete do galerie aplikací Azure AD přidat několik aplikací konektorů zřizování:

  • Zřizování uživatelů cloudového personálního oddělení pro službu Active Directory: Tato aplikace konektoru zřizování usnadňuje zřizování uživatelských účtů z cloudové aplikace personálního oddělení do jedné domény služby Active Directory. Pokud máte více domén, můžete přidat jednu instanci této aplikace z galerie aplikací Azure AD pro každou doménu služby Active Directory, pro kterou potřebujete zřídit.
  • Zřizování uživatelů cloudového personálního oddělení do Azure AD: Zatímco azure AD Připojení je nástroj, který by se měl použít k synchronizaci uživatelů Active Directory s Azure AD, je možné tuto aplikaci konektoru zřizování použít k usnadnění zřizování uživatelů jen pro cloud z cloudové aplikace z cloudového personálního oddělení do jednoho tenanta Azure AD.
  • Zpětný zápis aplikace cloudového personálního oddělení: Tato aplikace konektoru zřizování usnadňuje zpětný zápis e-mailových adres uživatele z Azure AD do cloudové aplikace personálního oddělení.

Například následující obrázek uvádí aplikace konektoru Workday, které jsou dostupné v galerii aplikací Azure AD.

Azure Active Directory portal app gallery

Vývojový diagram rozhodování

Pomocí následujícího vývojového diagramu rozhodování určete, které aplikace pro zřizování lidských zdrojů v cloudu jsou pro váš scénář relevantní.

Decision flow chart

Návrh topologie nasazení agenta zřizování azure AD Připojení

Integrace zřizování mezi cloudovou hr aplikací a službou Active Directory vyžaduje čtyři komponenty:

  • Tenant aplikace cloudových lidských zdrojů
  • Aplikace konektoru zřizování
  • Agent zřizování azure AD Připojení
  • Doména služby Active Directory

Topologie nasazení agenta zřizování azure AD Připojení závisí na počtu tenantů cloudových aplikací hr a podřízených domén služby Active Directory, které plánujete integrovat. Pokud máte více domén služby Active Directory, závisí to na tom, jestli jsou domény služby Active Directory souvislé nebo oddělené.

Na základě vašeho rozhodnutí zvolte jeden ze scénářů nasazení:

  • Jeden tenant cloudové aplikace HR –> cílí na jednu nebo více podřízených domén Služby Active Directory v důvěryhodné doménové struktuře
  • Tenant jedné cloudové aplikace personálního oddělení –> cílí na více podřízených domén v oddělené doménové struktuře služby Active Directory

Jeden tenant cloudové aplikace HR –> cílí na jednu nebo více podřízených domén Služby Active Directory v důvěryhodné doménové struktuře

Doporučujeme následující produkční konfiguraci:

Požadavek Doporučení
Počet agentů zřizování azure AD Připojení pro nasazení Dva (pro vysokou dostupnost a převzetí služeb při selhání)
Počet aplikací konektorů pro zřizování ke konfiguraci Jedna aplikace na podřízenou doménu
Hostitel serveru pro agenta zřizování azure AD Připojení Windows Server 2016 s dohledem na geograficky přidělené řadiče
domény služby Active Directory Může existovat společně se službou Azure AD Připojení

Flow to on-premises agents

Tenant jedné cloudové aplikace personálního oddělení –> cílí na více podřízených domén v oddělené doménové struktuře služby Active Directory

Tento scénář zahrnuje zřizování uživatelů z cloudové aplikace hr pro domény v oddělených doménových strukturách služby Active Directory.

Doporučujeme následující produkční konfiguraci:

Požadavek Doporučení
Počet agentů zřizování azure AD Připojení pro nasazení místního prostředí Dvě na oddělené doménové struktury služby Active Directory
Počet aplikací konektorů pro zřizování ke konfiguraci Jedna aplikace na podřízenou doménu
Hostitel serveru pro agenta zřizování azure AD Připojení Windows Server 2016 s dohledem na geograficky přidělené řadiče
domény služby Active Directory Může existovat společně se službou Azure AD Připojení

Single cloud HR app tenant disjoint Active Directory forest

Požadavky agenta zřizování azure AD Připojení

Cloudová aplikace hr pro zřizování uživatelů služby Active Directory vyžaduje nasazení jednoho nebo více agentů zřizování azure AD Připojení na servery, na kterých běží Windows Server 2016 nebo vyšší. Servery musí mít minimálně 4 GB paměti RAM a modul runtime .NET 4.7.1 nebo novější. Ujistěte se, že hostitelský server má síťový přístup k cílové doméně služby Active Directory.

