Что такое подготовка приложения с помощью Azure Active Directory?

В Azure Active Directory (Azure AD) термин подготовка приложений относится к автоматическому созданию удостоверений и ролей пользователей для приложений.

Схема, в которой показаны сценарии подготовки.

Термин "подготовка приложений Azure AD в программном обеспечении как услуге (SaaS)" означает автоматическое создание удостоверений и ролей пользователей в облачных (SaaS) приложениях, к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей. Типичные сценарии включают подготовку пользователя Azure AD к таким приложениям, как Dropbox, Salesforce, ServiceNow, и других.

Azure AD поддерживает подготовку пользователей в приложениях SaaS, а также в приложениях, размещенных локально, или в решении IaaS, например в виртуальной машине. У вас может быть устаревшее приложение, которое использует хранилище пользователей LDAP или базу данных SQL. С помощью службы подготовки Azure AD можно создавать, обновлять и удалять пользователей в локальных приложениях без открытия брандмауэров и использования TCP-портов.

Используя упрощенные агенты, можно подготавливать пользователей в локальных приложениях и управлять доступом. Если Azure AD используется вместе с прокси приложения, можно управлять доступом к локальному приложению, предоставлять автоматическую подготовку пользователей (с помощью службы подготовки), а также единый вход (с помощью прокси-сервера приложений).

Подготовка приложений позволяет следующее.

  • Автоматизированная подготовка. Автоматическое создание новых учетных записей в соответствующих системах для новых членов вашей команды или организации.
  • Автоматизированная отмена подготовки. Автоматическая деактивация учетных записей в соответствующих системах, когда люди покидают команду или организацию.
  • Синхронизация данных между системами. Постоянное обновление удостоверений в ваших приложениях и системах при внесении изменений в каталог или в систему управления персоналом.
  • Группы подготовки: группы подготовки для приложений, которые их поддерживают.
  • Управление доступом. Мониторинг и аудит групп и пользователей, подготовленных для приложений.
  • Беспрепятственное развертывание в сценариях существующей среды: сопоставьте существующие идентификаторы между системами и упростите интеграцию, даже если пользователи уже существуют в целевой системе.
  • Используйте обширные возможности настройки: воспользуйтесь преимуществами настраиваемых сопоставлений атрибутов, которые определяют, какие пользовательские данные должны передаваться из исходной системы в целевую.
  • Получение оповещений о критических событиях: служба подготовки предоставляет оповещения о критических событиях и позволяет интегрировать Log Analytics, где можно определять настраиваемые оповещения в соответствии с потребностями вашего бизнеса.

Что такое SCIM?

Чтобы помочь автоматизировать подготовку и отмену подготовки, приложения предоставляют собственные API-интерфейсы пользователей и групп. Однако все, кто пробовал управлять пользователями в нескольких приложениях, подтвердят, что каждое приложение пытается выполнить одни и те же действия, такие как создание или обновление пользователей, добавление пользователей в группы или отмена подготовки пользователей. Но все эти действия реализуются немного по-разному, используя разные пути к конечным точкам, различные методы для указания сведений о пользователе и другую схему для представления каждого элемента информации.

Для решения этих проблем спецификация системы междоменного управления идентификацией (SCIM) предоставляет общую схему пользователя, которая позволяет пользователям входить в приложения, выходить из них и обходить их. SCIM становится де-факто стандартом для подготовки и при использовании в сочетании со стандартами федерации, такими как SAML или OpenID Connect (OIDC), предоставляет администраторам комплексное стандартизированное решение для управления доступом.

Подробное руководство по разработке конечной точки SCIM для автоматизации подготовки и отмены подготовки пользователей и групп для приложения см. в разделе Build a SCIM endpoint and configure user provisioning (Создание конечной точки SCIM и настройка подготовки пользователей). Для предварительно интегрированных приложений в коллекции, таких как Slack, Azure Databricks и Snowflake, можно пропустить документацию для разработчиков и использовать учебники, приведенные в статье Руководства по интеграции приложений SaaS с Azure Active Directory.

