Wat is app-inrichting in Azure Active Directory?

  • Artikel
  • 6 minuten om te lezen

In Azure Active Directory (Azure AD) verwijst de term app-inrichting naar het automatisch maken van gebruikersidentiteiten en rollen voor toepassingen.

Diagram met inrichtingsscenario's.

Het inrichten van Azure AD-toepassingen verwijst naar het automatisch maken van gebruikersidentiteiten en -rollen in de toepassingen waar gebruikers toegang tot nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Veelvoorkomende scenario's zijn het inrichten van een Azure AD-gebruiker in SaaS-toepassingen zoals Dropbox, Salesforce, ServiceNowen meer.

Azure AD biedt ook ondersteuning voor het inrichten van gebruikers in toepassingen die on-premises of op een virtuele machine worden gehost, zonder dat u firewalls moet openen. Als uw toepassing SCIMondersteunt, of als u een SCIM-gateway hebt gebouwd om verbinding te maken met uw verouderde toepassing, kunt u de Azure AD-inrichtingsagent gebruiken om rechtstreeks verbinding te maken met uw toepassing en het inrichten en de inrichting ervan te automatiseren. Als u oudere toepassingen hebt die geen ondersteuning bieden voor SCIM en afhankelijk zijn van een LDAP-gebruikersopslag of een SQL-database, kan Azure AD deze ook ondersteunen.

Met app-inrichting kunt u het volgende doen:

  • Inrichting automatiseren: Automatisch nieuwe accounts maken in de juiste systemen voor nieuwe personen wanneer ze deelnemen aan uw team of organisatie.
  • Deprovisioning automatiseren: deactiveer accounts automatisch in de juiste systemen wanneer mensen het team of de organisatie verlaten.
  • Gegevens synchroniseren tussen systemen: zorg ervoor dat de identiteiten in uw apps en systemen up-to-date blijven op basis van wijzigingen in de map of uw human resources-systeem.
  • Groepen inrichten: groepen inrichten voor toepassingen die deze ondersteunen.
  • Toegang bepalen: controleer en controleer wie er in uw toepassingen is ingericht.
  • Naadloos implementeren in brown field-scenario's: koppel bestaande identiteiten tussen systemen en sta eenvoudige integratie toe, zelfs wanneer gebruikers al bestaan in het doelsysteem.
  • Uitgebreide aanpassing gebruiken: profiteer van aanpasbare kenmerktoewijzingen die bepalen welke gebruikersgegevens van het bronsysteem naar het doelsysteem moeten stromen.
  • Waarschuwingen ontvangen voor kritieke gebeurtenissen: de inrichtingsservice biedt waarschuwingen voor kritieke gebeurtenissen en maakt log analytics-integratie mogelijk, waarbij u aangepaste waarschuwingen kunt definiëren die aan uw bedrijfsbehoeften voldoen.

Wat is SCIM?

Om te helpen bij het automatiseren van de inrichting of het ongedaan maken van de inrichting, maken apps gebruik van eigen gebruikers-API’s en groeps-API’s. Maar iedereen die heeft geprobeerd gebruikers in meer dan één app te beheren, vertelt u dat elke app dezelfde acties probeert uit te voeren, zoals het maken of bijwerken van gebruikers, het toevoegen van gebruikers aan groepen of het verwijderen van deprovisioning van gebruikers. Al deze acties worden echter enigszins anders geïmplementeerd met behulp van verschillende eindpuntpaden, verschillende methoden om gebruikersgegevens op te geven en een ander schema om elk element van informatie weer te geven.

Om deze uitdagingen aan te pakken, biedt de specificatie System for Cross-domain Identity Management (SCIM) een gemeenschappelijk gebruikersschema om gebruikers te helpen bij het verplaatsen naar, uit en rond apps. SCIM wordt de feitelijke standaard voor het inrichten en biedt beheerders, wanneer ze worden gebruikt met federatiestandaarden zoals Security Assertions Markup Language (SAML) of OpenID Verbinding maken (OIDC), een end-to-end oplossing op basis van standaarden voor toegangsbeheer.

Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor gedetailleerde richtlijnen over het ontwikkelen van een SCIM-eindpunt voor het automatiseren van het inrichten en het ongedaan maken van de inrichting van gebruikers en groepen in een toepassing. Voor vooraf geïntegreerde toepassingen in de galerie, zoals Slack, Azure Databricks en Snowflake, kunt u de documentatie voor ontwikkelaars overslaan en de zelfstudies in Zelfstudies gebruiken voor het integreren van SaaS-toepassingenmet Azure Active Directory .

