Plánování automatického nasazení zřizování uživatelů v Microsoft Entra ID
Řada organizací spoléhá na aplikace typu Software jako služba (SaaS), jako jsou ServiceNow, Zscaler a Slack, pro produktivitu koncových uživatelů. V minulosti pracovníci IT spoléhali na ruční metody zřizování, jako je nahrávání souborů CSV nebo používání vlastních skriptů k bezpečné správě identit uživatelů v každé aplikaci SaaS. Tyto procesy jsou náchylné k chybám, nezabezpečené a obtížně se spravují.
Automatické zřizování uživatelů Microsoft Entra zjednodušuje tento proces tím, že bezpečně automatizuje vytváření, údržbu a odebírání identit uživatelů v aplikacích SaaS na základě obchodních pravidel. Tato automatizace umožňuje efektivně škálovat systémy správy identit v cloudových i hybridních prostředích při rozšiřování jejich závislosti na cloudových řešeních.
Informace o lepším porozumění funkcím najdete v tématu Automatizace zřizování a rušení zřizování aplikací SaaS pomocí Microsoft Entra ID .
Kromě zřizování aplikací SaaS podporuje automatické zřizování uživatelů Microsoft Entra také zřizování do mnoha místních a privátních cloudových aplikací. Další informace naleznete v tématu Microsoft Entra on-premises application identity provisioning architecture.
Learn
Zřizování uživatelů vytváří základ pro průběžné zásady správného řízení identit a vylepšuje kvalitu obchodních procesů, které spoléhají na autoritativní data identit.
Klíčové výhody
Mezi klíčové výhody povolení automatického zřizování uživatelů patří:
Vyšší produktivita. Identity uživatelů v aplikacích SaaS můžete spravovat pomocí jediného rozhraní pro správu zřizování uživatelů. Toto rozhraní má jednu sadu zásad zřizování.
Řízení rizik Zabezpečení můžete zvýšit automatizací změn na základě stavu zaměstnance nebo členství ve skupinách, které definují role nebo přístup.
Řešení dodržování předpisů a zásad správného řízení Microsoft Entra ID podporuje nativní protokoly auditu pro každou žádost o zřizování uživatelů. Požadavky se provádějí ve zdrojových i cílových systémech. Protokoly auditu umožňují sledovat, kdo má přístup k aplikacím z jedné obrazovky.
Snižte náklady. Automatické zřizování uživatelů snižuje náklady tím, že zabraňuje neekicienci a lidské chybě spojené s ručním zřizováním. Snižuje potřebu vlastních řešení zřizování uživatelů, skriptů a protokolů auditu.
Licencování
Microsoft Entra ID poskytuje samoobslužnou integraci libovolné aplikace pomocí šablon poskytovaných v nabídce galerie aplikací. Úplný seznamlicenčních
Licencování aplikací
Potřebujete odpovídající licence pro aplikace, které chcete automaticky zřídit. Proberte vlastníky aplikací, jestli mají uživatelé přiřazené aplikaci správné licence pro své role aplikací. Pokud ID Microsoft Entra spravuje automatické zřizování na základě rolí, musí role přiřazené v MICROSOFT Entra ID odpovídat licencím aplikací. Nesprávné licence vlastněné v aplikaci můžou způsobit chyby při zřizování nebo aktualizaci uživatele.
Termíny
Tento článek používá následující termíny:
Operace CRUD – Akce prováděné u uživatelských účtů: Vytvoření, čtení, aktualizace, odstranění
Jednotné přihlašování ( SSO) – možnost, aby se uživatel přihlásil jednou a přistupoval ke všem aplikacím s povoleným jednotným přihlašováním. V kontextu zřizování uživatelů je jednotné přihlašování výsledkem toho, že uživatelé mají jeden účet pro přístup ke všem systémům, které používají automatické zřizování uživatelů.
Zdrojový systém – úložiště uživatelů, ze kterého microsoft Entra ID zřizuje. Microsoft Entra ID je zdrojový systém pro většinu předem integrovaných zřizovacích konektorů. Existují však některé výjimky pro cloudové aplikace, jako jsou SAP, Workday a AWS. Podívejte se například na zřizování uživatelů z Workday do AD.
Cílový systém – úložiště uživatelů, kterým Microsoft Entra ID zřizuje. Cílový systém je obvykle aplikace SaaS, jako je ServiceNow, Zscaler a Slack. Cílový systém může být také místním systémem, jako je AD.