Pokud chcete připravit místní prostředí, průvodce konfigurací agenta zřizování Azure AD Připojení zaregistruje agenta ve vašem tenantovi Azure AD, otevře porty, povolí přístup k adresám URL a podporuje konfiguraci proxy serveru HTTPS pro odchozí provoz.

Agent zřizování nakonfiguruje účet globální spravované služby (GMSA) pro komunikaci s doménami služby Active Directory. Pokud chcete ke zřizování použít jiný účet služby než GMSA, můžete konfiguraci GMSA přeskočit a během konfigurace zadat svůj účet služby.

Můžete vybrat řadiče domény, které by měly zpracovávat požadavky na zřizování. Pokud máte několik geograficky distribuovaných řadičů domény, nainstalujte agenta zřizování do stejné lokality jako upřednostňované řadiče domény. Toto umístění zlepšuje spolehlivost a výkon komplexního řešení.

Pro zajištění vysoké dostupnosti můžete nasadit více než jednoho agenta zřizování azure AD Připojení. Zaregistrujte agenta pro zpracování stejné sady domén místní Active Directory.

Návrh topologie nasazení aplikace pro zřizování lidských zdrojů

V závislosti na počtu domén služby Active Directory zahrnutých v konfiguraci zřizování příchozích uživatelů můžete zvážit jednu z následujících topologií nasazení. Každý diagram topologie používá ukázkový scénář nasazení ke zvýraznění aspektů konfigurace. Použijte příklad, který se podobá vašemu požadavku na nasazení, a určete konfiguraci, která bude vyhovovat vašim potřebám.

Topologie nasazení 1: Jedna aplikace pro zřízení všech uživatelů z cloudového personálního oddělení do jedné domény místní Active Directory

Toto je nejběžnější topologie nasazení. Tuto topologii použijte, pokud potřebujete zřídit všechny uživatele z cloudového personálního oddělení pro jednu doménu AD a stejná pravidla zřizování platí pro všechny uživatele.

Screenshot of single app to provision users from Cloud HR to single AD domain

Aspekty konfigurace Salient

  • Nastavte dva uzly agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
  • Pomocí průvodce konfigurací agenta zřizování zaregistrujte doménu AD ve vašem tenantovi Azure AD.
  • Při konfiguraci aplikace zřizování vyberte doménu AD z rozevíracího seznamu registrovaných domén.
  • Pokud používáte filtry oborů, nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo náhodné deaktivaci účtu.

Topologie nasazení 2: Oddělení aplikací pro zřízení různých uživatelských sad od cloudového personálního oddělení po jednu doménu místní Active Directory

Tato topologie podporuje obchodní požadavky, kde se mapování atributů a logika zřizování liší podle typu uživatele (zaměstnance nebo dodavatele), umístění uživatele nebo obchodní jednotky uživatele. Tuto topologii můžete také použít k delegování správy a údržby zřizování příchozích uživatelů na základě rozdělení nebo země.

Screenshot of separate apps to provision users from Cloud HR to single AD domain

Aspekty konfigurace Salient

  • Nastavte dva uzly agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
  • Vytvořte aplikaci zřizování HR2AD pro každou odlišnou uživatelskou sadu, kterou chcete zřídit.
  • Pomocí filtrů oborů v aplikaci zřizování můžete definovat uživatele, které mají být zpracovány jednotlivými aplikacemi.
  • Pro zpracování scénáře, kdy je potřeba vyřešit odkazy na manažery napříč různými sadami uživatelů (např. dodavatelé, kteří hlásí manažerům, kteří jsou zaměstnanci), můžete vytvořit samostatnou aplikaci zřizování HR2AD pro aktualizaci pouze atributu manažera . Nastavte rozsah této aplikace pro všechny uživatele.
  • Nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo náhodné deaktivaci účtu.

Poznámka

Pokud nemáte testovací doménu AD a ve službě AD používáte kontejner OU TEST, můžete tuto topologii použít k vytvoření dvou samostatných aplikací HR2AD (Prod) a HR2AD (Test). Před povýšením na aplikaci HR2AD (Prod) otestujte změny mapování atributů pomocí aplikace HR2AD (Test).

