Co je zřizování aplikací v Azure Active Directory?

v Azure Active Directory (Azure AD) pojem zřizování aplikací označuje automatické vytváření identit uživatelů a rolí pro aplikace.

Diagram znázorňující scénáře zřizování.

Zřizování aplikací v Azure AD to software jako služba (SaaS) odkazuje na automatické vytváření identit a rolí uživatelů v aplikacích Cloud (SaaS), ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje Automatické zřizování také údržbu a odebírání identit uživatelů při změně stavu nebo rolí. mezi běžné scénáře patří zřizování uživatelů Azure AD v aplikacích, jako jsou Dropbox, Salesforce, ServiceNowa další.

Azure AD podporuje zřizování uživatelů do aplikací a aplikací SaaS hostovaných v místním prostředí nebo řešení infrastruktury jako služby (IaaS), jako je třeba virtuální počítač. je možné, že máte starší verzi aplikace, která spoléhá na úložiště uživatele LDAP nebo databázi SQL. Pomocí služby zřizování Azure AD můžete vytvářet, aktualizovat a odstraňovat uživatele v místních aplikacích, aniž byste museli otevírat brány firewall nebo pracovat s porty TCP.

Pomocí nespravovaných agentů můžete zřídit uživatele v místních aplikacích a řídit přístup. Když se Azure AD používá s proxy aplikací, můžete spravovat přístup k místní aplikaci a poskytovat Automatické zřizování uživatelů (se službou zřizování) a jednotné přihlašování (s proxy aplikací).

Zřizování aplikací vám umožní:

  • Automatizace zřizování: automatické vytváření nových účtů v pravém systému pro nové lidi při připojení k vašemu týmu nebo organizaci.
  • Automatické zrušení zřizování: automaticky deaktivuje účty ve správných systémech, když lidé odejdou z týmu nebo organizace.
  • Synchronizace dat mezi systémy: Ujistěte se, že identity ve vašich aplikacích a systémech jsou v závislosti na změnách v adresáři nebo v systému lidských zdrojů aktualizované.
  • Zřizování skupin: zřizování skupin pro aplikace, které je podporují.
  • Řízení přístupu: monitorování a audit, který se zřídil do vašich aplikací.
  • Bezproblémové nasazení ve scénářích s hnědém polem: porovnává stávající identity mezi systémy a umožňují snadnou integraci, a to i v případě, že uživatelé již existují v cílovém systému.
  • Použít bohatá přizpůsobení: Využijte přizpůsobitelných mapování atributů, která definují, jaká uživatelská data by se měla přesměrovat ze zdrojového systému do cílového systému.
  • Získání výstrah pro kritické události: služba zřizování poskytuje výstrahy pro kritické události a umožňuje Log Analytics integraci, kde můžete definovat vlastní výstrahy tak, aby vyhovovaly vašim obchodním potřebám.

Co je SCIM?

Aby se usnadnilo automatizace zřizování a rušení, aplikace zveřejňují proprietární rozhraní API pro uživatele a skupiny. Všichni, kdo se snaží spravovat uživatele ve více než jedné aplikaci, vám sdělí, že se každá aplikace pokusí provést stejné akce, třeba při vytváření nebo aktualizaci uživatelů, přidávání uživatelů do skupin nebo rušení zřizování uživatelů. Všechny tyto akce se zatím implementují mírně odlišně pomocí různých cest koncových bodů, různých metod pro zadání informací o uživateli a jiného schématu, které představují jednotlivé prvky informací.

Aby bylo možné tyto výzvy vyřešit, poskytuje systém pro specifikaci SCIM (Domain Identity Management) společné uživatelské schéma, které uživatelům usnadňuje přesun a přecházení mezi aplikacemi. SCIM se stává jako de facto standard pro zřizování a při použití s federačními standardy, jako je SAML (Security assert Markup Language) nebo OpenID Připojení (OIDC), poskytuje správcům ucelené řešení založené na standardech pro správu přístupu.

Podrobné pokyny k vývoji SCIM koncového bodu pro automatizaci zřizování a rušení zřizování uživatelů a skupin do aplikace najdete v tématu Vytvoření koncového bodu SCIM a konfigurace zřizování uživatelů. V případě předem integrovaných aplikací v galerii, jako je například časová rezerva, Azure Databricks a Snowflake, můžete přeskočit dokumentaci pro vývojáře a využít kurzy poskytované v kurzech pro integraci SaaSch aplikací s Azure Active Directory.