System for Cross-domain Identity Management (SCIM) – otevřený standard, který umožňuje automatizaci zřizování uživatelů. SCIM komunikuje s daty identity uživatele mezi zprostředkovateli identit a poskytovateli služeb. Microsoft je příkladem zprostředkovatele identity. Salesforce je příkladem poskytovatele služeb. Poskytovatelé služeb vyžadují informace o identitě uživatele a zprostředkovatel identity splňuje požadavky. SCIM je mechanismus, který poskytovatel identity a poskytovatel služeb používají k odesílání informací zpět a zpět.
Školicí materiály
| Zdroje informací | Odkaz a popis |
|---|---|
| Webináře na vyžádání | Správa podnikových aplikací pomocí Microsoft Entra ID Zjistěte, jak vám může Microsoft Entra ID pomoct dosáhnout jednotného přihlašování k podnikovým aplikacím SaaS a osvědčeným postupům pro řízení přístupu. |
| Videa | Co je zřizování uživatelů ve službě Active Azure Directory? Jak nasadit zřizování uživatelů ve službě Active Azure Directory? Integrace Salesforce s Microsoft Entra ID: Automatizace zřizování uživatelů |
| Online kurzy | SkillUp Online: Správa identit Zjistěte, jak integrovat Microsoft Entra ID s mnoha aplikacemi SaaS a zabezpečit uživatelský přístup k těmto aplikacím. |
| Knihy | Moderní ověřování s Microsoft Entra ID pro webové aplikace (Reference pro vývojáře) 1. vydání. Toto je autoritativní podrobný průvodce vytvářením řešení ověřování active directory pro tato nová prostředí. |
| Kurzy | Podívejte se na seznam kurzů o tom, jak integrovat aplikace SaaS s Microsoft Entra ID. |
| Často kladené dotazy | Nejčastější dotazy k automatizovanému zřizování uživatelů |
Architektury řešení
Zřizovací služba Microsoft Entra zřídí uživatele do aplikací SaaS a dalších systémů tím, že se připojí ke koncovým bodům rozhraní API pro správu uživatelů, které poskytuje každý dodavatel aplikace. Tyto koncové body rozhraní API pro správu uživatelů umožňují microsoftu Entra ID programově vytvářet, aktualizovat a odebírat uživatele.
Automatické zřizování uživatelů pro hybridní podniky
V tomto příkladu se uživatelé a skupiny vytvářejí v databázi personálního oddělení připojené k místnímu adresáři. Služba zřizování Microsoft Entra spravuje automatické zřizování uživatelů pro cílové aplikace SaaS.
Popis pracovního postupu:
Uživatelé/skupiny se vytvářejí v místní aplikaci nebo systému personálního oddělení, jako je SAP.
Agent Microsoft Entra Připojení spouští naplánované synchronizace identit (uživatelů a skupin) z místní služby AD do Microsoft Entra ID.
Služba zřizování Microsoft Entra začíná počáteční cyklus vůči zdrojovému systému a cílovému systému.
Služba zřizování Microsoft Entra se dotazuje zdrojového systému pro všechny uživatele a skupiny, které se od počátečního cyklu změnily, a odesílá změny v přírůstkových cyklech.
Automatické zřizování uživatelů pro podniky pouze v cloudu
V tomto příkladu dojde k vytvoření uživatele v Microsoft Entra ID a služba zřizování Microsoft Entra spravuje automatické zřizování uživatelů pro cílové aplikace (SaaS).
Popis pracovního postupu:
Uživatelé/skupiny se vytvářejí v MICROSOFT Entra ID.
Služba zřizování Microsoft Entra začíná počáteční cyklus vůči zdrojovému systému a cílovému systému.
Microsoft Entra provisioning service se dotazuje zdrojového systému pro všechny uživatele a skupiny aktualizované od počátečního cyklu a provádí všechny přírůstkové cykly.
Automatické zřizování uživatelů pro cloudové personální aplikace
V tomto příkladu se uživatelé a skupiny vytvářejí v cloudové aplikaci personálního oddělení, například Workday a SuccessFactors. Služba zřizování Microsoft Entra a Agent zřizování Microsoft Entra Připojení zřídí uživatelská data z tenanta cloudové aplikace HR do AD. Po aktualizaci účtů ve službě AD se synchronizují s ID Microsoft Entra prostřednictvím Připojení Microsoft Entra a e-mailové adresy a atributy uživatelského jména se dají zapsat zpět do tenanta cloudové aplikace HR.
- Tým personálního oddělení provádí transakce v tenantovi cloudové aplikace personálního oddělení.
