Mi az az Azure AD-ben az automatizált SaaS-alkalmazások felhasználói üzembe helyezése?What is automated SaaS app user provisioning in Azure AD?

Azure Active Directory (Azure AD) esetében az alkalmazás üzembe helyezésének kifejezése arra a felhasználói identitások és szerepkörök automatikus létrehozására utal, amelyekhezSaaSa felhasználóknak hozzá kell férniük.In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. A felhasználói identitások létrehozása mellett az automatikus kiépítés a felhasználói identitások karbantartását és eltávolítását is magában foglalja az állapot vagy a szerepkörök módosításakor.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. Gyakori forgatókönyvek például az Azure AD-felhasználók üzembe helyezése olyan alkalmazásokban, mint a Dropbox, a Salesforce, a ServiceNowés még sok más.Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

Kiépítés – áttekintés diagram

Ez a funkció lehetővé teszi a következőket:This feature lets you:

  • A kiépítés automatizálása: automatikusan hozzon létre új fiókokat a megfelelő rendszerekben az új személyekhez, amikor csatlakoznak a csapathoz vagy szervezethez.Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Kiépítés automatizálása: Automatikusan inaktiválja a fiókokat a megfelelő rendszerekben, amikor a felhasználók elhagyják a csapatot vagy a szervezetet.Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Az adatszinkronizálás a rendszerek között: Győződjön meg arról, hogy az alkalmazásokban és rendszerekben lévő identitások naprakészek maradnak a címtár vagy az emberi erőforrások rendszerének változásai alapján.Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • Csoportok kiépítése: Csoportok kiépítése az azokat támogató alkalmazásokba.Provision groups: Provision groups to applications that support them.
  • Hozzáférés szabályozása: Az alkalmazásokban kiépített figyelés és naplózás.Govern access: Monitor and audit who has been provisioned into your applications.
  • Zökkenőmentes üzembe helyezés a barna mezőkben: A meglévő identitások egyeztetése a rendszerek között, és az egyszerű integráció lehetővé tétele, még akkor is, ha a felhasználók már léteznek a megcélzott rendszerben.Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • Gazdag Testreszabás használata: Kihasználhatja a testreszabható attribútum-hozzárendeléseket, amelyek meghatározzák, hogy a felhasználói adatok milyen mértékben áramlanak a forrásoldali rendszerből a célként megadott rendszerbe.Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Riasztások beolvasása kritikus eseményekre: A kiépítési szolgáltatás riasztásokat biztosít a kritikus fontosságú eseményekhez, és lehetővé teszi Log Analytics integrációt, ahol egyéni riasztásokat adhat meg az üzleti igényeknek megfelelően.Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

Az automatikus kiépítés előnyeiBenefits of automatic provisioning

Mivel a modern szervezeteknél használt alkalmazások száma folyamatosan nő, a rendszergazdák a nagy léptékű hozzáférés-kezeléssel rendelkeznek.As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Az olyan szabványok, mint például a biztonsági kikötések Markup Language (SAML) vagy a Open ID kapcsolódás (OIDC) lehetővé teszik a rendszergazdáknak, hogy gyorsan állítsanak be egyszeri bejelentkezést (SSO), de a hozzáféréshez az is szükséges, hogy a felhasználók beépítsék az alkalmazást.Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. Számos rendszergazda számára a kiépítés azt jelenti, hogy manuálisan hozza létre az összes felhasználói fiókot, vagy a CSV-fájlokat minden héten feltölti, de ezek a folyamatok időigényesek, költségesek és hibákra hajlamosak.To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. Az SAML-alapú (például JIT) megoldásokat a kiépítés automatizálására is elfogadták, de a vállalatoknak olyan megoldásra is szükségük van, amely a felhasználók kiépítését igényli, amikor a szervezet elhagyja a munkahelyet, vagy már nem igényelnek hozzáférést bizonyos alkalmazásokhoz a szerepkör módosítása alapján.Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

Az automatikus kiépítés használatának gyakori indítékai a következők:Some common motivations for using automatic provisioning include:

  • A kiépítési folyamatok hatékonyságának és pontosságának maximalizálása.Maximizing the efficiency and accuracy of provisioning processes.
  • Az egyedi fejlesztésű üzembe helyezési megoldások és szkriptek üzemeltetésével és karbantartásával kapcsolatos költségek mentése.Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • A szervezet védelme azáltal, hogy azonnal eltávolítja a felhasználók identitását a Key SaaS-alkalmazásokból, amikor elhagyja a szervezetet.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Számos felhasználót egyszerűen importálhat egy adott SaaS-alkalmazásba vagy-rendszerbe.Easily importing a large number of users into a particular SaaS application or system.
  • Egyetlen szabályzattal meghatározhatja, hogy ki kiépített és ki tud jelentkezni egy alkalmazásba.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Az Azure AD-felhasználók üzembe helyezése segíthet a problémák megoldásában.Azure AD user provisioning can help address these challenges. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használják az Azure AD-t, akkor olvassa el a Asos-esettanulmányt.To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. Az alábbi videó áttekintést nyújt a felhasználók üzembe helyezéséről az Azure AD-ben:The video below provides an overview of user provisioning in Azure AD:

Milyen alkalmazásokat és rendszereket használhatok az Azure AD automatikus felhasználói üzembe helyezéséhez?What applications and systems can I use with Azure AD automatic user provisioning?

Az Azure AD számos népszerű SaaS-alkalmazás és emberi erőforrásrendszer előre integrált támogatását, valamint általános támogatást nyújt a SCIM 2,0 standardrészét képező alkalmazások számára.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • Előre integrált alkalmazások (Gallery SaaS-alkalmazások).Pre-integrated applications (gallery SaaS apps). Megtalálhatja az összes olyan alkalmazást, amelyhez az Azure AD támogatja a felhasználó által kiépített alkalmazás-oktatóanyagokattartalmazó, előre integrált létesítési összekötőt.You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. A katalógusban felsorolt előre integrált alkalmazások általában a SCIM 2,0-alapú felhasználói felügyeleti API-kat használják a kiépítés számára.The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Salesforce embléma

    Ha új alkalmazást szeretne igényelni az üzembe helyezéshez, kérheti, hogy az alkalmazás integrálva legyenaz alkalmazás-galériával.If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. A felhasználó kiépítési kérelméhez az alkalmazásnak SCIM-kompatibilis végponttal kell rendelkeznie.For a user provisioning request, we require the application to have a SCIM-compliant endpoint. Kérje meg, hogy az alkalmazás gyártója kövesse a SCIM standardot, így gyorsan üzembe helyezhetjük az alkalmazást a platformon.Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • Az SCIM 2,0-et támogató alkalmazások.Applications that support SCIM 2.0. Az SCIM 2,0-alapú felhasználói felügyeleti API-kat megvalósító alkalmazások általános összekapcsolásával kapcsolatos információkért lásd: scim-végpont létrehozása és a felhasználók üzembehelyezésének konfigurálása.For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

Mi a rendszer a tartományok közötti Identitáskezelés kezelésére (SCIM)?What is System for Cross-domain Identity Management (SCIM)?

A kiépítés és a megszüntetés automatizálása érdekében az alkalmazások tulajdonosi felhasználói és csoportos API-kat tesznek elérhetővé.To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. Azonban bárki, aki több alkalmazásban próbálta felügyelni a felhasználókat, azt fogja tudni, hogy minden alkalmazás ugyanazt az egyszerű műveletet próbálja végrehajtani, például a felhasználók létrehozását és frissítését, a felhasználók csoportokhoz való hozzáadását vagy a felhasználók megszüntetését.However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. Az ilyen egyszerű műveletek azonban a különböző végponti elérési utakkal, a felhasználói adatok megadására szolgáló különböző módszerekkel, valamint egy másik, az egyes elemek ábrázolására szolgáló sémával eltérő módon valósíthatók meg.Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

