Planera en automatisk användareableringsdistribution i Azure Active Directory

Många organisationer förlitar sig på SaaS-program (programvara som en tjänst), till exempel ServiceNow, Zscaler och Slack för slutanvändares produktivitet. IT-personal har tidigare förlitat sig på manuella etableringsmetoder som att ladda upp CSV-filer eller använda anpassade skript för att på ett säkert sätt hantera användaridentiteter i varje SaaS-program. Dessa processer är felbenägna, osäkra och svåra att hantera.

Azure Active Directory (Azure AD) automatisk användareablering förenklar den här processen genom att på ett säkert sätt automatisera skapande, underhåll och borttagning av användaridentiteter i SaaS-program baserat på affärsregler. Med den här automatiseringen kan du effektivt skala dina identitetshanteringssystem i både molnbaserade och hybridmiljöer när du utökar beroendet av molnbaserade lösningar.

Se Automatisera användareablering och avetablering för SaaS-program med Azure Active Directory för att bättre förstå funktionerna.

Learn

Användareablering skapar en grund för pågående identitetsstyrning och förbättrar kvaliteten på affärsprocesser som förlitar sig på auktoritativa identitetsdata.

Viktiga fördelar

De främsta fördelarna med att aktivera automatisk användareablering är:

  • Ökad produktivitet. Du kan hantera användaridentiteter i SaaS-program med ett enda hanteringsgränssnitt för användareetablering. Det här gränssnittet har en enda uppsättning etableringsprinciper.

  • Hantera risk. Du kan öka säkerheten genom att automatisera ändringar baserat på medarbetarstatus eller gruppmedlemskap som definierar roller och/eller åtkomst.

  • Hantera efterlevnad och styrning. Azure AD stöder interna granskningsloggar för varje begäran om användareablering. Begäranden körs i både käll- och målsystemen. På så sätt kan du spåra vem som har åtkomst till program från en enda skärm.

  • Minska kostnaderna. Automatisk användareablering minskar kostnaderna genom att undvika ineffektivitet och mänskliga fel som är associerade med manuell etablering. Det minskar behovet av anpassade lösningar för användareablering, skript och granskningsloggar.

Licensiering

Azure AD tillhandahåller självbetjäning för integrering av alla program med hjälp av mallar som finns på programgallerimenyn. En fullständig lista över licenskraven finns på sidan för Azure AD-licensiering.

Programlicensiering

Du behöver rätt licenser för de program som du vill etablera automatiskt. Diskutera med programägare om de användare som är tilldelade till programmet har rätt licenser för sina programroller. Om Azure AD hanterar automatisk etablering baserat på roller måste de roller som tilldelas i Azure AD justeras efter programlicenser. Felaktiga licenser som ägs i programmet kan leda till fel under etablering/uppdatering av en användare.

Termer

Den här artikeln använder följande termer:

  • CRUD-åtgärder – Åtgärder som vidtas på användarkonton: Skapa, Läsa, Uppdatera, Ta bort.

  • Enkel inloggning (SSO) – En användare kan logga in en gång och få åtkomst till alla SSO-aktiverade program. I samband med användareablering är enkel inloggning ett resultat av att användare har ett enda konto för att få åtkomst till alla system som använder automatisk användareablering.

  • Källsystem – Lagringsplatsen för användare som Azure AD tillhandahåller från. Azure AD är källsystemet för de flesta förintegrerade etableringsanslutningar. Det finns dock vissa undantag för molnprogram som SAP, Workday och AWS. Se till exempel Användareablering från Workday till AD.

  • Målsystem – Lagringsplatsen för användare som Azure AD tillhandahåller till. Målsystemet är vanligtvis ett SaaS-program som ServiceNow, Zscaler och Slack. Målsystemet kan också vara ett lokalt system, till exempel AD.

  • System for Cross-domain Identity Management (SCIM) – En öppen standard som möjliggör automatisering av användareablering. SCIM kommunicerar användaridentitetsdata mellan identitetsproviders som Microsoft och tjänstleverantörer som Salesforce eller andra SaaS-appar som kräver användaridentitetsinformation.

Utbildningsresurser

Resurser Länk och beskrivning
Webbseminarier på begäran Hantera företagsprogram med Azure AD
Lär dig hur Azure AD kan hjälpa dig att uppnå enkel inloggning för dina SaaS-företagsprogram och metodtips för att kontrollera åtkomst.
Video Vad är användareablering i Active Azure Directory?
Hur distribuerar jag användareablering i Active Azure Directory?
Integrera Salesforce med Azure AD: Automatisera användareablering
Onlinekurser SkillUp Online: Hantera identiteter
Lär dig hur du integrerar Azure AD med många SaaS-program och skyddar användaråtkomsten till dessa program.
Böcker Modern autentisering med Azure Active Directory för webbprogram (utvecklarreferens) 1:a utgåvan.
Det här är en auktoritativ, djupgående guide för att skapa Active Directory-autentiseringslösningar för dessa nya miljöer.
Självstudier Se listan med självstudier om hur du integrerar SaaS-appar med Azure AD.
Vanliga frågor Vanliga frågor och svar om automatisk användareablering

Lösningsarkitekturer

Azure AD-etableringstjänsten etablerar användare till SaaS-appar och andra system genom att ansluta till API-slutpunkter för användarhantering som tillhandahålls av varje programleverantör. Med dessa slutpunkter för API:et för användarhantering kan Azure AD skapa, uppdatera och ta bort användare programmatiskt.

