Een automatische implementatie van gebruikers inrichten in Azure Active Directory

Veel organisaties vertrouwen voor productiviteit van eindgebruikers op SaaS-toepassingen (Software as a Service), zoals ServiceNow, Zscaler en Slack. IT-medewerkers waren van oudsher afhankelijk van handmatige inrichtingsmethoden, zoals het uploaden van CSV-bestanden of het gebruik van aangepaste scripts om gebruikersidentiteiten in elke SaaS-toepassing veilig te beheren. Deze processen zijn foutgevoelig, onveilig en moeilijk te beheren.

Azure Active Directory (Azure AD) vereenvoudigt dit proces door het maken, onderhouden en verwijderen van gebruikersidentiteiten in SaaS-toepassingen veilig te automatiseren op basis van bedrijfsregels. Met deze automatisering kunt u uw identiteitsbeheersystemen effectief schalen in zowel cloud- als hybride omgevingen wanneer u hun afhankelijkheid van cloudoplossingen uitbreidt.

Zie Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory to better understand the functionality (Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory understand the functionality (Automatisch gebruikers inrichten en de inrichting van SaaS-toepassingen op de Azure Active Directory om meer inzicht te krijgen in de functionaliteit.

Learn

Het inrichten van gebruikers vormt een basis voor doorlopend identiteitsbeheer en verbetert de kwaliteit van bedrijfsprocessen die afhankelijk zijn van gezaghebbende identiteitsgegevens.

Belangrijkste voordelen

De belangrijkste voordelen van het inschakelen van automatische inrichting van gebruikers zijn:

  • Verhoogde productiviteit. U kunt gebruikersidentiteiten beheren in SaaS-toepassingen met één beheerinterface voor het inrichten van gebruikers. Deze interface heeft één set inrichtingsbeleidsregels.

  • Beheer risico. U kunt de beveiliging verbeteren door wijzigingen te automatiseren op basis van de werknemersstatus of groepslidmaatschap die rollen en/of toegang definiëren.

  • Naleving en governance aanpakken. Azure AD ondersteunt native auditlogboeken voor elke aanvraag voor het inrichten van gebruikers. Aanvragen worden uitgevoerd in zowel de bron- als doelsystemen. Hiermee kunt u bijhouden wie toegang heeft tot toepassingen vanaf één scherm.

  • Verlaag de kosten. Automatische inrichting van gebruikers vermindert de kosten door inefficiëntie en menselijke fouten met betrekking tot handmatige inrichting te voorkomen. Het vermindert de noodzaak van aangepaste oplossingen voor het inrichten van gebruikers, scripts en auditlogboeken.

Licentieverlening

Azure AD biedt selfservice-integratie van elke toepassing met behulp van sjablonen in het menu van de toepassingsgalerie. Zie de pagina Azure AD-licentieverlening voor een volledige lijst met licentievereisten.

Toepassingslicenties

U hebt de juiste licenties nodig voor de toepassing(en) die u automatisch wilt inrichten. Bespreek met de toepassingseigenaren of de gebruikers die zijn toegewezen aan de toepassing de juiste licenties hebben voor hun toepassingsrollen. Als Azure AD automatische inrichting beheert op basis van rollen, moeten de rollen die zijn toegewezen in Azure AD worden uitgelijnd met toepassingslicenties. Onjuiste licenties die eigendom zijn van de toepassing, kunnen leiden tot fouten tijdens het inrichten/bijwerken van een gebruiker.

Termen

In dit artikel worden de volgende termen gebruikt:

  • CRUD-bewerkingen: acties die worden uitgevoerd op gebruikersaccounts: Maken, Lezen, Bijwerken, Verwijderen.

  • Eenmalige aanmelding (SSO) : de mogelijkheid voor een gebruiker om zich eenmalig aan te melden en toegang te krijgen tot alle toepassingen met SSO-toegang. In de context van het inrichten van gebruikers is eenmalige aanmelding het resultaat van gebruikers met één account voor toegang tot alle systemen die gebruikmaken van automatische inrichting van gebruikers.