Сравнение подготовки вручную и автоматической подготовки

Приложения в коллекции Azure AD поддерживают один из двух режимов подготовки:

  • Подготовка вручную означает, что для этого приложения еще не установлен автоматический соединитель подготовки Azure AD. Учетные записи пользователей необходимо создавать вручную. Например, путем добавления пользователей непосредственно на административный портал приложения или загрузки электронной таблицы с подробной информацией об учетных записях пользователей. Чтобы определить доступные механизмы, обратитесь к документации по приложению или свяжитесь с разработчиком приложения.
  • Автоматическая подготовка означает, что для этого приложения был разработан соединитель для подготовки Azure AD. Чтобы настроить подготовку для приложения, следуйте указаниям в руководстве по установке. Учебники по приложениям можно найти в статье Руководства по интеграции приложений SaaS с Azure Active Directory.

Режим подготовки, поддерживаемый приложением, также отображается на вкладке Подготовка после добавления приложения к числу корпоративных.

Преимущества автоматизированной подготовки

Поскольку количество приложений, используемых в современных организациях, продолжает расти, ИТ-администраторы получают управление доступом в масштабе всей организации. Такие стандарты, как SAML или OIDC, позволяют администраторам быстро настроить единый вход (SSO), но для доступа также требуется, чтобы пользователи были подготовлены в приложении. Для многих администраторов подготовка означает ручное создание каждой учетной записи пользователя или еженедельную загрузку CSV-файлов. Эти процессы отнимают много времени, являются дорогостоящими и подвержены ошибкам. Такие решения, как SAML JIT, были реализованы для автоматизации подготовки. Однако компаниям также требуется решение для отмены подготовки пользователей, когда они оставляют организацию или больше не нуждаются в доступе к определенным приложениям в зависимости от изменения роли.

Ниже перечислены некоторые распространенные причины использования автоматизированной подготовки.

  • Максимально эффективное быстродействие и точность процессов подготовки.
  • Экономия затрат, связанных с размещением и поддержкой специально разработанных решений и скриптов для подготовки.
  • Возможность обезопасить свою организацию, мгновенно удаляя из ключевых приложений SaaS удостоверения пользователей, которые покидают вашу организацию.
  • Упрощение импорта большого количества пользователей в конкретное приложение SaaS или систему.
  • Наличие единого набора политик, определяющих подготавливаемых пользователей и возможность входа в приложение.

Подготовка пользователей Azure AD поможет решить эти проблемы. Дополнительные сведения о том, как клиенты используют подготовку пользователей Azure AD, можно прочитать в Примере ASOS. В видео ниже приведены общие сведения о подготовке пользователей в Azure AD.

Какие приложения и системы можно использовать с автоматической подготовкой пользователей Azure AD

Azure AD предлагает предварительно интегрированную поддержку множества популярных приложений SaaS и систем управления кадрами, а также универсальную поддержку приложений, которые реализуют определенные части стандарта SCIM 2.0.

  • Предварительно интегрированные приложения (приложения SaaS в коллекции) . Вы можете найти все приложения, для которых Azure AD поддерживает предварительно интегрированный соединитель подготовки, в статье Руководства по интеграции приложений SaaS с Azure Active Directory. Предварительно интегрированные приложения, перечисленные в коллекции, обычно используют API-интерфейсы управления пользователями на основе SCIM 2.0 для подготовки.

    Изображение логотипов для DropBox, Salesforce и других.

    Если вы хотите запросить новое приложение для подготовки, можно запросить интеграцию вашего приложения с нашей коллекцией приложений. Для запроса на подготовку пользователя требуется, чтобы приложение имело конечную точку, совместимую с SCIM. Обратитесь к поставщику приложения с просьбой следовать стандарту SCIM, чтобы мы могли быстро встроить приложение в нашу платформу.

  • Приложения, поддерживающие SCIM 2.0. Сведения об универсальных способах подключения приложений, реализующих API-интерфейсы управления пользователями на основе SCIM 2.0, см. в статье Создание конечной точки SCIM и настройка подготовки пользователей.

Как настроить автоматический вход в приложение

Для предварительно интегрированных приложений, перечисленных в коллекции, доступны пошаговые инструкции по настройке автоматической подготовки. См. Руководства по интеграции приложений SaaS с Azure Active Directory. В следующем видео показано, как настроить автоматическую подготовку пользователей для SalesForce.

Для других приложений, поддерживающих SCIM 2.0, выполните действия, описанные в статье Создание конечной точки SCIM подготовки пользователей.

Дальнейшие действия