Ruční vs. automatické zřizování

Aplikace v galerii Azure AD podporují jeden ze dvou režimů zřizování:

  • Ruční zřizování znamená, že zatím není k dispozici žádný automatický konektor pro zřizování Azure AD pro tuto aplikaci. Uživatelské účty musí být vytvořeny ručně. Příklady přidávání uživatelů přímo do portálu pro správu aplikace nebo nahrání tabulky s podrobnostmi o uživatelském účtu. Projděte si dokumentaci poskytovanou aplikací nebo se obraťte na vývojáře aplikace a zjistěte, jaké mechanismy jsou k dispozici.
  • Automaticky znamená, že se pro tuto aplikaci vyvinul konektor zřizování služby Azure AD. Postupujte podle návodu k instalaci, který je specifický pro nastavení zřizování pro aplikaci. Kurzy aplikací najdete v kurzech pro integraci SaaSch aplikací s Azure Active Directory.

Režim zřizování podporovaný aplikací je zobrazený také na kartě zřizování po přidání aplikace do podnikových aplikací.

Výhody automatického zřizování

Vzhledem k tomu, že počet aplikací používaných v moderních organizacích stále roste, správci IT mají na dosahu řízení přístupu ve velkém měřítku. Standardy, jako je SAML nebo OIDC, umožňují správcům rychle nastavit jednotné přihlašování (SSO), ale přístup také vyžaduje, aby se do aplikace zřídili uživatelé. U mnoha správců zajišťuje zřizování ruční vytváření všech uživatelských účtů nebo nahrávání souborů CSV každý týden. Tyto procesy jsou časově náročné, nákladné a náchylné k chybám. Pro automatizaci zřizování se přijala řešení, jako je JIT (just-in-time) SAML. Podniky také potřebují řešení pro zrušení zřízení uživatelů při opuštění organizace nebo už nevyžadují přístup k určitým aplikacím na základě změny role.

Mezi běžné motivace pro použití automatického zřizování patří:

  • Maximalizace efektivity a přesnosti zřizování procesů.
  • Úspora nákladů spojených s hostováním a udržováním vlastních řešení a skriptů pro zřizování s vlastním vývojem
  • Zabezpečení organizace tím, že se okamžitě odeberou identity uživatelů z aplikací služby Key SaaS, když odejdou z organizace.
  • Snadné importování velkého počtu uživatelů do konkrétní SaaS aplikace nebo systému.
  • Pomocí jedné sady zásad určíte, kdo je zřízený a kdo se může přihlásit k aplikaci.

Zřizování uživatelů Azure AD může tyto výzvy vyřešit. Pokud chcete získat další informace o tom, jak zákazníci používají zřizování uživatelů Azure AD, přečtěte si případovou studii Asos. Následující video poskytuje přehled zřizování uživatelů ve službě Azure AD.

Jaké aplikace a systémy je možné používat s automatickým zřizováním uživatelů Azure AD?

Azure AD nabízí předem integrovanou podporu pro spoustu oblíbených aplikací SaaS a systémů lidských zdrojů a obecnou podporu pro aplikace, které implementují určité části standardu SCIM 2,0.

  • Předem integrované aplikace (Galerie aplikací SaaS): můžete najít všechny aplikace, pro které Azure AD podporuje předem integrovaný zřizovací konektor, v kurzech pro integraci SaaSch aplikací s Azure Active Directory. Předem integrované aplikace uvedené v galerii obecně používají rozhraní API pro správu uživatelů na bázi SCIM 2,0 ke zřízení.

    Obrázek, který zobrazuje loga pro DropBox, Salesforce a další.

    Pokud chcete požádat o novou aplikaci pro zřizování, můžete požádat o integraci aplikace do naší galerie aplikací. Pro požadavek na zřízení uživatele vyžaduje aplikace, aby měl koncový bod kompatibilní s SCIM. Požádejte dodavatele aplikace, aby následoval za standardem SCIM, abychom mohli rychle připojit aplikaci k naší platformě.

  • Aplikace, které podporují SCIM 2,0: informace o tom, jak obecně propojit aplikace, které implementují rozhraní API pro správu uživatelů SCIM 2,0, najdete v tématu Vytvoření koncového bodu SCIM a konfigurace zřizování uživatelů.

Návody nastavit Automatické zřizování pro aplikaci?

V případě předem integrovaných aplikací uvedených v galerii jsou podrobné pokyny k dispozici pro nastavení automatického zřizování. Přečtěte si kurzy pro integraci SaaSch aplikací s Azure Active Directory. Následující video ukazuje, jak nastavit Automatické zřizování uživatelů pro SalesForce.

Pro jiné aplikace, které podporují SCIM 2,0, postupujte podle kroků v části Vytvoření koncového bodu SCIM a konfigurace zřizování uživatelů.

Další kroky