A problémák megoldása érdekében a SCIM-specifikáció egy általános felhasználói sémát biztosít, amellyel a felhasználók beléphetnek az alkalmazásba, és onnan is megtalálhatják őket.To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. A SCIM a kiépítés de facto szabványa, és az összevonási szabványok, például az SAML vagy az OpenID Connect együttes használata esetén a rendszergazdák teljes körű, a hozzáférés-vezérlésre vonatkozó szabványokon alapuló megoldást biztosítanak.SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

A SCIM-végpontok alkalmazáshoz való kiépítésének és megszüntetésének automatizálására vonatkozó részletes útmutatásért lásd: scim-végpont létrehozása ésa felhasználók üzembe helyezésének konfigurálása.For detailed guidance on developing a SCIM endpoint to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning. A katalógusban található előre integrált alkalmazások (Slack, Azure Databricks, hópehely stb.) esetében kihagyhatja a fejlesztői dokumentációt, és használhatja az ittelérhető oktatóanyagokat.For pre-integrated applications in the gallery (Slack, Azure Databricks, Snowflake, etc.), you can skip the developer documentation and use the tutorials provided here.

Manuális és automatikus átadásManual vs. automatic provisioning

Az Azure AD-katalógusban található alkalmazások támogatják a két üzembe helyezési mód egyikét:Applications in the Azure AD gallery support one of two provisioning modes:

  • A manuális kiépítés azt jelenti, hogy még nincs automatikus Azure ad-létesítési összekötő az alkalmazáshoz.Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. A felhasználói fiókokat manuálisan kell létrehozni, például a felhasználókat közvetlenül az alkalmazás felügyeleti portálján, vagy a felhasználói fiók részleteit tartalmazó számolótábla feltöltésével.User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. Tekintse át az alkalmazás által biztosított dokumentációt, vagy lépjen kapcsolatba az alkalmazás fejlesztővel, és határozza meg, hogy milyen mechanizmusok érhetők el.Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • Az automatikus beállítás azt jelenti, hogy az alkalmazáshoz egy Azure ad-létesítési összekötő lett kifejlesztve.Automatic means that an Azure AD provisioning connector has been developed for this application. Kövesse az alkalmazás üzembe helyezésének beállítására vonatkozó telepítési oktatóanyagot.You should follow the setup tutorial specific to setting up provisioning for the application. Az alkalmazás-oktatóanyagok az SaaS-alkalmazások Azure Active Directory használatával történő integrálását ismertető oktatóanyagbantalálhatók.App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

Az Azure AD-katalógusban az automatikus kiépítés támogatására szolgáló alkalmazásokat kiépítési ikon jelöli.In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. Váltson az új katalógus előzetes verziójára, és tekintse meg ezeket az ikonokat (az alkalmazás hozzáadása laptetején található szalagcímben, majd válassza ki azt a hivatkozást, amely az új és továbbfejlesztett alkalmazás-gyűjtemény kipróbálásához kattintson ide).Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

Kiépítési ikon az alkalmazás-gyűjteményben

Az alkalmazás által támogatott kiépítési mód a kiépítés lapon is látható, miután hozzáadta az alkalmazást a vállalatialkalmazásokhoz.The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

Hogyan automatikus kiépítés beállítása egy alkalmazáshoz?How do I set up automatic provisioning to an application?

A katalógusban felsorolt előre integrált alkalmazások esetében az automatikus kiépítés beállításához lépésenkénti útmutató áll rendelkezésre.For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. Tekintse meg az integrált katalógus-alkalmazásokhoz tartozó oktatóanyagok listáját.See the list of tutorials for integrated gallery apps. A következő videó bemutatja, hogyan állíthatja be az automatikus felhasználó-kiépítés SalesForce.The following video demonstrates how to set up automatic user provisioning for SalesForce.

Az SCIM 2,0-et támogató egyéb alkalmazások esetében kövesse a scim-végpont létrehozása és a felhasználók kiépítésének konfigurálásacímű cikkben ismertetett lépéseket.For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.

További lépésekNext steps