  • Bronsysteem: de opslagplaats van gebruikers waar de Azure AD vandaan komt. Azure AD is het bronsysteem voor de meeste vooraf geïntegreerde inrichtingsconnectoren. Er zijn echter enkele uitzonderingen voor cloudtoepassingen zoals SAP, Workday en AWS. Zie bijvoorbeeld Gebruikers inrichten van Workday naar AD.

  • Doelsysteem: de opslagplaats van gebruikers waar De Azure AD voor zorgt. Het doelsysteem is doorgaans een SaaS-toepassing zoals ServiceNow, Zscaler en Slack. Het doelsysteem kan ook een on-premises systeem zijn, zoals AD.

  • System for Cross-domain Identity Management (SCIM) : een open standaard waarmee het inrichten van gebruikers kan worden geautomatiseerd. SCIM communiceert gebruikersidentiteitsgegevens tussen id-providers zoals Microsoft en serviceproviders zoals Salesforce of andere SaaS-apps waarvoor gebruikersidentiteitsgegevens zijn vereist.

Trainingsbronnen

Resources Koppeling en beschrijving
Webinars op aanvraag Uw bedrijfstoepassingen beheren met Azure AD
Meer informatie over hoe Azure AD u kan helpen bij het realiseren van eenmalige aanmelding voor uw SaaS-toepassingen en best practices voor het beheren van toegang.
Video's Wat is het inrichten van gebruikers in Active Azure Directory?
Gebruikers inrichten implementeren in Active Azure Directory
Salesforce integreren met Azure AD: Gebruikers inrichten automatiseren
Onlinecursussen SkillUp Online: Identiteiten beheren
Meer informatie over het integreren van Azure AD met veel SaaS-toepassingen en het beveiligen van gebruikerstoegang tot deze toepassingen.
Books Moderne verificatie met Azure Active Directory for Web Applications (Developer Reference) 1st Edition.
Dit is een gezaghebbende, diepgaande handleiding voor het bouwen van Active Directory-verificatieoplossingen voor deze nieuwe omgevingen.
Zelfstudies Zie de lijst met zelfstudies over het integreren van SaaS-apps met Azure AD.
Veelgestelde vragen Veelgestelde vragen over geautomatiseerde inrichting van gebruikers

Oplossingsarchitecturen

Met de Azure AD-inrichtingsservice worden gebruikers ingericht voor SaaS-apps en andere systemen door verbinding te maken met API-eindpunten voor gebruikersbeheer die door elke leverancier van de toepassing worden geleverd. Met deze API-eindpunten voor gebruikersbeheer kan Azure AD programmatisch gebruikers maken, bijwerken en verwijderen.

Automatische inrichting van gebruikers voor hybride ondernemingen

In dit voorbeeld worden gebruikers en of groepen gemaakt in een HR-database die is verbonden met een on-premises directory. De Azure AD-inrichtingsservice beheert het automatisch inrichten van gebruikers voor de doel-SaaS-toepassingen.

gebruikers inrichten

Beschrijving van de werkstroom:

  1. Gebruikers/groepen worden gemaakt in een on-premises HR-toepassing/-systeem, zoals SAP.

  2. Azure AD Connect agent voert geplande synchronisaties uit van identiteiten (gebruikers en groepen) van de lokale AD naar Azure AD.

  3. Azure AD-inrichtingsservice begint een eerste cyclus op basis van het bronsysteem en het doelsysteem.

  4. De Azure AD-inrichtingsservice vraagt het bronsysteem op voor gebruikers en groepen die sinds de eerste cyclus zijn gewijzigd en pusht wijzigingen in incrementele cycli.

Automatische inrichting van gebruikers voor ondernemingen die alleen de cloud gebruiken

In dit voorbeeld vindt het maken van gebruikers plaats in Azure AD en beheert de Azure AD-inrichtingsservice het automatisch inrichten van gebruikers voor de doeltoepassingen (SaaS).

