Включение автоматической подготовки пользователей для мультитенантного приложения в идентификаторе Microsoft Entra

Автоматическая инициализация пользователей - это процесс автоматизации создания, обслуживания и удаления идентификационных данных пользователей в целевых системах, таких как ваши приложения "программное обеспечение как услуга".

Зачем включать автоматическую синхронизацию пользователей?

Приложения, которые требуют наличия записи пользователя в приложении до первого входа пользователя, требуют синхронизации пользователя. У вас есть преимущества как поставщика услуг, а также преимущества для ваших клиентов.

Преимущества для вас как поставщика услуг

• Повысьте безопасность своего приложения с помощью платформы идентификации Microsoft.

• Сократите фактические и предполагаемые усилия клиентов по внедрению вашего приложения.

• Сократите затраты на интеграцию с несколькими поставщиками удостоверений (IdP) для автоматической подготовки пользователей с помощью подготовки на основе системы междоменного управления идентификацией (SCIM).

• Сократите расходы на поддержку, предоставив подробные журналы, которые помогут клиентам устранять проблемы с синхронизацией пользователей.

• Увеличьте видимость приложения в коллекции приложений Microsoft Entra.

• Получите приоритетный список на странице руководств по приложениям.

Преимущества для ваших клиентов

• Повысьте безопасность, автоматически удалив доступ к вашему приложению для пользователей, которые меняют роли или уходят из организации.

• Упростите процедуру управления пользователями для своего приложения, избегая ошибок, связанных с человеческим фактором, и повторяющейся работы, связанной с ручной подготовкой.

• Сократите расходы на хостинг и обслуживание специально разработанных решений для обеспечения.

Выбор метода подготовки

Идентификатор Microsoft Entra предоставляет несколько путей интеграции для включения автоматической подготовки пользователей для приложения.

• Служба подготовки Microsoft Entra управляет подготовкой и отменой подготовки пользователей из идентификатора Microsoft Entra в приложение (исходящая подготовка) и от приложения к идентификатору Microsoft Entra (входящего подготовки). Служба подключается к конечным точкам API управления пользователями системы междоменного управления идентификацией (SCIM), предоставляемым вашим приложением.

• При использовании Microsoft Graph приложение управляет входящей и исходящей подготовкой пользователей и групп из идентификатора Microsoft Entra в приложение, запрашивая API Microsoft Graph.

• Своевременную синхронизацию с языком разметки заявлений системы безопасности (SAML JIT) можно включить, если ваше приложение использует SAML для федерации. Данная служба использует информацию о утверждениях, отправленную в токене SAML, для подготовки пользователей.

Чтобы определить, какой вариант интеграции использовать для вашего приложения, обратитесь к таблице сравнения высокого уровня, а затем просмотрите более подробную информацию по каждому варианту.

Возможности, включенные или расширенные с помощью автоматической инициализации	Служба подготовки Microsoft Entra (SCIM 2.0)	Microsoft Graph API (OData v4.0)	SAML JIT
Управление пользователями и группами в идентификаторе Microsoft Entra	√	√	Только пользователь
Управление пользователями и группами, синхронизированными из локальной Active Directory	√*	√*	Только пользователь*
Доступ к данным за пределами пользователей и групп во время подготовки доступа к данным Microsoft 365 (команды, SharePoint, электронная почта, календарь, документы и т. д.)	+X	√	X
Создание, чтение и обновление пользователей на основе бизнес-правил	√	√	√
Удаление пользователей в соответствии с бизнес-правилами	√	√	X
Управление автоматической подготовкой пользователей для всех приложений из Центра администрирования Microsoft Entra	√	X	√
Поддержка нескольких поставщиков удостоверений	√	X	√
Поддержка гостевых аккаунтов (B2B)	√	√	√
Поддержка некорпоративных аккаунтов (B2C)	X	√	√

^*— Настройка Microsoft Entra Подключение требуется для синхронизации пользователей из AD с идентификатором Microsoft Entra.
⁺– Использование SCIM для подготовки не препятствует интеграции вашего приложения с Microsoft Graph для других целей.

Служба подготовки Microsoft Entra (SCIM)

Служба подготовки Microsoft Entra использует SCIM, отраслевый стандарт для подготовки, поддерживаемой многими поставщиками удостоверений (поставщиками удостоверений), а также приложениями (например, Slack, G Suite, Dropbox). Мы рекомендуем использовать службу подготовки Microsoft Entra, если вы хотите поддерживать поставщики удостоверений в дополнение к идентификатору Microsoft Entra, так как любой поставщик удостоверений, совместимый с SCIM, может подключаться к конечной точке SCIM. Создав простую/пользовательскую конечную точку, вы можете включить подготовку без необходимости поддерживать собственный механизм синхронизации.

Дополнительные сведения о том, как пользователи службы подготовки Microsoft Entra см. в следующих статье:

• Подробнее о стандарте SCIM

• Использование системы для управления удостоверениями между доменами (SCIM) для автоматической подготовки пользователей и групп из идентификатора Microsoft Entra в приложения

• Общие сведения о реализации MICROSOFT Entra SCIM

Microsoft Graph для подготовки

Когда вы используете Microsoft Graph для подготовки, у вас есть доступ ко всем обширным пользовательским данным, доступным в Graph. Помимо сведений о пользователях и группах, вы также можете получить дополнительную информацию, такую как роли пользователя, менеджер и непосредственные подчиненные, собственные и зарегистрированные устройства, а также сотни других данных, доступных в Microsoft Graph.

Более 15 миллионов организаций и 90% компаний с состоянием 500 используют идентификатор Microsoft Entra при подписке на облачные службы Майкрософт, такие как Microsoft 365, Microsoft Azure или Enterprise Mobility Suite. Вы можете использовать Microsoft Graph для интеграции вашего приложения с административными рабочими процессами, такими как адаптация (и увольнение) сотрудников, обслуживание профиля и многое другое.

Узнайте больше об использовании Microsoft Graph для подготовки:

• Домашняя страница Microsoft Graph

• Overview of Microsoft Graph (Обзор Microsoft Graph)

• Обзор Microsoft Graph Auth

• Начало работы с Microsoft Graph

Использование SAML JIT для подготовки

Если вы хотите инициализировать пользователей только при первом входе в приложение и вам не нужно автоматически отзывать пользователей, можно использовать SAML JIT. Ваше приложение должно поддерживать SAML 2.0 как протокол федерации, чтобы использовать SAML JIT.

SAML JIT использует информацию о утверждениях в токене SAML для создания и обновления информации о пользователях в приложении. Клиенты могут настроить эти необходимые утверждения в приложении Microsoft Entra по мере необходимости. Иногда JIT-подготовку необходимо включить на стороне приложения, чтобы клиент мог использовать эту функцию. SAML JIT полезен для создания и обновления пользователей, но не может удалять или деактивировать пользователей в приложении.

Next Steps

• Включите систему единого входа для вашего приложения

• Отправьте список приложений и станьте партнером Microsoft для создания документации на сайте Майкрософт.

• Присоединяйтесь к Microsoft Partner Network (бесплатно) и создайте свой план выхода на рынок.