- Služba zřizování Microsoft Entra spouští naplánované cykly z tenanta cloudové aplikace hr a identifikuje změny, které je potřeba zpracovat pro synchronizaci se službou AD.
- Služba zřizování Microsoft Entra vyvolá agenta zřizování Microsoft Entra Připojení s datovou částí požadavku obsahující operace vytvoření/aktualizace/povolení/zakázání účtu AD.
- Microsoft Entra Připojení agent zřizování používá účet služby ke správě dat účtu AD.
- Microsoft Entra Připojení spouští rozdílovou synchronizaci pro vyžádání aktualizací v AD.
- Aktualizace AD se synchronizují s MICROSOFT Entra ID.
- Microsoft Entra provisioning service writebacks email attribute and username from Microsoft Entra ID to the cloud HR app tenant.
Plánování projektu nasazení
Vezměte v úvahu, že vaše organizace potřebuje určit strategii nasazení zřizování uživatelů ve vašem prostředí.
Zapojení správných zúčastněných stran
Pokud technologické projekty selžou, důvodem je obvykle neshoda očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentují zúčastněné strany a jejich vstupy a účetní závazky.
Plánování komunikace
Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte se svými uživateli o jejich zkušenostech, o tom, jak se prostředí mění, kdy se mají očekávat jakékoli změny, a jak získat podporu, pokud dojde k problémům.
Plánování pilotního nasazení
Před škálováním na všechny uživatele v produkčním prostředí doporučujeme počáteční konfiguraci automatického zřizování uživatelů v testovacím prostředí s malou podmnožinou uživatelů. Podívejte se na osvědčené postupy pro spuštění pilotního nasazení.
Osvědčené postupy pro pilotní nasazení
Pilotní nasazení umožňuje testovat s malou skupinou před nasazením funkce pro všechny. Ujistěte se, že v rámci testování se každý případ použití ve vaší organizaci důkladně testuje.
V první vlně cílíte na IT, použitelnost a další vhodné uživatele, kteří můžou testovat a poskytovat zpětnou vazbu. Pomocí této zpětné vazby můžete dále vyvinout komunikaci a pokyny, které pošlete uživatelům, a poskytnout přehled o typech problémů, které můžou vidět pracovníci podpory.
Rozšíření zavedení na větší skupiny uživatelů zvýšením rozsahu cílových skupin. Zvýšení rozsahu skupin se provádí prostřednictvím dynamického členství ve skupině nebo ručním přidáním uživatelů do cílových skupin.
Plánování připojení a správy aplikací
Centrum pro správu Microsoft Entra slouží k zobrazení a správě všech aplikací, které podporují zřizování. Viz Hledání aplikací na portálu.
Určení typu konektoru, který se má použít
Skutečné kroky potřebné k povolení a konfiguraci automatického zřizování se liší v závislosti na aplikaci. Pokud je aplikace, kterou chcete automaticky zřizovat, uvedená v galerii aplikací Microsoft Entra SaaS, měli byste vybrat kurz integrace specifický pro aplikaci a nakonfigurovat jeho předem integrovaný konektor pro zřizování uživatelů.
Pokud ne, postupujte následovně:
Vytvořte žádost o předem integrovaný konektor pro zřizování uživatelů. Náš tým spolupracuje s vámi a vývojářem aplikací na onboarding vaší aplikace na naši platformu, pokud podporuje SCIM.
Pro aplikaci použijte podporu zřizování obecných uživatelů BYOA SCIM. Použití SCIM je předpokladem, aby ID Microsoft Entra zřídilo uživatele pro aplikaci bez předem integrovaného zřizovacího konektoru.
Pokud aplikace dokáže využívat konektor BYOA SCIM, projděte si kurz integrace BYOA SCIM a nakonfigurujte konektor BYOA SCIM pro aplikaci.
Další informace najdete v tématu Jaké aplikace a systémy můžu používat s automatickým zřizováním uživatelů Microsoft Entra?
Shromažďování informací pro autorizaci přístupu k aplikacím
Nastavení automatického zřizování uživatelů je proces pro jednotlivé aplikace. Pro každou aplikaci musíte zadat přihlašovací údaje správce pro připojení ke koncovému bodu správy uživatelů cílového systému.
Na obrázku je jedna verze požadovaných přihlašovacích údajů správce:
I když některé aplikace vyžadují uživatelské jméno a heslo správce, jiné můžou vyžadovat nosný token.
Plánování zřizování uživatelů a skupin
Pokud povolíte zřizování uživatelů pro podnikové aplikace, Centrum pro správu Microsoft Entra řídí jeho hodnoty atributů prostřednictvím mapování atributů.