Automatisk användareablering för hybridföretag

I det här exemplet skapas användare och eller grupper i en HR-databas som är ansluten till en lokal katalog. Azure AD-etableringstjänsten hanterar automatisk användareablering till SaaS-målprogrammen.

användareablering

Beskrivning av arbetsflöde:

  1. Användare/grupper skapas i ett lokalt HR-program/-system, till exempel SAP.

  2. Azure AD Connect agenten kör schemalagda synkroniseringar av identiteter (användare och grupper) från den lokala AD till Azure AD.

  3. Azure AD-etableringstjänsten inleder en inledande cykel mot källsystemet och målsystemet.

  4. Azure AD-etableringstjänsten frågar källsystemet efter alla användare och grupper som har ändrats sedan den första cykeln och push-lar ändringar i inkrementella cykler.

Automatisk användareablering för endast molnbaserade företag

I det här exemplet sker användarskapande i Azure AD och Azure AD-etableringstjänsten hanterar automatisk användareablering till målprogrammen (SaaS).

Diagram som visar skapandeprocessen för användare/grupper från ett lokalt H R-program via Azure A D Provisioning Service till mål-S ett S-program.

Beskrivning av arbetsflöde:

  1. Användare/grupper skapas i Azure AD.

  2. Azure AD-etableringstjänsten inleder en inledande cykel mot källsystemet och målsystemet.

  3. Azure AD-etableringstjänsten frågar källsystemet efter alla användare och grupper som har uppdaterats sedan den första cykeln och utför eventuella inkrementella cykler.

Automatisk användareablering för HR-molnprogram

I det här exemplet skapas användare och eller grupper i ett HR-molnprogram som Workday och SuccessFactors. Azure AD-etableringstjänsten och den Azure AD Connect etableringsagenten etablerar användardata från HR-appklientorganisationen i MOLNET till AD. När kontona har uppdaterats i AD synkroniseras de med Azure AD via Azure AD Connect och e-postadresserna och användarnamnattributen kan skrivas tillbaka till HR-appens klientorganisation i molnet.

Bild 2

  1. HR-teamet utför transaktionerna i HR-appens klientorganisation i molnet.
  2. Azure AD-etableringstjänsten kör de schemalagda cyklerna från HR-appens klientorganisation i molnet och identifierar ändringar som måste bearbetas för synkronisering med AD.
  3. Azure AD-etableringstjänsten anropar Azure AD Connect-etableringsagenten med en nyttolast för begäran som innehåller åtgärder för att skapa/uppdatera/aktivera/inaktivera AD-konto.
  4. Azure AD Connect etableringsagenten använder ett tjänstkonto för att hantera AD-kontodata.
  5. Azure AD Connect kör deltasynkronisering för att hämta uppdateringar i AD.
  6. AD-uppdateringar synkroniseras med Azure AD.
  7. Azure AD-etableringstjänsten skriver tillbaka e-postattribut och användarnamn från Azure AD till HR-appens klientorganisation i molnet.

Planera distributionsprojekt

Fundera över organisationens behov av att fastställa strategin för att distribuera användareablering i din miljö.

Engagera rätt intressenter

När teknikprojekt misslyckas beror det vanligtvis på felmatchade förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet är väl förstådda genom att dokumentera intressenterna och deras projektindata och kontomöjligheter.

Planera kommunikation

Kommunikation är avgörande för att en ny tjänst ska lyckas. Kommunicera proaktivt med användarna hur deras upplevelse kommer att ändras, när den kommer att ändras och hur de kan få support om de får problem.

Planera ett pilotprojekt

Vi rekommenderar att den inledande konfigurationen av automatisk användareablering finns i en testmiljö med en liten delmängd av användarna innan du skalar den till alla användare i produktion. Se metodtips för att köra ett pilotprojekt.

Metodtips för ett pilotprojekt

Med ett pilottest kan du testa med en liten grupp innan du distribuerar en funktion för alla. Se till att varje användningsfall i din organisation testas noggrant som en del av testningen.

