Что такое подготовка приложений в идентификаторе Microsoft Entra?
В идентификаторе Microsoft Entra термин подготовки приложений относится к автоматическому созданию удостоверений пользователей и ролей для приложений.
Подготовка приложений Microsoft Entra относится к автоматическому созданию удостоверений пользователей и ролей в приложениях, к которым пользователям требуется доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Распространенные сценарии включают подготовку пользователя Microsoft Entra в приложения SaaS, такие как Dropbox, Salesforce, ServiceNow и многое другое.
Идентификатор Microsoft Entra также поддерживает подготовку пользователей в приложениях, размещенных локально или на виртуальной машине, без необходимости открывать брандмауэры. В таблице ниже приведено сопоставление протоколов с поддерживаемыми соединителями.
| Протокол | Соединитель |
|---|---|
| SCIM | SCIM — SaaS SCIM — локальная или частная сеть |
| LDAP | LDAP |
| SQL | SQL |
| REST | Веб-службы |
| Протокол SOAP | Веб-службы |
| Неструктурированный файл | PowerShell |
| Пользовательское | Пользовательские соединители ECMA Подключение и шлюзы, созданные партнерами |
- Автоматизация подготовки. Автоматическое создание учетных записей в правильных системах для новых пользователей при присоединении к команде или организации.
- Автоматизированная отмена подготовки. Автоматическая деактивация учетных записей в соответствующих системах, когда люди покидают команду или организацию.
- Синхронизация данных между системами: сохраняйте удостоверения в приложениях и системах в актуальном состоянии на основе изменений в каталоге или системе кадров.
- Группы подготовки: группы подготовки для приложений, которые их поддерживают.
- Управление доступом: мониторинг и аудит пользователей, подготовленных в приложениях.
- Беспрепятственное развертывание в сценариях существующей среды: сопоставьте существующие идентификаторы между системами и упростите интеграцию, даже если пользователи уже существуют в целевой системе.
- Используйте обширные возможности настройки: воспользуйтесь преимуществами настраиваемых сопоставлений атрибутов, которые определяют, какие пользовательские данные должны передаваться из исходной системы в целевую.
- Получение оповещений о критических событиях: служба подготовки предоставляет оповещения о критических событиях и позволяет интегрировать Log Analytics, где можно определять настраиваемые оповещения в соответствии с потребностями вашего бизнеса.
Что такое SCIM?
Чтобы помочь автоматизировать подготовку и отмену подготовки, приложения предоставляют собственные API-интерфейсы пользователей и групп. Управление пользователями в нескольких приложениях является проблемой, так как каждое приложение пытается выполнить те же действия. Например, создание или обновление пользователей, добавление пользователей в группы или отмена подготовки пользователей. Часто разработчики реализуют эти действия немного иначе. Например, используя разные пути конечных точек, различные методы для указания сведений о пользователе и разной схеме для представления каждого элемента информации.
Для решения этих проблем спецификация системы междоменного управления идентификацией (SCIM) предоставляет общую схему пользователя, которая позволяет пользователям входить в приложения, выходить из них и обходить их. SCIM становится де-факто стандартом для подготовки и при использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect (OIDC), предоставляет администраторам комплексное стандартизированное решение для управления доступом.
Подробное руководство по разработке конечной точки SCIM для автоматизации подготовки и отмены подготовки пользователей и групп для приложения см. в разделе Build a SCIM endpoint and configure user provisioning (Создание конечной точки SCIM и настройка подготовки пользователей). Многие приложения интегрируются непосредственно с идентификатором Microsoft Entra. К некоторым примерам относятся Slack, Azure Databricks и Snowflake. Для этих приложений пропустите документацию разработчика и используйте руководства, приведенные в руководствах по интеграции приложений SaaS с идентификатором Microsoft Entra.
Сравнение подготовки вручную и автоматической подготовки
Приложения в коллекции Microsoft Entra поддерживают один из двух режимов подготовки:
- Подготовка вручную означает, что для приложения еще нет автоматического соединителя подготовки Microsoft Entra. Их необходимо создать вручную. Например, путем добавления пользователей непосредственно на административный портал приложения или загрузки электронной таблицы с подробной информацией об учетных записях пользователей. Чтобы определить доступные механизмы, обратитесь к документации по приложению или свяжитесь с разработчиком приложения.
