Mi az Azure Active Directory alkalmazáskiépítése?

Az Azure Active Directory (Azure AD) esetében az alkalmazáskiépítés kifejezés az alkalmazások felhasználói identitásainak és szerepköreinek automatikus létrehozására utal.

Diagram that shows provisioning scenarios.

Az Azure AD-alkalmazások kiépítése azt jelenti, hogy automatikusan létrehoznak felhasználói identitásokat és szerepköröket azokban az alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások karbantartását és eltávolítását, amikor az állapot vagy a szerepkörök megváltoznak. Gyakori forgatókönyvek például egy Azure AD-felhasználó kiépítése saaS-alkalmazásokba, például Dropbox, Salesforce, ServiceNow stb.

Az Azure AD azt is támogatja, hogy a felhasználókat a helyszínen vagy virtuális gépen üzemeltetett alkalmazásokba építse be anélkül, hogy tűzfalakat kellene megnyitnia. Ha az alkalmazás támogatja az SCIM-et, vagy létrehozott egy SCIM-átjárót a régi alkalmazáshoz való csatlakozáshoz, az Azure AD kiépítési ügynök használatával közvetlenül csatlakozhat az alkalmazáshoz, és automatizálhatja a kiépítést és a megszüntetést. Ha olyan örökölt alkalmazásokkal rendelkezik, amelyek nem támogatják az SCIM-et, és LDAP-felhasználói tárolóra vagy SQL-adatbázisra támaszkodnak, az Azure AD ezeket is támogatja.

Az alkalmazáskiépítés a következőket teszi lehetővé:

  • A kiépítés automatizálása: Automatikusan új fiókokat hozhat létre a megfelelő rendszerekben az új személyek számára, amikor csatlakoznak a csapathoz vagy a szervezethez.
  • A megszüntetés automatizálása: Automatikusan inaktiválja a fiókokat a megfelelő rendszerekben, amikor valaki elhagyja a csapatot vagy a szervezetet.
  • Adatok szinkronizálása rendszerek között: Gondoskodjon arról, hogy az alkalmazások és rendszerek identitásai naprakészek legyenek a címtárban vagy az emberi erőforrások rendszerében bekövetkezett változások alapján.
  • Csoportok kiépítése: Csoportok kiépítése az őket támogató alkalmazások számára.
  • Hozzáférés szabályozása: Figyelheti és naplózhatja, hogy ki lett kiépítve az alkalmazásokban.
  • Zökkenőmentes üzembe helyezés barnamezős forgatókönyvekben: Egyezzen a meglévő identitásokkal a rendszerek között, és tegye lehetővé az egyszerű integrációt még akkor is, ha a felhasználók már léteznek a célrendszerben.
  • Részletes testreszabás használata: Használja ki a testre szabható attribútumleképezéseket, amelyek meghatározzák, hogy milyen felhasználói adatok kerüljenek át a forrásrendszerből a célrendszerbe.
  • Riasztások lekérése kritikus eseményekhez: A kiépítési szolgáltatás riasztásokat biztosít a kritikus eseményekhez, és lehetővé teszi a Log Analytics integrációját, ahol egyéni riasztásokat határozhat meg az üzleti igényeinek megfelelően.

Mi az az SCIM?

Az üzembe helyezés és a megszüntetés automatizálásának elősegítése érdekében az alkalmazások saját fejlesztésű felhasználói és csoportos API-kat tehetnek közzé. Aki azonban egynél több alkalmazásban próbálta kezelni a felhasználókat, az azt fogja mondani, hogy minden alkalmazás ugyanazokat a műveleteket próbálja végrehajtani, például felhasználókat próbál létrehozni vagy frissíteni, felhasználókat felvenni a csoportokba, vagy megszüntetni a felhasználókat. Mindezek a műveletek azonban kissé eltérően vannak implementálva különböző végpontútvonalakkal, a felhasználói adatok megadására használt különböző módszerekkel, és egy másik sémával, amely az információ egyes elemeit képviseli.

Ezeknek a kihívásoknak a megoldásához a System for Cross-domain Identity Management (SCIM) specifikáció egy közös felhasználói sémát biztosít, amely segít a felhasználóknak az alkalmazásokba való be- és ki- és beléptetésben. Az SCIM a kiépítés de facto szabványává válik, és ha olyan összevonási szabványokkal használják, mint a Security Assertions Markup Language (SAML) vagy az OpenID Csatlakozás (OIDC), a rendszergazdáknak egy végpontok közötti szabványalapú megoldást biztosít a hozzáférés-kezeléshez.

A felhasználók és csoportok alkalmazásba történő kiépítésének és megszüntetésének automatizálására szolgáló SCIM-végpontok fejlesztésével kapcsolatos részletes útmutatásért tekintse meg az SCIM-végpont létrehozását és a felhasználók átadásának konfigurálását ismertető cikket. A katalógusban előre integrált alkalmazások, például a Slack, az Azure Databricks és a Snowflake esetében kihagyhatja a fejlesztői dokumentációt, és az oktatóanyagokban található oktatóanyagok segítségével integrálhatja saaS-alkalmazásait Azure Active Directory.