I din första våg riktar du in dig på IT, användbarhet och andra lämpliga användare som kan testa och ge feedback. Använd den här feedbacken för att utveckla kommunikationen och instruktionerna som du skickar till användarna och för att ge insikter om vilka typer av problem som supportpersonalen kan se.

Utvidga utrullningen till större grupper av användare genom att öka omfattningen för de grupper som är mål. Detta kan göras via dynamiskt gruppmedlemskapeller genom att manuellt lägga till användare i målgrupperna.

Planera programanslutningar och administration

Använd Azure AD-portalen för att visa och hantera alla program som stöder etablering. Se Hitta dina appar i portalen.

Fastställa vilken typ av anslutningsapp som ska användas

De faktiska stegen som krävs för att aktivera och konfigurera automatisk etablering varierar beroende på programmet. Om det program som du vill etablera automatiskt visas i Azure AD SaaS-appgallerietbör du välja den appspecifika integreringskursen för att konfigurera dess förintegrerade anslutningsapp för användareablering.

Om inte följer du stegen nedan:

  1. Skapa en begäran för en förintegrerad anslutningsapp för användareablering. Vårt team kommer att samarbeta med dig och programutvecklaren för att publicera ditt program på vår plattform om det stöder SCIM.

  2. Använd BYOA SCIM-stöd för allmän användareablering för appen. Detta är ett krav för Azure AD att etablera användare till appen utan en förintegrerad etableringsanslutning.

  3. Om programmet kan använda BYOA SCIM-anslutningsprogrammet går du till självstudien om BYOA SCIM-integrering för att konfigurera BYOA SCIM-anslutningsprogrammet för programmet.

Mer information finns i Vilka program och system kan jag använda med automatisk användareablering i Azure AD?

Samla in information för att auktorisera programåtkomst

Att konfigurera automatisk användareablering är en process per program. För varje program måste du ange administratörsautentiseringsuppgifter för att ansluta till målsystemets slutpunkt för användarhantering.

Bilden nedan visar en version av de nödvändiga autentiseringsuppgifterna för administratör:

Etableringsskärmen för att hantera etableringsinställningar för användarkonton

Vissa program kräver administratörens användarnamn och lösenord, medan andra kan kräva en bearer-token.

Planera användare och gruppetablering

Om du aktiverar användareablering för företagsappar styr Azure Portal sina attributvärden via attributmappning.

Fastställa åtgärder för varje SaaS-app

Varje program kan ha unika användar- eller gruppattribut som måste mappas till attributen i Azure AD. Programmet kanske bara har en delmängd crud-åtgärder tillgängliga.

Dokumentera följande information för varje program:

  • CRUD-etableringsåtgärder som ska utföras på användaren och eller gruppobjekten för målsystemen. Varje SaaS-appföretagsägare kanske till exempel inte vill ha alla möjliga åtgärder.

  • Attribut som är tillgängliga i källsystemet

  • Attribut som är tillgängliga i målsystemet

  • Mappning av attribut mellan system.

Välj vilka användare och grupper som ska etableras

Innan du implementerar automatisk användareablering måste du bestämma vilka användare och grupper som ska etableras i programmet.

Definiera mappning av användar- och gruppattribut

Om du vill implementera automatisk användareablering måste du definiera de användar- och gruppattribut som behövs för programmet. Det finns en förkonfigurerad uppsättning attribut och attributmappningar mellan Azure AD-användarobjekt och varje SaaS-programs användarobjekt. Alla SaaS-appar aktiverar inte gruppattribut.

Azure AD stöder direkt attribut-till-attribut-mappning, tillhandahåller konstanta värden eller skriver uttryck för attributmappningar. Den här flexibiliteten ger dig bra kontroll över vad som ska fyllas i målsystemets attribut. Du kan använda Microsoft Graph API och Graph Explorer för att exportera attributmappningar och scheman för användareetablering till en JSON-fil och importera den tillbaka till Azure AD.

Mer information finns i Anpassa användareablering Attribute-Mappings SaaS-program i Azure Active Directory.

Särskilda överväganden för användareablering

Tänk på följande för att minska problemen efter distributionen:

  • Se till att attributen som används för att mappa användar-/gruppobjekt mellan käll- och målprogram är motståndskraftiga. De bör inte orsaka att användare/grupper etableras felaktigt om attributen ändras (till exempel om en användare flyttar till en annan del av företaget).

  • Program kan ha specifika begränsningar och/eller krav som måste uppfyllas för att användareablering ska fungera korrekt. Slack trunkerar till exempel värden för vissa attribut. Se självstudierna om automatisk användareablering som är specifika för varje program.

  • Bekräfta schemakonsekvens mellan käll- och målsystem. Vanliga problem är attribut som UPN eller att e-post inte matchar. Till exempel anger UPN i Azure AD john_smith@contoso.com som och i appen är det jsmith@contoso.com . Mer information finns i Referens för användar- och gruppschema.

