Wat is geautomatiseerde gebruikersinrichting voor SaaS-toepassing in Azure AD?What is automated SaaS app user provisioning in Azure AD?

In Azure Active Directory (Azure AD) verwijst de term app-inrichting naar het automatisch maken van gebruikersidentiteiten en -rollen in de cloud-toepassingen (SaaS) waartoe gebruikers toegang nodig hebben.In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten zoals gewijzigde status of rollen.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. Veelvoorkomende scenario's zijn onder andere het inrichten van een Azure AD-gebruiker in toepassingen als Dropbox, Sales Force, ServiceNow en meer.Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

Aan de slag met app-beheer en eenmalige aanmelding (SSO) in azure AD?Just getting started with app management and single sign-on (SSO) in Azure AD? Bekijk de Quick Start- serie.Check out the Quickstart Series.

Raadpleeg Inrichten met SCIM Tech Community voor meer informatie over SCIM en om deel te nemen aan het Tech Community-gesprek.To learn more about SCIM and join the Tech Community conversation, see Provisioning with SCIM Tech Community.

Overzichtsdiagram van inrichting

Met deze functie kunt u:This feature lets you:

  • Inrichting automatiseren: Automatisch nieuwe accounts maken in de juiste systemen voor nieuwe personen wanneer ze deelnemen aan uw team of organisatie.Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Inrichting automatiseren: Schakel accounts automatisch uit in de juiste systemen wanneer mensen het team of de organisatie verlaten.Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Gegevens synchroniseren tussen systemen: Zorg ervoor dat de identiteiten in uw toepassingen en systemen up-to-date blijven op basis van wijzigingen in de map of uw HR-systeem.Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • Groepen inrichten: Richt groepen in voor toepassingen die deze ondersteunen.Provision groups: Provision groups to applications that support them.
  • Toegang beheren: Bewaak en controleer wie is ingericht in uw toepassingen.Govern access: Monitor and audit who has been provisioned into your applications.
  • Naadloos implementeren in brownfield-scenario's: Vergelijk bestaande identiteiten tussen systemen en sta eenvoudige integratie toe, zelfs wanneer gebruikers al bestaan in het doelsysteem.Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • Uitgebreide aanpassing gebruiken: Profiteer van aanpasbare toewijzingen van kenmerken, waarmee wordt gedefinieerd welke gebruikersgegevens van het bronsysteem naar het doelsysteem moeten stromen.Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Krijg waarschuwingen voor kritieke gebeurtenissen: De inrichtingsservice geeft waarschuwingen voor kritieke gebeurtenissen en maakt integratie van Log Analytics mogelijk. Hiermee kunt u aangepaste waarschuwingen definiëren voor de behoeften van uw bedrijf.Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

Voordelen van automatische inrichtingBenefits of automatic provisioning

Naarmate het aantal toepassingen dat in moderne organisaties wordt gebruikt groeit, moeten IT-beheerders voor toegangsbeheer op schaal zorgen.As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Met standaarden zoals Security Assertion Markup Language (SAML) of Open ID Connect (OIDC) kunnen beheerders snel eenmalige aanmelding (SSO) instellen, maar om toegang te kunnen krijgen moeten gebruikers ook worden ingericht in de toepassing.Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. Bij veel beheerders betekent het inrichten dat elke week handmatig elk gebruikersaccount wordt gemaakt of CSV-bestanden moeten worden geüpload, maar deze processen zijn tijdrovend, duur en foutgevoelig.To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. Oplossingen zoals SAML just-in-time (JIT) worden gebruikt voor het automatiseren van het inrichten, maar ondernemingen hebben ook een oplossing nodig om de inrichting van gebruikers ongedaan te maken wanneer ze het bedrijf verlaten of niet langer toegang tot bepaalde apps nodig hebben vanwege een rolwijziging.Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

Enkele veelvoorkomende motivaties voor het gebruik van automatische inrichting zijn:Some common motivations for using automatic provisioning include:

  • Maximale efficiëntie en nauwkeurigheid van inrichtingsprocessen.Maximizing the efficiency and accuracy of provisioning processes.
  • Besparen op kosten die zijn gekoppeld aan het hosten en onderhouden van op maat gemaakte inrichtingsoplossingen en -scripts.Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Beveiliging van uw organisatie door de identiteit van gebruikers direct te verwijderen uit belangrijke SaaS-apps wanneer ze de organisatie verlaten.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Eenvoudig een groot aantal gebruikers importeren in een bepaalde SaaS-toepassing of -systeem.Easily importing a large number of users into a particular SaaS application or system.
  • Beschikking over één set beleidsregels om te bepalen wie er wordt ingericht en wie zich kan aanmelden bij een app.Having a single set of policies to determine who is provisioned and who can sign in to an app.

Het inrichten van Azure AD-gebruikers kan helpen bij het oplossen van deze uitdagingen.Azure AD user provisioning can help address these challenges. Als u meer wilt weten over hoe klanten gebruikersinrichting van Azure AD gebruiken, kunt u de Casestudy van ASOS lezen.To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. In onderstaande video vindt u een overzicht van gebruikersinrichting in Azure AD:The video below provides an overview of user provisioning in Azure AD:

Welke toepassingen en systemen kan ik gebruiken met automatische gebruikersinrichting van Azure AD?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD bevat vooraf geïntegreerde ondersteuning voor veel populaire SaaS-toepassingen en HR-systemen en algemene ondersteuning voor apps die specifieke onderdelen van de SCIM 2.0-standaard implementeren.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • Vooraf geïntegreerde toepassingen (SaaS-toepassingen uit de galerie) .Pre-integrated applications (gallery SaaS apps). U kunt alle toepassingen vinden waarvoor Azure AD een vooraf geïntegreerde inrichtingsconnector ondersteunt in de lijst met zelfstudies voor het inrichten van gebruikers in toepassingen.You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. De vooraf geïntegreerde toepassingen die in de galerie worden weergegeven, gebruiken doorgaans op SCIM 2.0 gebaseerde gebruikersbeheer-API’s voor het inrichten.The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Logo van Salesforce