Diagram met het proces voor het maken van gebruikers/groepen vanuit een on-premises H R-toepassing via Azure A D Provisioning Service naar de doel-S a S-toepassingen.

Beschrijving van de werkstroom:

  1. Gebruikers/groepen worden gemaakt in Azure AD.

  2. Azure AD-inrichtingsservice begint een eerste cyclus op basis van het bronsysteem en het doelsysteem.

  3. De Azure AD-inrichtingsservice voert een query uit op het bronsysteem voor gebruikers en groepen die zijn bijgewerkt sinds de eerste cyclus en voert incrementele cycli uit.

Automatisch gebruikers inrichten voor HR-toepassingen in de cloud

In dit voorbeeld worden de gebruikers en of groepen gemaakt in een CLOUD HR-toepassing, zoals Workday en SuccessFactors. De Azure AD-inrichtingsservice en Azure AD Connect inrichtingsagent voor het inrichten van de gebruikersgegevens van de cloud-HR-app-tenant in AD. Zodra de accounts in AD zijn bijgewerkt, wordt deze via Azure AD Connect gesynchroniseerd met Azure AD en kunnen de e-mailadressen en gebruikersnaamkenmerken worden teruggeschreven naar de hr-app-tenant van de cloud.

Afbeelding 2

  1. Het HR-team voert de transacties uit in de hr-app-tenant van de cloud.
  2. Azure AD-inrichtingsservice voert de geplande cycli uit vanuit de tenant van de HR-app in de cloud en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met AD.
  3. De Azure AD-inrichtingsservice roept de Azure AD Connect inrichtingsagent aan met een nettolading van de aanvraag die bewerkingen voor het maken/bijwerken/inschakelen/uitschakelen van het AD-account bevat.
  4. Azure AD Connect inrichtingsagent gebruikt een serviceaccount om AD-accountgegevens te beheren.
  5. Azure AD Connect voert deltasynchronisatie uit om updates op te halen in AD.
  6. AD-updates worden gesynchroniseerd met Azure AD.
  7. De Azure AD-inrichtingsservice schrijft het e-mailkenmerk en de gebruikersnaam terug van Azure AD naar de hr-app-tenant in de cloud.

Het implementatieproject plannen

Houd rekening met de behoeften van uw organisatie om de strategie te bepalen voor het implementeren van het inrichten van gebruikers in uw omgeving.

De juiste belanghebbenden betrekken

Wanneer technologieprojecten mislukken, komt dit meestal door niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden gebruikt en dat de rollen van belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en accountmogelijkheden te documenteren.

De communicatie plannen

Communicatie is essentieel voor het succes van elke nieuwe service. Proactief communiceren met uw gebruikers hoe hun ervaring zal veranderen, wanneer deze zal veranderen en hoe u ondersteuning kunt krijgen als ze problemen ervaren.

Een pilot plannen

We raden u aan om de eerste configuratie van het automatisch inrichten van gebruikers te configureren in een testomgeving met een kleine subset van gebruikers voordat u deze schaalt naar alle gebruikers in productie. Zie best practices voor het uitvoeren van een pilot.

Best practices voor een pilot

Met een pilot kunt u testen met een kleine groep voordat u een mogelijkheid voor iedereen implementeert. Zorg ervoor dat als onderdeel van uw test elke use-case binnen uw organisatie grondig wordt getest.

In uw eerste golf richt u zich op IT, bruikbaarheid en andere geschikte gebruikers die kunnen testen en feedback kunnen geven. Gebruik deze feedback om de communicatie en instructies die u naar uw gebruikers verzendt verder te ontwikkelen en om inzicht te krijgen in de typen problemen die uw ondersteuningsmedewerkers kunnen zien.

Verbreed de implementatie naar grotere groepen gebruikers door het bereik van de doelgroep(en) te vergroten. Dit kan worden gedaan via dynamisch groepslidmaatschapof door handmatig gebruikers toe te voegen aan de doelgroep(en).