Planera testning och säkerhet

I varje steg i distributionen ser du till att du testar att resultatet är som förväntat och granskar etableringscyklerna.

Planera testning

När du har konfigurerat automatisk användareablering för programmet kör du testfall för att verifiera att den här lösningen uppfyller organisationens krav.

Scenarier Förväntat resultat
Användaren läggs till i en grupp som är tilldelad till målsystemet Användarobjektet etableras i målsystemet.
Användaren kan logga in på målsystemet och utföra önskade åtgärder.
Användaren tas bort från en grupp som är tilldelad till målsystemet Användarobjektet avetableeras i målsystemet.
Användaren kan inte logga in på målsystemet.
Användarinformation uppdateras i Azure AD med valfri metod Uppdaterade användarattribut visas i målsystemet efter en inkrementell cykel
Användaren ligger utanför omfånget Användarobjektet är inaktiverat eller borttagna.
Obs! Det här beteendet åsidosätts för Workday-etablering.

Planera säkerhet

Det är vanligt att en säkerhetsgranskning krävs som en del av en distribution. Om du behöver en säkerhetsgranskning kan du läsa de många Azure AD-whitepaper som innehåller en översikt över identitet som en tjänst.

Planera återställning

Om den automatiska implementeringen av användaretablering inte fungerar som du vill i produktionsmiljön kan följande återställningssteg hjälpa dig att återgå till ett tidigare känt bra tillstånd:

  1. Granska etableringssammanfattningsrapporten och etableringsloggarna för att avgöra vilka felaktiga åtgärder som har inträffat för de berörda användarna och/eller grupperna.

  2. Använd granskningsloggar för etablering för att fastställa det senast kända tillståndet för de användare och/eller grupper som påverkas. Granska även källsystemen (Azure AD eller AD).

  3. Arbeta med programägaren för att uppdatera de användare och/eller grupper som påverkas direkt i programmet med hjälp av de senast kända värdena för gott tillstånd.

Distribuera automatisk användareableringstjänst

Välj de steg som passar dina lösningskrav.

Förbereda för den inledande cykeln

När Azure AD-etableringstjänsten körs för första gången skapar den inledande cykeln mot källsystemet och målsystemen en ögonblicksbild av alla användarobjekt för varje målsystem.

När du aktiverar automatisk etablering för ett program kan den inledande cykeln ta allt från 20 minuter till flera timmar. Varaktigheten beror på storleken på Azure AD-katalogen och antalet användare i etableringsomfånget.

Etableringstjänsten lagrar tillståndet för båda systemen efter den inledande cykeln, vilket förbättrar prestanda för efterföljande inkrementella cykler.

Konfigurera automatisk användaretablering

Använd Azure Portal för att hantera automatisk etablering och avetablering av användarkonton för program som stöder det. Följ stegen i Hur gör jag för att konfigurera automatisk etablering till ett program?

Azure AD-tjänsten för användareablering kan också konfigureras och hanteras med hjälp av Microsoft Graph-API:et.

Hantera automatisk användareablering

Nu när du har distribuerat måste du hantera lösningen.

Övervaka användaretableringsåtgärdens hälsa

Efter en lyckad inledandecykel kör Azure AD-etableringstjänsten inkrementella uppdateringar på obestämd tid, med intervall som är specifika för varje program, tills någon av följande händelser inträffar:

  • Tjänsten stoppas manuellt och en ny inledande cykel utlöses med hjälp av Azure Portal, eller med lämpligt API Microsoft Graph kommando.

  • En ny inledande cykel utlöses av en ändring i attributmappningar eller omfångsfilter.

  • Etableringsprocessen försättas i karantän på grund av en hög felfrekvens och förblir i karantän i mer än fyra veckor när den inaktiveras automatiskt.

Information om hur du granskar dessa händelser och alla andra aktiviteter som utförs av etableringstjänsten finns i Azure AD-etableringsloggar.

För att förstå hur lång tid etableringscyklerna tar och övervakar förloppet för etableringsjobbet kan du kontrollera statusen för användareablering.

Få insikter från rapporter

Azure AD kan ge ytterligare insikter om din organisations användareetableringsanvändning och driftshälsa via granskningsloggar och rapporter.

Administratörer bör kontrollera etableringssammanfattningsrapporten för att övervaka etableringsjobbens drifthälsa. Alla aktiviteter som utförs av etableringstjänsten registreras i Azure AD-granskningsloggarna. Se Självstudie: Rapportering om automatisk användarkontoetablering.

Vi rekommenderar att du övertar ägarskapet för och använder dessa rapporter i en takt som uppfyller organisationens krav. Azure AD behåller de flesta granskningsdata i 30 dagar.

Felsöka

Se följande länkar för att felsöka eventuella problem som kan uppstå under etableringen:

Användbar dokumentation

Resurser

Nästa steg