    Als u een nieuwe toepassing wilt aanvragen voor inrichting, kunt u een aanvraag indienen voor integratie van uw app met onze app-galerie.If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. Voor een aanvraag voor gebruikersinrichting moet de toepassing een SCIM-compatibel eindpunt hebben.For a user provisioning request, we require the application to have a SCIM-compliant endpoint. Vraag de leverancier van de toepassing de SCIM-standaard te volgen zodat de app snel kan worden geïmplementeerd op ons platform.Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • Toepassingen die ondersteuning bieden voor SCIM 2.0.Applications that support SCIM 2.0. Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor meer informatie over het algemeen verbinden van toepassingen die gebruikmaken van SCIM 2.0-API’s voor gebruikersbeheer.For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

Wat is System for Cross-domain Identity Management (SCIM)?What is System for Cross-domain Identity Management (SCIM)?

Om te helpen bij het automatiseren van de inrichting of het ongedaan maken van de inrichting, maken apps gebruik van eigen gebruikers-API’s en groeps-API’s.To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. Iedereen die wel eens heeft geprobeerd om gebruikers te beheren in meer dan één app, zal u echter vertellen dat elke app probeert dezelfde eenvoudige acties uit te voeren, zoals het maken of bijwerken van gebruikers, het toevoegen van gebruikers aan groepen of het ongedaan maken van de inrichting van gebruikers.However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. Al deze eenvoudige acties worden net iets anders geïmplementeerd, met behulp van verschillende eindpuntpaden, verschillende methoden voor het opgeven van gebruikersgegevens en een ander schema om elk informatie-element weer te geven.Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

Om deze uitdagingen aan te pakken, biedt de SCIM-specificatie een gemeenschappelijk gebruikersschema om gebruikers te helpen bij het verplaatsen van gebruikers in, uit of rondom toepassingen.To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. SCIM wordt de standaard voor het inrichten en, wanneer het wordt gebruikt in combinatie met federatiestandaarden zoals SAML of OpenID Connect, biedt het beheerders een end-to-end, op standaarden gebaseerde oplossing voor toegangsbeheer.SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor gedetailleerde richtlijnen over het ontwikkelen van een SCIM-eindpunt voor het automatiseren van het inrichten en het ongedaan maken van de inrichting van gebruikers en groepen in een toepassing.For detailed guidance on developing a SCIM endpoint to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning. Voor vooraf geïntegreerde toepassingen in de galerie (Slack, Azure Databricks, Snowflake, enz.) kunt u de documentatie voor ontwikkelaars overslaan en de zelfstudies gebruiken die u hier kunt vinden.For pre-integrated applications in the gallery (Slack, Azure Databricks, Snowflake, etc.), you can skip the developer documentation and use the tutorials provided here.

Handmatige en automatische inrichtingManual vs. automatic provisioning

Toepassingen in de Azure AD-galerie ondersteunen een van de twee inrichtingsmodi:Applications in the Azure AD gallery support one of two provisioning modes:

  • Handmatige inrichting houdt in dat er nog geen automatische Azure AD-inrichtingsconnector is voor de app.Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. Gebruikersaccounts moeten handmatig worden gemaakt, bijvoorbeeld door gebruikers rechtstreeks toe te voegen aan de beheerportal van de app of een spreadsheet met gegevens van een gebruikersaccount te uploaden.User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. Raadpleeg de documentatie van de app of neem contact op met de app-ontwikkelaar om te bepalen welke mechanismen beschikbaar zijn.Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • Automatisch houdt in dat er al een Azure AD-inrichtingsconnector is ontwikkeld voor deze toepassing.Automatic means that an Azure AD provisioning connector has been developed for this application. U moet de zelfstudie voor installatie volgen om het inrichten voor de toepassing in te stellen.You should follow the setup tutorial specific to setting up provisioning for the application. App-zelfstudies vindt u in de Lijst met zelfstudies over het integreren van SaaS-apps met Azure Active Directory.App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

In de Azure AD-galerie worden toepassingen die ondersteuning bieden voor automatische inrichting aangeduid met een Inrichting-pictogram.In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. Schakel over naar de nieuwe preview-ervaring van de galerie om deze pictogrammen weer te geven (in de banner bovenaan de pagina Een toepassingspagina toevoegen selecteert u de koppeling met Klik hier om de nieuwe en verbeterde app-galerie uit te proberen).Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

Inrichting-pictogram in de toepassingsgalerie

De inrichtingsmodus die door een toepassing wordt ondersteund, wordt ook weergegeven op het tabblad Inrichting zodra u de toepassing hebt toegevoegd aan uw Enterprise-apps.The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

Hoe kan ik automatische inrichting instellen voor een toepassing?How do I set up automatic provisioning to an application?

Voor vooraf geïntegreerde toepassingen die in de galerie worden vermeld, zijn stapsgewijze instructies beschikbaar voor het instellen van automatische inrichting.For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. Zie de lijst met zelfstudies voor geïntegreerde galerie-apps.See the list of tutorials for integrated gallery apps. De volgende video laat zien hoe u automatische gebruikersinrichting instelt voor SalesForce.The following video demonstrates how to set up automatic user provisioning for SalesForce.

Voor andere toepassingen die SCIM 2.0 ondersteunen, volgt u de stappen in het artikel Een SCIM-eindpunt bouwen en gebruikersinrichting configureren.For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.

Volgende stappenNext steps