Toepassingsverbindingen en -beheer plannen

Gebruik de Azure AD-portal om alle toepassingen weer te geven en te beheren die ondersteuning bieden voor inrichting. Zie Uw apps zoeken in de portal.

Het type connector bepalen dat moet worden gebruikt

De werkelijke stappen voor het inschakelen en configureren van automatische inrichting variëren afhankelijk van de toepassing. Als de toepassing die u automatisch wilt inrichten, wordt vermeld in de Azure AD SaaS-app-galerie,selecteert u de app-specifieke integratiezelfstudie om de vooraf geïntegreerde connector voor het inrichten van gebruikers te configureren.

Als dat niet het beste is, volgt u de onderstaande stappen:

  1. Maak een aanvraag voor een vooraf geïntegreerde connector voor het inrichten van gebruikers. Ons team zal samen met u en de ontwikkelaar van toepassingen uw toepassing onboarden op ons platform als deze SCIM ondersteunt.

  2. Gebruik de algemene ondersteuning voor het inrichten van gebruikers van BYOA SCIM voor de app. Dit is een vereiste voor Azure AD om gebruikers in terichten voor de app zonder een vooraf geïntegreerde inrichtingsconnector.

  3. Als de toepassing gebruik kan maken van de BYOA SCIM-connector, raadpleegt u de zelfstudie BYOA SCIM-integratie om de BYOA SCIM-connector voor de toepassing te configureren.

Zie Welke toepassingen en systemen kan ik gebruiken met automatische gebruikers inrichten in Azure AD? voor meer informatie.

Gegevens verzamelen om toegang tot toepassingen te autoreren

Het instellen van automatische inrichting van gebruikers is een proces per toepassing. Voor elke toepassing moet u beheerdersreferenties verstrekken om verbinding te maken met het eindpunt voor gebruikersbeheer van het doelsysteem.

In de onderstaande afbeelding ziet u één versie van de vereiste beheerdersreferenties:

Inrichtingsscherm voor het beheren van inrichtingsinstellingen voor gebruikersaccounts

Hoewel voor sommige toepassingen de gebruikersnaam en het wachtwoord van de beheerder zijn vereist, is voor andere toepassingen mogelijk een Bearer-token vereist.

Inrichting van gebruikers en groepen plannen

Als u het inrichten van gebruikers voor zakelijke apps inschakelen, Azure Portal de kenmerkwaarden via kenmerktoewijzing.

Bewerkingen voor elke SaaS-app bepalen

Elke toepassing kan unieke gebruikers- of groepskenmerken hebben die moeten worden toe te kennen aan de kenmerken in uw Azure AD. Voor de toepassing is mogelijk slechts een subset crud-bewerkingen beschikbaar.

Documenteren voor elke toepassing de volgende informatie:

  • CRUD-inrichtingsbewerkingen die moeten worden uitgevoerd op de gebruikers- en/of groepsobjecten voor de doelsystemen. Zo wil elke zakelijke eigenaar van de SaaS-app mogelijk niet alle mogelijke bewerkingen uitvoeren.

  • Kenmerken die beschikbaar zijn in het bronsysteem

  • Kenmerken die beschikbaar zijn in het doelsysteem

  • Toewijzing van kenmerken tussen systemen.

Kiezen welke gebruikers en groepen moeten worden ingericht

Voordat u automatische inrichting van gebruikers implementeert, moet u bepalen welke gebruikers en groepen moeten worden ingericht voor uw toepassing.

Toewijzing van gebruikers- en groepskenmerken definiëren

Als u automatische inrichting van gebruikers wilt implementeren, moet u de gebruikers- en groepskenmerken definiëren die nodig zijn voor de toepassing. Er is een vooraf geconfigureerde set kenmerken en kenmerktoewijzingen tussen Azure AD-gebruikersobjecten en de gebruikersobjecten van elke SaaS-toepassing. Niet alle SaaS-apps maken groepskenmerken mogelijk.