Topologie nasazení 3: Samostatné aplikace pro zřizování různých uživatelských sad od cloudového personálního oddělení po několik domén místní Active Directory (bez viditelnosti napříč doménami)

Tuto topologii použijte ke správě více nezávislých podřízených domén AD patřících do stejné doménové struktury, pokud správci vždy existují ve stejné doméně jako uživatel a vaše jedinečná pravidla generování ID pro atributy, jako je userPrincipalName, samAccountName a pošta , nevyžadují vyhledávání v rámci doménové struktury. Nabízí také flexibilitu delegování správy každé úlohy zřizování podle hranice domény.

Příklad: V následujícím diagramu jsou aplikace zřizování nastaveny pro každou geografickou oblast: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asie a Tichomoří (APAC). V závislosti na umístění se uživatelé zřídí pro příslušnou doménu AD. Delegovaná správa aplikace zřizování je možná, aby správci EMEA mohli nezávisle spravovat konfiguraci zřizování uživatelů patřících do oblasti EMEA.

Screenshot of separate apps to provision users from Cloud HR to multiple AD domains

Aspekty konfigurace Salient

  • Nastavte dva uzly agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
  • Pomocí průvodce konfigurací zřizovacího agenta zaregistrujte všechny podřízené domény AD ve vašem tenantovi Azure AD.
  • Vytvořte samostatnou aplikaci zřizování HR2AD pro každou cílovou doménu.
  • Při konfiguraci aplikace zřizování vyberte příslušnou podřízenou doménu AD z rozevíracího seznamu dostupných domén AD.
  • Pomocí filtrů oborů v aplikaci zřizování můžete definovat uživatele, které mají být zpracovány jednotlivými aplikacemi.
  • Nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo deaktivaci náhodného účtu.

Topologie nasazení 4: Oddělte aplikace za účelem zřízení různých uživatelských sad od cloudového personálního oddělení na více místní Active Directory domén (s viditelností napříč doménami)

Tuto topologii použijte ke správě více nezávislých podřízených domén AD patřících do stejné doménové struktury, pokud správce uživatele může existovat v jiné doméně a vaše jedinečná pravidla generování ID pro atributy, jako je userPrincipalName, samAccountName a pošta , vyžaduje vyhledávání v celé doménové struktuře.

Příklad: V následujícím diagramu jsou aplikace zřizování nastavené pro každou geografickou oblast: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asie a Tichomoří (APAC). V závislosti na umístění se uživatelé zřídí pro příslušnou doménu AD. Odkazy na správce napříč doménami a vyhledávání v doménové struktuře se zpracovávají povolením vyhledávání referenčního seznamu agenta zřizování.

Screenshot of separate apps to provision users from Cloud HR to multiple AD domains with cross domain support

Aspekty konfigurace Salient

  • Nastavte dva uzly agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
  • Nakonfigurujte referenční seznamy pro agenta zřizování.
  • Pomocí průvodce konfigurací zřizovacího agenta zaregistrujte nadřazenou doménu AD a všechny podřízené domény AD ve vašem tenantovi Azure AD.
  • Vytvořte samostatnou aplikaci zřizování HR2AD pro každou cílovou doménu.
  • Při konfiguraci každé zřizovací aplikace vyberte nadřazenou doménu AD v rozevíracím seznamu dostupných domén AD. Tím zajistíte vyhledávání v celé doménové struktuře při generování jedinečných hodnot atributů, jako jsou userPrincipalName, samAccountName a pošta.
  • Pomocí parentDistinguishedName s mapováním výrazů můžete dynamicky vytvářet uživatele ve správné podřízené doméně a kontejneru organizační jednotky.
  • Pomocí filtrů oborů v aplikaci zřizování můžete definovat uživatele, které mají být zpracovány jednotlivými aplikacemi.
  • Pokud chcete vyřešit odkazy na správce napříč doménami, vytvořte samostatnou aplikaci pro zřizování HR2AD pro aktualizaci pouze atributu správce . Nastavte rozsah této aplikace pro všechny uživatele.
  • Nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo deaktivaci náhodného účtu.

Topologie nasazení 5: Jedna aplikace pro zřízení všech uživatelů z cloudového personálního oddělení na více místní Active Directory domén (s viditelností napříč doménami)

Tuto topologii použijte, pokud chcete použít jednu zřizovací aplikaci ke správě uživatelů patřících ke všem doménám nadřazené a podřízené služby AD. Tato topologie se doporučuje, pokud jsou pravidla zřizování konzistentní ve všech doménách a není nutné delegovanou správu úloh zřizování. Tato topologie podporuje překlad odkazů na správce napříč doménou a může provádět kontrolu jedinečnosti pro celou doménovou strukturu.