Manuális és automatikus átadás

Az Azure AD-katalógusban található alkalmazások a következő két kiépítési mód egyikét támogatják:

  • A manuális kiépítés azt jelenti, hogy az alkalmazáshoz még nincs automatikus Azure AD kiépítési összekötő. A felhasználói fiókokat manuálisan kell létrehozni. Ilyenek például a felhasználók hozzáadása közvetlenül az alkalmazás felügyeleti portálján, vagy egy felhasználói fiók adatait tartalmazó számolótábla feltöltése. Tekintse meg az alkalmazás által biztosított dokumentációt, vagy lépjen kapcsolatba az alkalmazás fejlesztőjének a rendelkezésre álló mechanizmusok meghatározásához.
  • Az automatikus beállítás azt jelenti, hogy ehhez az alkalmazáshoz egy Azure AD-kiépítési összekötőt fejlesztettek ki. Kövesse az alkalmazás üzembe helyezésének beállítására vonatkozó telepítési oktatóanyagot. Az alkalmazásokkal kapcsolatos oktatóanyagok az SaaS-alkalmazások Azure Active Directory való integrálására vonatkozó oktatóanyagokban találhatók.

Az alkalmazás által támogatott kiépítési mód a Kiépítés lapon is látható, miután hozzáadta az alkalmazást a vállalati alkalmazásokhoz.

Az automatikus kiépítés előnyei

A modern szervezetekben használt alkalmazások számának növekedésével az informatikai rendszergazdáknak nagy léptékben kell hozzáférés-kezelést biztosítaniuk. Az OLYAN szabványok, mint az SAML vagy az OIDC lehetővé teszik a rendszergazdák számára az egyszeri bejelentkezés (SSO) gyors beállítását, de a hozzáféréshez a felhasználókat is be kell állítani az alkalmazásba. Sok rendszergazda számára a kiépítés azt jelenti, hogy minden felhasználói fiók manuális létrehozása vagy CSV-fájlok feltöltése hetente. Ezek a folyamatok időigényesek, költségesek és hibalehetőségek. A kiépítés automatizálására olyan megoldásokat alkalmaztak, mint az SAML igény szerinti (JIT). A vállalatoknak megoldásra is szükségük van a felhasználók megszüntetéséhez, amikor elhagyják a szervezetet, vagy már nem igényelnek hozzáférést bizonyos alkalmazásokhoz a szerepkör módosítása alapján.

Az automatikus kiépítés használatának gyakori indokai a következők:

  • A kiépítési folyamatok hatékonyságának és pontosságának maximalizálása.
  • Az egyéni fejlesztésű kiépítési megoldások és szkriptek üzemeltetésével és karbantartásával kapcsolatos költségek csökkentése.
  • A szervezet biztonságossá tétele a felhasználók identitásainak azonnali eltávolításával a kulcsfontosságú SaaS-alkalmazásokból, amikor elhagyják a szervezetet.
  • Nagy számú felhasználó egyszerű importálása egy adott SaaS-alkalmazásba vagy rendszerbe.
  • Egyetlen szabályzatkészlettel meghatározhatja, hogy ki van kiépítve, és ki jelentkezhet be egy alkalmazásba.

Az Azure AD-felhasználók átadása segíthet ezeknek a kihívásoknak a megoldásában. Ha többet szeretne megtudni arról, hogy az ügyfelek hogyan használták az Azure AD-felhasználók átadását, olvassa el az ASOS-esettanulmányt. Az alábbi videó áttekintést nyújt a felhasználók Azure AD-ben történő kiépítéséről.

Milyen alkalmazásokat és rendszereket használhatok az Azure AD automatikus felhasználóátadással?

Az Azure AD előre integrált támogatást nyújt számos népszerű SaaS-alkalmazáshoz és emberi erőforrás-rendszerhez, valamint általános támogatást nyújt az SCIM 2.0 szabvány egyes részeit implementáló alkalmazásokhoz.

Hogyan automatikus kiépítést állít be egy alkalmazáshoz?

A katalógusban felsorolt előre integrált alkalmazások esetében részletes útmutató érhető el az automatikus kiépítés beállításához. Az SaaS-alkalmazások Azure Active Directory való integrálásával kapcsolatos oktatóanyagok. Az alábbi videó bemutatja, hogyan állíthat be automatikus felhasználóátadást a SalesForce-hoz.

Az SCIM 2.0-t támogató egyéb alkalmazások esetében kövesse az SCIM-végpont buildelésével és a felhasználók átadásának konfigurálásával kapcsolatos lépéseket.

Következő lépések