Určení operací pro každou aplikaci SaaS
Každá aplikace může mít jedinečné atributy uživatele nebo skupiny, které musí být mapovány na atributy ve vašem Microsoft Entra ID. Aplikace může mít k dispozici pouze podmnožinu operací CRUD.
Pro každou aplikaci zdokumentujte následující informace:
Operace zřizování CRUD, které se mají provádět pro uživatele a objekty skupiny pro cílové systémy. Například každý vlastník aplikace SaaS nemusí chtít všechny možné operace.
Atributy dostupné ve zdrojovém systému
Atributy dostupné v cílovém systému
Mapování atributů mezi systémy
Zvolte, kteří uživatelé a skupiny se mají zřídit.
Před implementací automatického zřizování uživatelů musíte určit uživatele a skupiny, které se mají zřídit pro vaši aplikaci.
Použijte filtry oborů k definování pravidel založených na atributech, která určují, kteří uživatelé jsou zřízeni pro aplikaci.
V dalším kroku použijte přiřazení uživatelů a skupin podle potřeby k dalšímu filtrování.
Definování mapování atributů uživatele a skupiny
Pokud chcete implementovat automatické zřizování uživatelů, musíte definovat atributy uživatele a skupiny, které jsou potřeba pro aplikaci. Existuje předkonfigurovaná sada atributů a mapování atributů mezi uživatelskými objekty Microsoft Entra a uživatelskými objekty každé aplikace SaaS. Ne všechny aplikace SaaS povolují atributy skupiny.
Microsoft Entra ID podporuje přímé mapování atribut-to-attribute, poskytování konstantních hodnot nebo zápis výrazů pro mapování atributů. Díky této flexibilitě máte plnou kontrolu nad tím, co se naplní atributem cílového systému. Pomocí rozhraní Microsoft Graph API a Graph Exploreru můžete exportovat mapování atributů zřizování uživatelů a schéma do souboru JSON a importovat ho zpět do Microsoft Entra ID.
Další informace naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID.
Zvláštní aspekty zřizování uživatelů
Pokud chcete snížit problémy po nasazení, zvažte následující:
Ujistěte se, že atributy používané k mapování objektů uživatelů a skupin mezi zdrojovými a cílovými aplikacemi jsou odolné. Pokud se atributy změní (například uživatel přejde na jinou část společnosti), neměli by mít nesprávné zřízení uživatelů nebo skupin.
Aplikace můžou mít specifická omezení nebo požadavky, které je potřeba splnit, aby zřizování uživatelů fungovalo správně. Například Slack zkrátí hodnoty pro určité atributy. Projděte si kurzy automatického zřizování uživatelů specifické pro každou aplikaci.
Ověřte konzistenci schématu mezi zdrojovými a cílovými systémy. Mezi běžné problémy patří atributy, jako je hlavní název uživatele (UPN) nebo neshoda pošty. Například hlavní název uživatele (UPN) v Microsoft Entra ID nastavený jako john_smith@contoso.com a v aplikaci, je jsmith@contoso.comto . Další informace naleznete v tématu Referenční informace o schématu uživatele a skupiny.
Plánování testování a zabezpečení
V každé fázi nasazení se ujistěte, že testujete výsledky podle očekávání, a auditujte cykly zřizování.
Plánování testování
Nejprve nakonfigurujte automatické zřizování uživatelů pro aplikaci. Pak spusťte testovací případy a ověřte, že řešení splňuje požadavky vaší organizace.
| Scénáře | Očekávané výsledky |
|---|---|
| Uživatel se přidá do skupiny přiřazené cílovému systému. | Objekt uživatele je zřízený v cílovém systému. Uživatel se může přihlásit k cílovému systému a provést požadované akce. |
| Uživatel se odebere ze skupiny, která je přiřazená k cílovému systému. | Objekt uživatele je zrušen v cílovém systému. Uživatel se nemůže přihlásit k cílovému systému. |
| Aktualizace informací o uživatelích v Microsoft Entra ID libovolnou metodou. | Aktualizované atributy uživatele se projeví v cílovém systému po přírůstkovém cyklu. |
| Uživatel je mimo rozsah. | Objekt uživatele je zakázán nebo odstraněn. Poznámka: Toto chování je přepsáno pro zřizování Workday. |
Plánování zabezpečení
V rámci nasazení je běžné, že se vyžaduje kontrola zabezpečení. Pokud potřebujete kontrolu zabezpečení, podívejte se na řadu dokumentů white paper microsoft Entra ID, které poskytují přehled identity jako služby.