Příklad: V následujícím diagramu spravuje jedna zřizovací aplikace uživatele, kteří jsou ve třech podřízených doménách seskupených podle oblastí: Severní Amerika (NA), Evropa, Střední východ a Afrika (EMEA) a Asia Pacific (APAC). Mapování atributů pro parentDistinguishedName se používá k dynamickému vytvoření uživatele v příslušné podřízené doméně. Odkazy na správce napříč doménami a vyhledávání v doménové struktuře se zpracovávají povolením vyhledávání referenčního seznamu agenta zřizování.

Screenshot of single app to provision users from Cloud HR to multiple AD domains with cross domain support

Aspekty konfigurace Salient

  • Nastavte dva uzly agenta zřizování pro zajištění vysoké dostupnosti a převzetí služeb při selhání.
  • Nakonfigurujte referenční seznamy pro agenta zřizování.
  • Pomocí průvodce konfigurací zřizovacího agenta zaregistrujte nadřazenou doménu AD a všechny podřízené domény AD ve vašem tenantovi Azure AD.
  • Vytvořte jednu aplikaci zřizování HR2AD pro celou doménovou strukturu.
  • Při konfiguraci aplikace zřizování vyberte nadřazenou doménu AD z rozevíracího seznamu dostupných domén AD. Tím zajistíte vyhledávání v celé doménové struktuře při generování jedinečných hodnot atributů, jako jsou userPrincipalName, samAccountName a pošta.
  • Pomocí parentDistinguishedName s mapováním výrazů můžete dynamicky vytvářet uživatele ve správné podřízené doméně a kontejneru organizační jednotky.
  • Pokud používáte filtry oborů, nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo deaktivaci náhodného účtu.

Topologie nasazení 6: Oddělení aplikací pro zřizování různých uživatelů od cloudového personálního oddělení po odpojené místní Active Directory doménové struktury

Tuto topologii použijte, pokud vaše it infrastruktura odpojila nebo odpojila doménové struktury AD a potřebujete zřídit uživatele do různých doménových struktur na základě obchodního přidružení. Například: Uživatelé pracující pro pobočku Contoso musí být zřízeni do contoso.com domény, zatímco uživatelé pracující pro pobočku Fabrikam musí být zřízeni do fabrikam.com domény.

Screenshot of separate apps to provision users from Cloud HR to disconnected AD forests

Aspekty konfigurace Salient

  • Nastavte dvě různé sady agentů zřizování pro vysokou dostupnost a převzetí služeb při selhání, jednu pro každou doménovou strukturu.
  • Vytvořte dvě různé aplikace zřizování, jednu pro každou doménovou strukturu.
  • Pokud potřebujete vyřešit odkazy mezi doménami v rámci doménové struktury, povolte dotazování na agenta zřizování.
  • Vytvořte samostatnou aplikaci zřizování HR2AD pro každou odpojenou doménovou strukturu.
  • Při konfiguraci každé zřizovací aplikace vyberte v rozevíracím seznamu dostupných názvů domén AD příslušnou nadřazenou doménu AD.
  • Nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo deaktivaci náhodného účtu.

Topologie nasazení 7: Oddělte aplikace tak, aby zřizovat různé uživatele z více cloudových lidských zdrojů a odpojených místní Active Directory doménových struktur

Ve velkých organizacích není neobvyklé mít více systémů personálního oddělení. Během obchodních scénářů MA& (fúze a akvizice) může dojít k tomu, že budete muset propojit své místní Active Directory s několika zdroji lidských zdrojů. Níže doporučujeme topologii, pokud máte více zdrojů lidských zdrojů a chcete data identity z těchto zdrojů lidských zdrojů nasměrovat do stejných nebo různých domén místní Active Directory.

Screenshot of separate apps to provision users from multiple Cloud HR to disconnected AD forests

Aspekty konfigurace Salient

  • Nastavte dvě různé sady agentů zřizování pro vysokou dostupnost a převzetí služeb při selhání, jednu pro každou doménovou strukturu.
  • Pokud potřebujete vyřešit odkazy mezi doménami v rámci doménové struktury, povolte dotazování na agenta zřizování.
  • Vytvořte samostatnou aplikaci zřizování HR2AD pro každý systém lidských zdrojů a místní Active Directory kombinaci.
  • Při konfiguraci každé zřizovací aplikace vyberte v rozevíracím seznamu dostupných názvů domén AD příslušnou nadřazenou doménu AD.
  • Nakonfigurujte příznak vynechání odstranění oboru , aby se zabránilo deaktivaci náhodného účtu.