Azure AD ondersteunt door directe kenmerktoewijzing, het bieden van constante waarden of het schrijven van expressies voor kenmerktoewijzingen. Deze flexibiliteit geeft u een goede controle over wat er wordt ingevuld in het kenmerk van het doelsysteem. U kunt Microsoft Graph API en Graph Explorer gebruiken om kenmerktoewijzingen en schema's voor het inrichten van gebruikers te exporteren naar een JSON-bestand en het weer te importeren in Azure AD.

Zie Customizing User Provisioning Attribute-Mappings for SaaS Applications in Azure Active Directoryvoor meer Azure Active Directory.

Speciale overwegingen voor het inrichten van gebruikers

Overweeg het volgende om problemen na de implementatie te verminderen:

  • Zorg ervoor dat de kenmerken die worden gebruikt voor het in kaart brengen van gebruikers-/groepsobjecten tussen bron- en doeltoepassingen robuust zijn. Ze mogen er niet toe leiden dat gebruikers/groepen onjuist worden ingericht als de kenmerken veranderen (een gebruiker wordt bijvoorbeeld verplaatst naar een ander deel van het bedrijf).

  • Toepassingen hebben mogelijk specifieke beperkingen en/of vereisten waar aan moet worden voldaan om het inrichten van gebruikers correct te laten werken. Slack afgekapt bijvoorbeeld waarden voor bepaalde kenmerken. Raadpleeg zelfstudies voor het automatisch inrichten van gebruikers die specifiek zijn voor elke toepassing.

  • Bevestig de schemaconsistentie tussen bron- en doelsystemen. Veelvoorkomende problemen zijn kenmerken zoals UPN of e-mail die niet overeenkomen. De UPN in Azure AD die is ingesteld als john_smith@contoso.com en in de app is bijvoorbeeld jsmith@contoso.com . Zie de naslaginformatie over het gebruikers- en groepsschema voor meer informatie.

Testen en beveiliging plannen

Zorg er in elke fase van uw implementatie voor dat u test of de resultaten zijn zoals verwacht en dat u de inrichtingscycli controleert.

Testen plannen

Zodra u automatische inrichting van gebruikers voor de toepassing hebt geconfigureerd, moet u test cases uitvoeren om te controleren of deze oplossing voldoet aan de vereisten van uw organisatie.

Scenario's Verwachte resultaten
Gebruiker wordt toegevoegd aan een groep die is toegewezen aan het doelsysteem Het gebruikersobject wordt ingericht in het doelsysteem.
De gebruiker kan zich aanmelden bij het doelsysteem en de gewenste acties uitvoeren.
Gebruiker wordt verwijderd uit een groep die is toegewezen aan het doelsysteem Het gebruikersobject wordt in het doelsysteem verwijderd.
De gebruiker kan zich niet aanmelden bij het doelsysteem.
Gebruikersgegevens worden door elke methode bijgewerkt in Azure AD Bijgewerkte gebruikerskenmerken worden na een incrementele cyclus weergegeven in het doelsysteem
Gebruiker valt buiten het bereik Gebruikersobject is uitgeschakeld of verwijderd.
Opmerking: Dit gedrag wordt overschrijven voor Workday-inrichting.

Beveiliging plannen

Het is gebruikelijk dat een beveiligingsbeoordeling is vereist als onderdeel van een implementatie. Als u een beveiligingsbeoordeling nodig hebt, bekijkt u de vele Azure AD-whitepapers die een overzicht bieden van identiteit als een service.

Terugdraaien plannen

Als de implementatie van het automatisch inrichten van gebruikers niet werkt zoals gewenst in de productieomgeving, kunnen de volgende stappen voor terugdraaien u helpen om terug te keren naar een eerdere bekende goede status:

  1. Bekijk het overzichtsrapport van de inrichting en de inrichtingslogboeken om te bepalen welke onjuiste bewerkingen zijn uitgevoerd voor de betrokken gebruikers en/of groepen.