- Автоматически означает, что соединитель подготовки Microsoft Entra доступен в этом приложении. Чтобы настроить подготовку для приложения, следуйте указаниям в руководстве по установке. Найдите руководства по приложениям в учебниках по интеграции приложений SaaS с идентификатором Microsoft Entra.
Режим подготовки, поддерживаемый приложением, также отображается на вкладке Подготовка после добавления приложения к числу корпоративных.
Преимущества автоматизированной подготовки
Число приложений, используемых в современных организациях, продолжает расти. Вы, как ИТ-администратор, должны управлять управлением доступом в масштабе. Для единого входа используются такие стандарты, как SAML или OIDC, но доступ также требует подготовки пользователей в приложение. Вы можете подумать, что подготовка означает вручную создание каждой учетной записи пользователя или отправку CSV-файлов каждую неделю. Эти процессы отнимают много времени, являются дорогостоящими и подвержены ошибкам. Чтобы упростить процесс, используйте JIT-приложение SAML для автоматизации подготовки. Используйте тот же процесс для отмены подготовки пользователей, когда они покидают организацию или больше не требуют доступа к определенным приложениям на основе изменений ролей.
Ниже перечислены некоторые распространенные причины использования автоматизированной подготовки.
- Максимально эффективное быстродействие и точность процессов подготовки.
- Экономия затрат, связанных с размещением и поддержкой специально разработанных решений и скриптов для подготовки.
- Возможность обезопасить свою организацию, мгновенно удаляя из ключевых приложений SaaS удостоверения пользователей, которые покидают вашу организацию.
- Упрощение импорта большого количества пользователей в конкретное приложение SaaS или систему.
- Один набор политик для определения подготовленных пользователей, которые могут войти в приложение.
Подготовка пользователей Microsoft Entra может помочь решить эти проблемы. Дополнительные сведения о том, как клиенты использовали подготовку пользователей Microsoft Entra, ознакомьтесь с примером asOS. В следующем видео представлен обзор подготовки пользователей в идентификаторе Microsoft Entra.
Какие приложения и системы можно использовать с автоматической подготовкой пользователей Microsoft Entra?
В Microsoft Entra реализована предварительная поддержка многих популярных приложений SaaS и систем кадров, а также универсальная поддержка приложений, реализующих определенные части стандарта SCIM 2.0.
Предварительно подготовленные приложения (приложения SaaS коллекции): можно найти все приложения, для которых идентификатор Microsoft Entra ID поддерживает предварительно подготовленный соединитель подготовки в учебниках для интеграции приложений SaaS с идентификатором Microsoft Entra. Предварительно подготовленные приложения, перечисленные в коллекции, обычно используют API управления пользователями на основе SCIM 2.0 для подготовки.
Чтобы запросить новое приложение для подготовки, см . статью "Отправить запрос на публикацию приложения в коллекции приложений Microsoft Entra". Для запроса на подготовку пользователя требуется, чтобы приложение имело конечную точку, совместимую с SCIM. Запрос на то, что поставщик приложений следует стандарту SCIM, чтобы мы могли быстро подключить приложение к нашей платформе.
Приложения, поддерживающие SCIM 2.0. Сведения об универсальных способах подключения приложений, реализующих API-интерфейсы управления пользователями на основе SCIM 2.0, см. в статье Создание конечной точки SCIM и настройка подготовки пользователей.
Приложения, использующие существующий каталог или базу данных, или предоставляющие интерфейс подготовки: ознакомьтесь с руководствами по подготовке к каталогу LDAP, базе данных SQL, интерфейсу REST или SOAP или доступу через PowerShell, пользовательскому соединителю ECMA или соединителям и шлюзам, созданным партнерами.
Приложения, поддерживающие JIT-подготовку с помощью SAML.
Как настроить автоматический вход в приложение
Для предварительно подготовленных приложений, перечисленных в коллекции, используйте существующие пошаговые инструкции по настройке автоматической подготовки, см. в руководствах по интеграции приложений SaaS с идентификатором Microsoft Entra. В следующем видео показано, как настроить автоматическую подготовку пользователей для SalesForce.
Для других приложений, поддерживающих SCIM 2.0, выполните действия, описанные в статье Создание конечной точки SCIM подготовки пользователей.