Plánování filtrů oborů a mapování atributů

Když povolíte zřizování z cloudové aplikace hr do Služby Active Directory nebo Azure AD, Azure Portal řídí hodnoty atributů prostřednictvím mapování atributů.

Definování filtrů oborů

Pomocí filtrů oborů můžete definovat pravidla založená na atributech, která určují, kteří uživatelé by měli být zřízeni z cloudové aplikace hr do Služby Active Directory nebo Azure AD.

Při zahájení procesu Joiners shromážděte následující požadavky:

  • Používá se cloudová aplikace personálního oddělení k zapojení zaměstnanců i podmíněných pracovníků?
  • Plánujete používat cloudovou aplikaci personálního oddělení pro zřizování uživatelů Azure AD ke správě zaměstnanců i podmíněných pracovníků?
  • Plánujete zavést cloudovou aplikaci personálního oddělení do zřizování uživatelů Azure AD jenom pro podmnožinu cloudových uživatelů personálních aplikací? Příkladem můžou být jenom zaměstnanci.

V závislosti na vašich požadavcích můžete při konfiguraci mapování atributů nastavit pole Obor zdrojového objektu tak, aby vybrali, které sady uživatelů v cloudové aplikaci personálního oddělení by měly být v oboru pro zřizování služby Active Directory. Další informace najdete v kurzu cloudové aplikace hr pro běžně používané filtry oborů.

Určení odpovídajících atributů

Při zřizování získáte možnost spárovat existující účty mezi zdrojovým a cílovým systémem. Když integrujete cloudovou aplikaci personálního oddělení se službou zřizování Azure AD, můžete nakonfigurovat mapování atributů , abyste zjistili, jaká uživatelská data by měla proudit z cloudové aplikace HR do Služby Active Directory nebo Azure AD.

Při zahájení procesu Joiners shromážděte následující požadavky:

  • Jaké je jedinečné ID v této cloudové aplikaci hr, která se používá k identifikaci jednotlivých uživatelů?
  • Jak z hlediska životního cyklu identity zpracováváte nábory? Najímá se jejich staré ID zaměstnanců?
  • Zpracováváte budoucí pronájmy a vytváříte pro ně účty služby Active Directory předem?
  • Jak z pohledu životního cyklu identity zpracováváte zaměstnance na převod pracovních procesů, nebo jinak?
  • Mají převedení uživatelé svoje staré účty služby Active Directory nebo získají nové?

Azure AD v závislosti na vašich požadavcích podporuje přímé mapování atributů na atribut tím, že poskytuje konstantní hodnoty nebo zápis výrazů pro mapování atributů. Tato flexibilita vám dává konečnou kontrolu nad tím, co se naplní v cílovém atributu aplikace. Pomocí Microsoft Graph API a Graph Exploreru můžete exportovat mapování atributů zřizování uživatelů a schéma do souboru JSON a importovat ho zpět do Azure AD.

Ve výchozím nastavení se atribut v cloudové aplikaci personálního oddělení, který představuje jedinečné ID zaměstnance, používá jako odpovídající atribut mapovaný na jedinečný atribut ve službě Active Directory. Například ve scénáři aplikace Workday je atribut WorkdayWorkerID mapován na atribut ID zaměstnance služby Active Directory.

Můžete nastavit více odpovídajících atributů a přiřadit odpovídající prioritu. Vyhodnotí se podle odpovídající priority. Jakmile se najde shoda, nevyhodnocují se žádné další odpovídající atributy.

Můžete také přizpůsobit výchozí mapování atributů, jako je změna nebo odstranění existujících mapování atributů. Můžete také vytvořit nové mapování atributů podle vašich obchodních potřeb. Další informace najdete v kurzu cloudové aplikace hr (například Workday) k mapování seznamu vlastních atributů.

Určení stavu uživatelského účtu

Aplikace zřizovacího konektoru ve výchozím nastavení mapuje stav profilu uživatele personálního oddělení na stav uživatelského účtu ve službě Active Directory nebo Azure AD a určí, jestli se má uživatelský účet povolit nebo zakázat.

Když zahájíte proces Joiners-Leavers, shromážděte následující požadavky.