Handmatige en automatische inrichting

Toepassingen in de Azure AD-galerie ondersteunen een van de twee inrichtingsmodi:

  • Handmatige inrichting betekent dat er nog geen automatische Azure AD-inrichtingsconnector voor de app is. Gebruikersaccounts moeten handmatig worden gemaakt. Voorbeelden zijn het rechtstreeks toevoegen van gebruikers aan de beheerportal van de app of het uploaden van een spreadsheet met gebruikersaccountgegevens. Raadpleeg de documentatie van de app of neem contact op met de app-ontwikkelaar om te bepalen welke mechanismen beschikbaar zijn.
  • Automatisch houdt in dat er al een Azure AD-inrichtingsconnector is ontwikkeld voor deze toepassing. Volg de installatiezelfstudie die specifiek is voor het instellen van inrichting voor de toepassing. App-zelfstudies vindt u in Zelfstudies voor het integreren van SaaS-toepassingen met Azure Active Directory.

De inrichtingsmodus die door een toepassing wordt ondersteund, is ook zichtbaar op het tabblad Inrichten nadat u de toepassing hebt toegevoegd aan uw bedrijfs-apps.

Voordelen van automatische inrichting

Naarmate het aantal toepassingen dat in moderne organisaties wordt gebruikt groeit, moeten IT-beheerders voor toegangsbeheer op schaal zorgen. Met standaarden zoals SAML of OIDC kunnen beheerders snel eenmalige aanmelding (SSO) instellen, maar voor toegang moeten gebruikers ook worden ingericht in de app. Voor veel beheerders betekent inrichten dat elke week handmatig elk gebruikersaccount wordt gemaakt of CSV-bestanden worden geüpload. Deze processen zijn tijdrovend, duur en foutgevoelig. Oplossingen zoals SAML Just-In-Time (JIT) zijn gebruikt om het inrichten te automatiseren. Ondernemingen hebben ook een oplossing nodig om deprovisioning van gebruikers op te schorten wanneer ze de organisatie verlaten of wanneer ze geen toegang meer nodig hebben tot bepaalde apps op basis van rolwijziging.

Enkele veelvoorkomende motivaties voor het gebruik van automatische inrichting zijn:

  • Maximale efficiëntie en nauwkeurigheid van inrichtingsprocessen.
  • Besparen op kosten die zijn gekoppeld aan het hosten en onderhouden van op maat gemaakte inrichtingsoplossingen en -scripts.
  • Beveiliging van uw organisatie door de identiteit van gebruikers direct te verwijderen uit belangrijke SaaS-apps wanneer ze de organisatie verlaten.
  • Eenvoudig een groot aantal gebruikers importeren in een bepaalde SaaS-toepassing of -systeem.
  • Beschikking over één set beleidsregels om te bepalen wie er wordt ingericht en wie zich kan aanmelden bij een app.

Het inrichten van Azure AD-gebruikers kan helpen bij het oplossen van deze uitdagingen. Lees de ASOS-casestudie voor meer informatie over hoe klanten azure AD-gebruikers inrichten hebben gebruikt. De volgende video biedt een overzicht van het inrichten van gebruikers in Azure AD.

Welke toepassingen en systemen kan ik gebruiken met automatische gebruikersinrichting van Azure AD?

Azure AD bevat vooraf geïntegreerde ondersteuning voor veel populaire SaaS-toepassingen en HR-systemen en algemene ondersteuning voor apps die specifieke onderdelen van de SCIM 2.0-standaard implementeren.

  • Vooraf geïntegreerde toepassingen (SaaS-apps in galerie) : u vindt alle toepassingen waarvoor Azure AD een vooraf geïntegreerde inrichtingsconnector ondersteunt in Zelfstudies voor het integreren van SaaS-toepassingen met Azure Active Directory. De vooraf geïntegreerde toepassingen die in de galerie worden weergegeven, gebruiken doorgaans op SCIM 2.0 gebaseerde gebruikersbeheer-API’s voor het inrichten.

    Afbeelding met logo's voor DropBox, Salesforce en andere.

    Als u een nieuwe toepassing wilt aanvragen voor inrichting, kunt u een aanvraag indienen voor integratie van uw app met onze app-galerie. Voor een aanvraag voor gebruikersinrichting moet de toepassing een SCIM-compatibel eindpunt hebben. Vraag de leverancier van de toepassing om de SCIM-standaard te volgen, zodat we de app snel naar ons platform kunnen onboarden.

  • Toepassingen die ONDERSTEUNING bieden voor SCIM 2.0: zie Een SCIM-eindpuntbouwen en gebruikers inrichten configureren voor meer informatie over het algemeen verbinden van toepassingen die OP SCIM 2.0 gebaseerde API's voor gebruikersbeheer implementeren.

Hoe kan ik automatische inrichting instellen voor een toepassing?

Voor vooraf geïntegreerde toepassingen die in de galerie worden vermeld, zijn stapsgewijze instructies beschikbaar voor het instellen van automatische inrichting. Zie Zelfstudies voor het integreren van SaaS-toepassingen met Azure Active Directory. De volgende video laat zien hoe u automatische gebruikersinrichting instelt voor SalesForce.

Voor andere toepassingen die SCIM 2.0 ondersteunen, volgt u de stappen in Een SCIM-eindpunt bouwen en gebruikers inrichten configureren.

Volgende stappen