  2. Gebruik auditlogboeken voor inrichting om de laatst bekende goede status van de betrokken gebruikers en/of groepen te bepalen. Bekijk ook de bronsystemen (Azure AD of AD).

  3. Werk samen met de eigenaar van de toepassing om de betrokken gebruikers en/of groepen rechtstreeks in de toepassing bij te werken met behulp van de laatst bekende goede statuswaarden.

Automatische inrichtingsservice voor gebruikers implementeren

Kies de stappen die zijn afgestemd op uw oplossingsvereisten.

Voorbereiden op de eerste cyclus

Wanneer de Azure AD-inrichtingsservice voor het eerst wordt uitgevoerd, maakt de eerste cyclus op basis van het bronsysteem en de doelsystemen een momentopname van alle gebruikersobjecten voor elk doelsysteem.

Bij het inschakelen van automatische inrichting voor een toepassing kan de initiële cyclus tussen 20 minuten en enkele uren duren. De duur is afhankelijk van de grootte van de Azure AD-directory en het aantal gebruikers binnen het bereik voor inrichting.

De inrichtingsservice slaat de status van beide systemen op na de eerste cyclus, waardoor de prestaties van volgende incrementele cycli worden verbeterd.

Automatische gebruikersinrichting configureren

Gebruik de Azure Portal voor het automatisch inrichten en de inrichting van gebruikersaccounts voor toepassingen die dit ondersteunen. Volg de stappen in Hoe kan ik automatische inrichting voor een toepassing in te stellen?

De Azure AD-service voor het inrichten van gebruikers kan ook worden geconfigureerd en beheerd met behulp van Microsoft Graph API.

Automatische inrichting van gebruikers beheren

Nu u de oplossing hebt geïmplementeerd, moet u de oplossing beheren.

De bewerkings health van gebruikers inrichten bewaken

Na een geslaagde initiële cyclusworden door de Azure AD-inrichtingsservice incrementele updates voor onbepaalde tijd uitgevoerd, met intervallen die specifiek zijn voor elke toepassing, totdat een van de volgende gebeurtenissen plaatsvindt:

  • De service wordt handmatig gestopt en er wordt een nieuwe initiële cyclus geactiveerd met behulp van de Azure Portal, of met behulp van de juiste Microsoft Graph API-opdracht.

  • Een nieuwe initiële cyclus wordt geactiveerd door een wijziging in kenmerktoewijzingen of bereikfilters.

  • Het inrichtingsproces gaat in quarantaine vanwege een hoog foutpercentage en blijft meer dan vier weken in quarantaine wanneer het automatisch wordt uitgeschakeld.

Raadpleeg de inrichtingslogboeken van Azure AD om deze gebeurtenissen en alle andere activiteiten te bekijken die door de inrichtingsservice worden uitgevoerd.

Als u wilt weten hoe lang de inrichtingscycli duren en hoe lang de voortgang van de inrichtings job duurt, kunt u de status van het inrichten van gebruikers controleren.

Inzichten verkrijgen uit rapporten

Azure AD kan extra inzichten bieden in het gebruik en de operationele status van gebruikers in uw organisatie door middel van auditlogboeken en -rapporten.

Beheerders moeten het overzichtsrapport van de inrichting controleren om de operationele status van de inrichtings job te controleren. Alle activiteiten die door de inrichtingsservice worden uitgevoerd, worden vastgelegd in de Auditlogboeken van Azure AD. Zie Zelfstudie: Rapportage over het automatisch inrichten van gebruikersaccounts.

We raden u aan om het eigendom van deze rapporten te nemen en deze te gebruiken met een snelheid die voldoet aan de vereisten van uw organisatie. De meeste controlegegevens worden 30 dagen bewaard in Azure AD.

Problemen oplossen

Raadpleeg de volgende koppelingen om eventuele problemen op te lossen die zich tijdens het inrichten kunnen voor doen:

Nuttige documentatie

Resources

Volgende stappen