Proces Požadavky
Truhláře Jak z hlediska životního cyklu identity zpracováváte nábory? Najímá se jejich staré ID zaměstnanců?
Zpracováváte budoucí pronájmy a vytváříte pro ně účty služby Active Directory předem? Jsou tyto účty vytvořené v povoleném nebo zakázaném stavu?
Jak z pohledu životního cyklu identity zpracováváte zaměstnance na převod pracovních procesů, nebo jinak?
Mají převedení uživatelé staré účty služby Active Directory nebo získají nové?
Zápustky Řeší se ukončení jinak pro zaměstnance a pracovníky v rámci podmíněného pracovního poměru ve službě Active Directory?
Jaká platná data se považují za zpracování ukončení uživatele?
Jak mají převody zaměstnanců a podmíněných pracovníků vliv na stávající účty služby Active Directory?
Jak zpracujete operaci rescind ve službě Active Directory? Operace obnovení je potřeba zpracovat v případě, že se v Active Directory vytvoří budoucí zapůjčení ve službě Active Directory jako součást procesu joineru.

V závislosti na vašich požadavcích můžete logiku mapování přizpůsobit pomocí výrazů Azure AD tak, aby byl účet Active Directory povolený nebo zakázaný na základě kombinace datových bodů.

Mapování cloudové aplikace HR na atributy uživatelů služby Active Directory

Každá cloudová aplikace HR se dodává s výchozí cloudovou aplikací hr na mapování služby Active Directory.

Když zahájíte proces Joiners-Movers-Leavers, shromážděte následující požadavky.

Proces Požadavky
Truhláře Je proces vytváření účtu Active Directory ruční, automatizovaný nebo částečně automatizovaný?
Plánujete rozšířit vlastní atributy z cloudové aplikace hr do služby Active Directory?
Stěhováci Jaké atributy chcete zpracovat při každém provedení operace Movers v cloudové aplikaci HR?
Provádíte v době aktualizací uživatelů nějaké konkrétní ověření atributů? Pokud ano, zadejte podrobnosti.
Zápustky Řeší se ukončení jinak pro zaměstnance a pracovníky v rámci podmíněného pracovního poměru ve službě Active Directory?
Jaká platná data se považují za zpracování ukončení uživatele?
Jaký vliv mají převody zaměstnanců a chytěných pracovníků stávající účty služby Active Directory?

V závislosti na vašich požadavcích můžete mapování upravit tak, aby splňovala vaše cíle integrace. Další informace najdete v konkrétním kurzu cloudové aplikace hr (například Workday) pro seznam vlastních atributů, které se mají mapovat.

Generování jedinečné hodnoty atributu

Když zahájíte proces Joiners, budete možná muset generovat jedinečné hodnoty atributů, když nastavíte atributy, jako jsou CN, samAccountName a hlavní název uživatele (UPN), který má jedinečná omezení.

Funkce Azure AD SelectUniqueValues vyhodnocuje každé pravidlo a pak zkontroluje hodnotu vygenerovanou jedinečností v cílovém systému. Příklad najdete v tématu Generování jedinečné hodnoty atributu userPrincipalName (UPN).

Poznámka

Tato funkce je v současné době podporována pouze pro Aplikaci Workday do služby Active Directory a SAP SuccessFactors pro zřizování uživatelů služby Active Directory. Nedá se použít s jinými aplikacemi pro zřizování.

Konfigurace přiřazení kontejneru organizační jednotky služby Active Directory

Je to běžný požadavek na umístění uživatelských účtů služby Active Directory do kontejnerů na základě obchodních jednotek, umístění a oddělení. Když zahájíte proces Movers a pokud dojde ke změně organizace dohledu, budete možná muset uživatele přesunout z jedné organizační složky do jiného ve službě Active Directory.

Pomocí funkce Switch() nakonfigurujte obchodní logiku pro přiřazení organizační jednotky a namapujte ji na nadřazený název atributu Active DirectoryDistinguishedName.

Pokud například chcete vytvářet uživatele v organizačním systému na základě atributu HR Municipality, můžete použít následující výraz:

Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")

S tímto výrazem, pokud je hodnota Municipality Dallas, Austin, Seattle nebo Londýn, bude uživatelský účet vytvořen v odpovídající organizační lekci. Pokud neexistuje shoda, účet se vytvoří ve výchozím organizačním centru.

Plánování doručování nových uživatelských účtů heslem

Když zahájíte proces Joiners, musíte nastavit a doručit dočasné heslo nových uživatelských účtů. S využitím cloudového personálního oddělení pro zřizování uživatelů Azure AD můžete pro uživatele zavést možnost samoobslužného resetování hesla (SSPR) azure AD.

SSPR je jednoduchý způsob, jak správcům IT umožnit uživatelům resetovat hesla nebo odemknout účty. Atribut Mobilní číslo můžete zřídit z cloudové aplikace hr do služby Active Directory a synchronizovat ho s Azure AD. Jakmile je atribut Mobilní číslo v Azure AD, můžete pro účet uživatele povolit SSPR. Potom může nový uživatel pro ověření použít registrované a ověřené mobilní číslo. Podrobnosti o předběžném naplnění kontaktních informací o ověřování najdete v dokumentaci k SSPR .