Naplánovat vrácení zpět
Pokud v produkčním prostředí nefunguje implementace automatického zřizování uživatelů podle potřeby, následující kroky vrácení zpět vám můžou pomoct vrátit se k předchozímu známému dobrému stavu:
Zkontrolujte protokoly zřizování a zjistěte, k jakým nesprávným operacím došlo u ovlivněných uživatelů nebo skupin.
Protokoly auditu zřizování slouží k určení posledního známého dobrého stavu uživatelů a/nebo ovlivněných skupin. Zkontrolujte také zdrojové systémy (Microsoft Entra ID nebo AD).
Spolupracujte s vlastníkem aplikace a aktualizujte uživatele nebo skupiny ovlivněné přímo v aplikaci pomocí posledních známých dobrých hodnot stavu.
Nasazení služby automatického zřizování uživatelů
Zvolte kroky, které odpovídají vašim požadavkům na řešení.
Příprava na počáteční cyklus
Když se služba zřizování Microsoft Entra spustí poprvé, počáteční cyklus proti zdrojovému systému a cílovým systémům vytvoří snímek všech uživatelských objektů pro každý cílový systém.
Když povolíte automatické zřizování pro aplikaci, počáteční cyklus trvá od 20 minut do několika hodin. Doba trvání závisí na velikosti adresáře Microsoft Entra a počtu uživatelů v rozsahu zřizování.
Služba zřizování ukládá stav obou systémů po počátečním cyklu a zlepšuje výkon následných přírůstkových cyklů.
Konfigurace automatického zřizování uživatelů
Pomocí Centra pro správu Microsoft Entra můžete spravovat automatické zřizování a rušení zřizování uživatelských účtů pro aplikace, které ho podporují. Postupujte podle kroků v Návody nastavení automatického zřizování pro aplikaci?
Službu zřizování uživatelů Microsoft Entra je také možné nakonfigurovat a spravovat pomocí rozhraní Microsoft Graph API.
Správa automatického zřizování uživatelů
Teď, když jste nasadili, musíte řešení spravovat.
Monitorování stavu operace zřizování uživatelů
Po úspěšném počátečním cyklu bude služba Microsoft Entra provisioning spouštět přírůstkové aktualizace po neomezenou dobu v intervalech specifických pro každou aplikaci, dokud nedojde k jedné z následujících událostí:
Služba se ručně zastaví a nový počáteční cyklus se aktivuje pomocí Centra pro správu Microsoft Entra nebo pomocí příslušného příkazu rozhraní Microsoft Graph API .
Nový počáteční cyklus aktivuje změnu mapování atributů nebo filtrů oborů.
Proces zřizování přejde do karantény kvůli vysoké míře chyb a zůstane v karanténě déle než čtyři týdny, pak se automaticky zakáže.
Pokud chcete tyto události zkontrolovat a všechny ostatní aktivity prováděné službou zřizování, projděte si protokoly zřizování Microsoft Entra.
Pokud chcete zjistit, jak dlouho cykly zřizování zabírají a monitorují průběh úlohy zřizování, můžete zkontrolovat stav zřizování uživatelů.
Získání přehledů ze sestav
Microsoft Entra ID poskytuje další přehledy o využití a provozním stavu zřizování uživatelů vaší organizace prostřednictvím protokolů auditu a sestav. Další informace o přehledech uživatelů najdete v tématu Kontrola stavu zřizování uživatelů.
Správa by měly zkontrolovat souhrnnou sestavu zřizování a monitorovat provozní stav úlohy zřizování. Všechny aktivity prováděné službou zřizování se zaznamenávají v protokolech auditu Microsoft Entra. Viz kurz: Vytváření sestav o automatickém zřizování uživatelských účtů.
Doporučujeme předpokládat vlastnictví těchto sestav a využívat je podle četnosti, která splňuje požadavky vaší organizace. Microsoft Entra ID uchovává většinu dat auditu po dobu 30 dnů.
Odstraňování potíží
Informace o řešení potíží, které se můžou během zřizování objevit, najdete na následujících odkazech:
Problém s konfigurací zřizování uživatelů pro aplikaci Microsoft Entra Gallery
Pro aplikaci Microsoft Entra Gallery se nezřizují žádní uživatelé.
Pro aplikaci Microsoft Entra Gallery se zřizuje nesprávná sada uživatelů
Užitečná dokumentace
Přeskočení odstranění uživatelských účtů, které vyjdou mimo rozsah
Microsoft Entra Připojení Provisioning Agent: Historie verzí