Plánování počátečního cyklu

Když se služba zřizování Azure AD spustí poprvé, provede počáteční cyklus s cloudovou aplikací personálního oddělení a vytvoří snímek všech uživatelských objektů v cloudové aplikaci HR. Doba potřebná pro počáteční cykly závisí přímo na počtu uživatelů ve zdrojovém systému. Počáteční cyklus některých tenantů cloudových personálních aplikací s více než 100 000 uživateli může trvat dlouho.

Pro velké tenanty cloudových aplikací hr (>30 000 uživatelů) spusťte počáteční cyklus v progresivních fázích. Přírůstkové aktualizace spusťte až po ověření, že jsou správné atributy nastavené ve službě Active Directory pro různé scénáře zřizování uživatelů. Postupujte podle tohoto pořadí.

  1. Spusťte počáteční cyklus pouze pro omezenou sadu uživatelů nastavením filtru rozsahu.
  2. Ověřte zřizování účtu Služby Active Directory a hodnoty atributů nastavené pro uživatele vybrané pro první spuštění. Pokud výsledek splňuje vaše očekávání, rozbalte filtr oborů, aby postupně zahrnoval více uživatelů a ověřte výsledky druhého spuštění.

Jakmile budete spokojeni s výsledky počátečního cyklu pro testovací uživatele, spusťte přírůstkové aktualizace.

Plánování testování a zabezpečení

V každé fázi nasazení od počátečního pilotního nasazení prostřednictvím povolení zřizování uživatelů se ujistěte, že testujete výsledky podle očekávání a auditujete cykly zřizování.

Plánování testování

Po konfiguraci cloudové aplikace hr pro zřizování uživatelů Azure AD spusťte testovací případy a ověřte, jestli toto řešení splňuje požadavky vaší organizace.

Scénáře Očekávané výsledky
Nový zaměstnanec je najatý v cloudové aplikaci personálního oddělení. – Uživatelský účet je zřízený ve službě Active Directory.
– Uživatel se může přihlásit k aplikacím služby Active Directory-domain a provádět požadované akce.
– Pokud je nakonfigurovaná synchronizace azure AD Připojení, uživatelský účet se vytvoří také v Azure AD.
Uživatel se ukončí v cloudové aplikaci personálního oddělení. – Uživatelský účet je ve službě Active Directory zakázaný.
– Uživatel se nemůže přihlásit k žádným podnikovým aplikacím chráněným službou Active Directory.
Organizace dohledu uživatelů se aktualizuje v cloudové aplikaci personálního oddělení. Na základě mapování atributů se uživatelský účet přesune z jednoho organizačního objektu do jiného ve službě Active Directory.
Personální oddělení aktualizuje manažera uživatele v cloudové aplikaci personálního oddělení. Pole správce ve službě Active Directory se aktualizuje tak, aby odráželo název nového manažera.
Personální oddělení najímá zaměstnance na novou roli. Chování závisí na tom, jak je cloudová aplikace personálního oddělení nakonfigurovaná tak, aby vygenerovala ID zaměstnanců:
- Pokud se staré ID zaměstnance znovu použije pro přijetí, konektor povolí stávající účet služby Active Directory pro uživatele.
– Pokud nahire získá nové ID zaměstnance, konektor pro uživatele vytvoří nový účet služby Active Directory.
Personální oddělení převede zaměstnance na smluvního pracovníka nebo naopak. Nový účet služby Active Directory se vytvoří pro novou osobu a starý účet se zablokuje v platném datu převodu.

Pomocí předchozích výsledků můžete určit, jak převést implementaci automatického zřizování uživatelů do produkčního prostředí na základě vytvořených časových os.

Tip

Při aktualizaci testovacího prostředí pomocí produkčních dat můžete odebrat nebo maskovat citlivá osobní data tak, aby vyhovovala standardům ochrany osobních údajů a zabezpečení.

Plánování zabezpečení

V rámci nasazení nové služby je běžné, že se vyžaduje kontrola zabezpečení. Pokud je vyžadována kontrola zabezpečení nebo nebyla provedena, podívejte se na mnoho dokumentů white paper Azure AD, které poskytují přehled identity jako služby.

Vrácení zpět plánu

Implementace zřizování uživatelů v cloudu nemusí fungovat podle potřeby v produkčním prostředí. Pokud ano, následující kroky vrácení zpět vám můžou pomoct vrátit se k předchozímu známému dobrému stavu.

  1. Zkontrolujte souhrnnou sestavu zřizování a protokoly zřizování a zjistěte, jaké nesprávné operace byly provedeny u ovlivněných uživatelů nebo skupin. Další informace o souhrnné sestavě a protokolech zřizování najdete v tématu Správa zřizování uživatelů cloudové aplikace HR.
  2. Poslední známý dobrý stav ovlivněných uživatelů nebo skupin je možné určit prostřednictvím protokolů auditu zřizování nebo kontrolou cílových systémů (Azure AD nebo Active Directory).
  3. Spolupracujte s vlastníkem aplikace a aktualizujte uživatele nebo skupiny ovlivněné přímo v aplikaci pomocí posledních známých hodnot dobrého stavu.

Nasazení cloudové aplikace personálního oddělení

Zvolte cloudovou aplikaci personálního oddělení, která odpovídá vašim požadavkům na řešení.

Workday: Pokud chcete importovat pracovní profily z Aplikace Workday do služby Active Directory a Azure AD, přečtěte si kurz: Konfigurace aplikace Workday pro automatické zřizování uživatelů. Volitelně můžete na Workday napsat e-mailovou adresu, uživatelské jméno a telefonní číslo.

SAP SuccessFactors: Pokud chcete importovat profily pracovních procesů z SuccessFactors do služby Active Directory a Azure AD, přečtěte si kurz: Konfigurace sap SuccessFactors pro automatické zřizování uživatelů. Volitelně můžete zapsat e-mailovou adresu a uživatelské jméno do SuccessFactors.

Správa konfigurace

Azure AD může poskytovat další přehledy o využití a provozním stavu uživatelů vaší organizace prostřednictvím protokolů auditu a sestav.

Získání přehledů ze sestav a protokolů

Po úspěšném počátečním cyklu bude služba zřizování Azure AD nadále spouštět přírůstkové aktualizace back-to-back po neomezenou dobu v intervalech definovaných v kurzech specifických pro každou aplikaci, dokud nedojde k jedné z následujících událostí:

  • Služba je zastavena ručně. Nový počáteční cyklus se aktivuje pomocí Azure Portal nebo příslušného příkazu Microsoft Graph API.
  • Nový počáteční cyklus se aktivuje kvůli změně mapování atributů nebo filtrů oborů.
  • Proces zřizování přejde do karantény kvůli vysoké míře chyb. Zůstane v karanténě déle než čtyři týdny, kdy je automaticky zakázaná.

Pokud chcete tyto události a všechny další aktivity prováděné službou zřizování zkontrolovat, přečtěte si protokoly a získejte sestavy o aktivitě zřizování.

Protokoly služby Azure Monitor

Všechny aktivity prováděné službou zřizování se zaznamenávají v protokolech auditu Azure AD. Protokoly auditu Azure AD můžete směrovat do protokolů služby Azure Monitor pro další analýzu. Pomocí protokolů Azure Monitoru (označovaných také jako pracovní prostor Služby Log Analytics) můžete dotazovat data, abyste našli události, analyzovali trendy a prováděli korelaci napříč různými zdroji dat. V tomto videu se dozvíte o výhodách používání protokolů služby Azure Monitor pro protokoly Azure AD v praktických uživatelských scénářích.

Nainstalujte zobrazení log Analytics pro protokoly aktivit Azure AD, abyste získali přístup k předem připraveným sestavám týkajícím se událostí zřizování ve vašem prostředí.

Další informace najdete v tématu analýza protokolů aktivit Azure AD pomocí protokolů služby Azure Monitor.

Správa osobních údajů

Agent zřizování Azure AD Připojení nainstalovaný na serveru Windows vytvoří protokoly v protokolu událostí Windows, který může obsahovat osobní údaje v závislosti na mapování atributů služby Active Directory v cloudové aplikaci hr. Pokud chcete dodržovat povinnosti týkající se ochrany osobních údajů uživatelů, nastavte Windows naplánovanou úlohu, která vymaže protokol událostí a zajistí, aby se žádná data neuchovávala po dobu 48 hodin.

Služba zřizování Azure AD negeneruje sestavy, provádí analýzy ani neposkytuje přehledy za 30 dnů, protože služba neukládá, zpracovává ani neukládá žádná data za 30 dnů.

Řešení potíží

Pokud chcete vyřešit všechny problémy, které se můžou během zřizování zobrazit, projděte si následující články:

Další kroky